Invio di registri, avvisi e dati di telemetria tramite un diodo di dati

Scopri come
Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.

Diodi di dati e norma IEC 62443: gli elementi chiave per garantire la conformità

Condividi questo post

Negli ambienti industriali e produttivi, i sistemiIndustrial (ICS) sono ampiamente diffusi, ma sono stati progettati per garantire sicurezza, risultati deterministici e continuità operativa, non per resistere alle minacce informatiche. I PLC, le interfacce uomo-macchina (HMI), i sistemi di archiviazione dati storici e i sistemi di controllo distribuito operano spesso in modo continuo e non possono tollerare interruzioni.

Allo stesso tempo, i produttori sono chiamati a garantire un monitoraggio centralizzato a livello di stabilimento, integrando i dati OT con le piattaforme IT e SOC per consentire la visibilità remota, la diagnostica e persino l'accesso a reti sensibili. Questa convergenza comporta dei rischi ai confini tra le diverse zone.

Standard come la norma IEC 62443 partono dal presupposto che le violazioni della segmentazione comportino direttamente un rischio operativo, non solo l’esposizione dei dati. Negli ambienti OT, gli incidenti informatici possono causare conseguenze catastrofiche di vario tipo. I fermi di produzione sono tra i più comuni: l'attacco ransomware alla Colonial Pipeline nel 2021 ha costretto a un fermo di sei giorni della più grande conduttura di carburante raffinato degli Stati Uniti, provocando carenze di carburante in 17 stati e un stato di emergenza presidenziale, mentre l'attacco LockerGoga alla Norsk Hydro del 2019 ha interrotto la produzione automatizzata di alluminio in 40 paesi con un costo di 70-80 milioni di dollari.

Anche i danni alle infrastrutture sono reali: gli hacker che nel 2014 sono penetrati in un'acciaieria tedesca sono passati dalla rete aziendale ai sistemi di controllo della produzione e hanno impedito lo spegnimento in sicurezza di un altoforno, provocando ingenti danni materiali — si tratta del secondo attacco informatico confermato ad aver causato danni fisici dopo Stuxnet.

Gli incidenti relativi alla sicurezza rappresentano la categoria più preoccupante: il malware TRITON, utilizzato contro Petro Rabigh nel 2017 — considerato da molti il primo malware progettato per causare vittime umane — ha sfruttato un firewall configurato in modo errato per raggiungere i sistemi strumentati di sicurezza e avrebbe potuto provocare fughe di idrogeno solforato tossico o esplosioni se l'attacco non fosse fallito a causa di un errore di programmazione.

L'impatto sull'ambiente e sulla sicurezza pubblica è dimostrato anche da incidenti come l'attacco informatico al settore energetico polacco nel 2025, in cui gli autori dell'attacco hanno distrutto i dati delle interfacce uomo-macchina (HMI), danneggiato il firmware OT e causato la perdita di visibilità e controllo tra gli impianti e gli operatori di rete. Ancora più importante, alcune regioni hanno recepito lo standard IEC 62443 nella legislazione: la direttiva NIS2 dell'UE, per la quale ISA/IEC 62443 è considerata il principale quadro di conformità per le infrastrutture industriali, impone multe fino a 10 milioni di euro o al 2% del fatturato annuo globale per le entità essenziali, oltre alla responsabilità personale per l'alta dirigenza — il che significa che qualsiasi condizione di non conformità può comportare conseguenze finanziarie e legali significative per le entità essenziali, oltre alla responsabilità personale per l'alta dirigenza — il che significa che qualsiasi condizione di non conformità può comportare conseguenze finanziarie e legali significative.

Sebbene i firewall industriali e la segmentazione basata su VLAN siano spesso utilizzati per mitigare questo tipo di rischi, essi comportano anche notevoli difficoltà per gli operatori. Queste soluzioni dipendono strettamente da una configurazione corretta per l'intero ciclo di vita dei sistemi, mentre il supporto dei protocolli OT legacy non è sempre disponibile e spesso manca di adeguati meccanismi di autenticazione o convalida. Inoltre, la natura stessa dei firewall consente la comunicazione bidirezionale e il malware può attraversare percorsi di ritorno considerati affidabili.

La segmentazione logica è utile, ma non garantisce la separazione. Quando le reti IT o esterne possono avviare comunicazioni verso le zone OT, si introducono contemporaneamente rischi significativi: il malware può spostarsi dall'IT ai sistemi di produzione, dove i percorsi di monitoraggio possono essere sfruttati per il traffico di controllo utilizzando credenziali compromesse, aggirando così la segmentazione.

La norma IEC 62443 è chiara: le zone devono essere protette da canali di comunicazione a senso unico. Un diodo di dati impone una comunicazione unidirezionale a livello fisico, offrendo un'ottima soluzione, simile a un "passaggio rapido", per soddisfare tali requisiti: i dati possono uscire da una zona OT di livello inferiore, ma non possono rientrare, indipendentemente dallo stato del software o da eventuali compromissioni. Ciò è in linea con i principi della norma IEC 62443 relativi a confini chiari tra le zone, canali di comunicazione deterministici e assenza di fiducia implicita tra i livelli di sicurezza.

Grazie a un diodo dati, i produttori possono esportare i dati di produzione, replicare gli archivi storici, trasmettere in streaming allarmi e registri e supportare il monitoraggio centralizzato, il tutto senza consentire l'accesso del traffico in entrata nelle zone di controllo. Ciò semplifica il processo di valutazione dei rischi per la sicurezza, come definito nella Parte 3-2.

Approfondendo la Parte 3-3 relativa ai livelli di sicurezza, l’utilizzo di un diodo nell’architettura di progettazione è strettamente correlato alle SR 5.2 — Protezione dei confini di zona e dei condotti, SR 5.1 — Segmentazione della rete, SR 3.1 — Integrità delle comunicazioni e SR 7.6 — Segmentazione della rete per la disponibilità. Il diodo non solo contribuisce a ridurre le superfici di attacco limitando l'accesso fisico e logico a sistemi e reti, ma segmenta anche le reti e controlla il traffico tra di esse in modo deterministico. Ciò consente ai produttori di adottare un metodo di difesa in profondità inserendo nuovi livelli di protezione in alcuni dei perimetri di rete più critici ma immutabili, senza dover ricorrere a una ricostruzione massiccia.

Si passa da una segmentazione logica a un'applicazione fisica. La visibilità viene mantenuta, mentre il controllo non viene condiviso.

Questo sistema monitora i dati in uscita mantenendo isolati i sistemi di controllo e rendendo impossibile l'aggiramento dei confini delle zone. Dal punto di vista della sicurezza, elimina le vie di attacco in entrata, riduce il rischio di movimenti laterali e offre una protezione superiore contro configurazioni errate e abusi dei protocolli.

Adottando questo approccio, i produttori possono garantire la continuità operativa senza compromettere il controllo in tempo reale, senza dipendere dalla sicurezza dei protocolli legacy e mantenendo un funzionamento stabile e prevedibile. Inoltre, questo approccio facilita l'allineamento ai requisiti relativi alle zone e ai condotti previsti dalla norma IEC 62443, semplifica la documentazione e la convalida e garantisce un elevato livello di preparazione grazie a un'architettura difendibile e ripetibile.

Negli ambienti industriali in cui la separazione delle zone deve essere garantita – e non data per scontata – si sta assistendo a una crescente diffusione di soluzioni di trasferimento dati unidirezionale basate su hardware. MetaDefender Optical Diode impedisce fisicamente qualsiasi percorso di ritorno nella rete protetta — non tramite regole o politiche, ma attraverso l'assenza di un percorso ottico in grado di trasportare il traffico in entrata.

Soluzioni come MetaDefender Optical Diode progettate per garantire un isolamento di livello industriale e conforme agli standard senza interrompere le operazioni.

Rimanete aggiornati con OPSWAT!

Iscriviti oggi stesso per ricevere gli ultimi aggiornamenti sull'azienda, storie, informazioni sugli eventi e altro ancora.