Sicurezza informatica

Linee guida sulla sicurezza informatica

Utilizzare questo prodotto all'interno di un sistema di automazione e controllo industriale sicuro. La protezione totale di componenti (apparecchiature/dispositivi), sistemi, organizzazioni e reti dalle minacce di attacchi informatici richiede, quando si verificano incidenti, misure di mitigazione del rischio informatico a più livelli, rilevamento precoce degli incidenti e piani di risposta e ripristino adeguati. Per ulteriori informazioni sulla sicurezza informatica, consultare la Guida alla sicurezza informatica di HMI/IPC Pro-face .

https://www.proface.com/en/download/manual/cybersecurity_guide

AVVERTENZA

POTENZIALE COMPROMISSIONE DELLA DISPONIBILITÀ, DELL'INTEGRITÀ E DELLA RISERVATEZZA DEL SISTEMA Modificare le password predefinite al primo utilizzo, per evitare accessi non autorizzati alle impostazioni, ai controlli e alle informazioni del dispositivo. Disattivare le porte/servizi inutilizzati e gli account predefiniti, ove possibile, per ridurre al minimo le vie di accesso agli attacchi dannosi. Posizionare i dispositivi in rete dietro più livelli di difesa informatica (come firewall, segmentazione della rete, rilevamento e protezione dalle intrusioni di rete). Applicare gli aggiornamenti e hotfix più recenti al sistema operativo e al software. Utilizzare le migliori pratiche di cybersecurity (per esempio: least privilege, separazione dei compiti) per aiutare a prevenire l'esposizione non autorizzata, la perdita, la modifica di dati e registri, l'interruzione dei servizi o il funzionamento non intenzionale. Il mancato rispetto di queste istruzioni può provocare morte, gravi infortuni o danni alle apparecchiature.

 

Caratteristiche delle condizioni di sicurezza fornite

Questo prodotto offre le seguenti funzioni di sicurezza informatica. Queste caratteristiche forniscono funzionalità di sicurezza che contribuiscono a proteggere il prodotto da potenziali minacce alla sicurezza:

• Sicurezza (Gestione utente)
  La funzione Sicurezza protegge gli oggetti e le schermate impedendo l’accesso agli utenti non autorizzati. Connettersi con un nome utente e una password valida per accedere agli oggetti e le schermate protetti. Si può accedere ad un oggetto protetto solo se si dispone di un livello di protezione uguale o superiore al livello di protezione impostato per quell’oggetto o schermata.
  Panoramica
• Gestione delle password (criteri per le password complesse, scadenza delle password)
  È possibile selezionare i criteri per le password complesse degli utenti e impostare la scadenza delle password.
• Impostazioni target
  Specificare il livello di sicurezza richiesto per trasferire il file di progetto e visualizzare la schermata Configurazione hardware.
  Impostazioni target
• Registro operazioni
  Il mantenimento del registro operazioni eseguite sul proprio progetto è utile per analizzare la causa dei problemi, ad esempio le operazioni eseguite prima del rilevamento degli errori.
  Panoramica
• Password del file di progetto (apertura e trasferimento)
  Per aumentare la sicurezza dei progetti, aggiungere la password di progetto, necessaria per aprire o trasferire il progetto.
  Prevenzione di modifiche non autorizzate al progetto
• Crittografia del database (allarme, registrazione, ricetta, registro operativo)
  È possibile crittografare la cronologia degli allarmi, i dati di registrazione, i dati delle ricette e il registro operativo salvati nel database.
  Proprietà (Tutti gli allarmi)
  Proprietà (Registro operazioni)
  Proprietà (Tutte le registrazioni)
  Proprietà (Controllo ricetta)
• Rilevamento delle modifiche del file esportato con i codici Hash
  È possibile controllare il codice utilizzato per rilevare le modifiche nel file esportato, usando Export File Validation tool.
  Esportazione e importazione degli allarmi
  Esportazione e importazione delle impostazioni di registrazione e dati di registrazione
  Esportazione dei registri operazione
• Trasferimento IPsec
  È possibile utilizzare il trasferimento criptato IPsec via Ethernet per impedire l'accesso non autorizzato. L’Internet Engineering Task Force (IETF) ha sviluppato e progettato Internet Protocol Security (IPsec) come insieme aperto degli standard dei protocolli che rendono le sessioni di comunicazione IP private e sicure. Gli algoritmi di autenticazione e crittografia IPsec richiedono chiavi crittografate definite dall’utente che elaborano i pacchetti di comunicazione nelle sessioni IPsec.
  Trasferimento del progetto su Ethernet mediante IPsec

Applicazioni sicure

La presente sezione illustra alcuni punti per configurare le applicazioni in condizioni di sicurezza.

Per creare una rete protetta, con prevenzioni dagli accessi non autorizzati

• Costruire un ambiente di comunicazione per mezzo di comunicazioni crittografate (per es. VPN). È possibile utilizzare Pro-face Connect per creare un ambiente di comunicazione crittografato.
  Configurazione di Pro-face Connect
• Verificare che la rete sia protetta prima di stabilire la comunicazione e di trasferire i dati via Ethernet.
• Selezione di un’opzione di trasferimento che non si basa sulla comunicazione Ethernet (es. cavo USB o FileSystem).
  Trasferimento del progetto su cavo USB
  Trasferimento del progetto con il File System
  Se occorre un’opzione di trasferimento basata sulla comunicazione Ethernet, si consiglia di usare IPsec.
  Trasferimento del progetto su Ethernet mediante IPsec
• Aprire la porta di comunicazione dati solo quando si usa il servizio di comunicazione.
• Proteggere il PC con un firewall, avendo la certezza di utilizzarlo all’interno di una rete affidabile.
• Installare il visualizzatore all’interno di una rete protetta e proteggere il visualizzatore con un firewall.

• Quando ci si connette al server OPC UA, si consiglia di utilizzare policy di protezione più sicure basate su AES.
  Collegamento al server UA OPC

• Per collegarsi al server FTP, si consiglia di utilizzare FTPS (FTP con SSL/TLS).

• Utilizzare un server FTP o un indirizzo IP affidabile.

Evitare interpretazioni nel visualizzatore

• Usare funzioni di sicureza.
• Usare funzioni di uscita automatica.
• Fornire il livello di protezione appropriato per lo sblocco a utenti ristretti (consentire solo agli utenti con diritti di amministratore di sbloccare, ecc.).
• La password non è richiesta per le operazioni seguenti:
• Carico blocchi operazione del dispositivo esterno (memoria USB/scheda SD)
• Download blocchi operazione del dispositivo esterno (memoria USB/scheda SD)
• Visualizzazione della schermata Configurazione hardware

Impostare il livello di protezione degli interruttori che vengono utilizzati per le operazioni suddette.

• Quando si usa Web Viewer per connettersi al visualizzatore, non toccare il pulsante [***] per visualizzare la password. La password visualizzata diventerà visibile a tutti i visualizzatori collegati e ai client Web Viewer.

Quando si usa la serie SP5000 Open Box (Windows 10 IoT Enterprise Model), la serie IPC o PC/AT

• Usare il runtime solo su un PC affidabile.
• Non eseguire l’accesso a Windows con un account che ha i diritti di amministratore, tranne che per trasferire i file di progetti o per eseguire altre operazioni che richiedono espressamente i diritti di amministratore.
• Usare le funzioni di protezioni di Windows (impostare la password, usare la funzione di uscita automatica, ecc.).
• Impostare le password di protezione e sicurezza dell’account di amministratore del progetto.

Proteggere le informazioni dalle alterazioni

• Rinforzare il proprio PC seguendo le migliori pratiche di sicurezza informatica (antivirus, sistemi operativi aggiornati, criteri per password complesse, software di tipo Application Allow Listing, ecc.) usando le seguenti linee guida:
  https://www.pro-face.com/trans/en/manual/1087.html
• Gestire con attenzione i propri dati.
• Protezione del progetto aggiungendo la password di progetto.
  Prevenzione di modifiche non autorizzate al progetto
• Nell’utilizzo delle opzioni di trasferimento basate su cavo USB o Ethernet, abilitare le [Impostazione di sicurezza] nel [Metodo di trasferimento]. Per i dettagli, fare riferimento a quanto segue.
  Trasferimento del progetto su Ethernet mediante IPsec
  Trasferimento del progetto su cavo USB
  Trasferimento di un progetto tramite Ethernet
• Non eseguire il software di modifica delle schermate con diritti di amministratore.

• Usare il Software di modifica delle schermate solo su un PC affidabile.