Un’infrastruttura di automazione è vulnerabile in ogni punto in cui esiste accesso remoto, un servizio di gestione o un collegamento con la rete IT aziendale. La progettazione sicura deve quindi coprire fieldbus, controller locali e utente finale.
1. Protezione a livello BUS
Protocolli come KNX e BACnet sono nati per comunicare in modo affidabile, non per affrontare i moderni modelli di minaccia. Per questo, quando disponibili, vanno abilitati profili sicuri come KNX Data Secure e KNX IP Secure.
2. Server e gateway
Controller, logic server e gateway sono bersagli privilegiati. Il port forwarding va evitato. L’accesso remoto deve passare solo da VPN o tunnel equivalenti, con segmentazione di rete che separi automazione, rete uffici e rete ospiti.
3. Gestione di identità e accessi
Le password di fabbrica devono essere eliminate, i privilegi assegnati per ruolo e le funzioni critiche protette con MFA quando possibile. Logging e monitoraggio servono a rilevare comportamenti anomali prima che diventino incidenti reali.
Checklist di sicurezza
- Abilitare i protocolli sicuri dove supportati.
- Sostituire tutte le password di default.
- Usare VPN per ogni accesso remoto.
- Separare il traffico di automazione con VLAN dedicate.
- Mantenere firmware e gateway aggiornati.
Conclusione
Consegnare un sistema di automazione senza misure di cybersicurezza non è più accettabile. Una progettazione sicura protegge dati, continuità operativa e sicurezza fisica dell’impianto.