Dalla difesa fisica perimetrale al controllo accessi logico, dalla gestione password all’amministrazione dei certificati digitali, associati ad elementi hardware sicuri, la strada verso la protezione della proprietà intellettuale (IP) si fa ogni giorno sempre più irta di ostacoli, ma anche ricca di risorse. Come in tutti gli aspetti della vita, è l’atteggiamento progressista mirato alla conoscenza e all’applicazione delle più moderne tecniche a fare la differenza.
Sebbene in ambito industriale i cicli di vita di macchine e software siano più lunghi rispetto a quelli dei prodotti per office, sistemi operativi non più supportati dalle case produttrici devono lasciare spazio quanto prima alle più recenti piattaforme, per consentire un costante aggiornamento delle funzionalità e una pronta correzione dei bachi di sicurezza. Ma come procedere affinché gli interventi al software siano effettuati in sicurezza? Una tradizionale gestione delle password apre lo scenario a costanti vulnerabilità: le password sono facilmente divulgabili e troppo spesso identiche per la stessa persona in diversi contesti, e la loro manutenzione è tediosa, il che comporta spesso accessi non autorizzati.
Sebbene con i PAC (Controllori di Automazione Programmabili) si siano soppiantate le password per aprire backdoor d’emergenza, che rappresentavano un punto di debolezza noto agli hacker, è consueto l’uso di password di autenticazione, che possono compromettere il know-how dell’azienda, aprendo la strada al monitoraggio, al controllo, alla modifica, al danneggiamento o al furto dell’IP.
Una delle più comuni azioni dell’industria alimentare è legata al regolare riempimento dei contenitori destinati alla commercializzazione di cibo e bevande.
Tale operazione è demandata a controllori industriali. Il software che opera su tali dispositivi è un bene che l’azienda produttrice (OEM) della macchina custodisce gelosamente e che fa la differenza sul mercato internazionale; la sua sottrazione ha implicazioni commerciali, la sua manomissione ha anche ripercussioni sulla sicurezza dell’ambiente di lavoro. Azioni volontarie o accidentali, interne od esterne, possono sovvertire la solidità di un marchio.
Un unico approccio tecnologico, per regolamentare l’accesso degli sviluppatori al codice sorgente prima e dei tecnici manutentori al codice in esecuzione poi, è rappresentato da CodeMeter Keyring, un modulo della tecnologia di protezione software, gestione licenze e cybersicurezza proposta da Wibu-Systems e scelto sia da Rockwell Automation sia da Siemens, rispettivamente per Rockwell Software Studio 5000 Logix Designer e i relativi PAC Allen Bradley ControlLogix 5580 e CompactLogix 5380, 5380S e 5480, e per Siemens TIA Portal.
CodeMeter Keyring genera licenze abbinate a chiavi crittografiche, utilizzando gli algoritmi ECC, AESCBC e SHA-256 HMAC. Il codice sorgente, sotto forma di routine (ladder e testo strutturato) e addon (AIO), viene crittografato per proteggere il contenuto del codice sorgente e decodificato per gli utenti che possiedono le credenziali adeguate.
I privilegi di accesso sono memorizzati come licenze in elementi hardware sicuri dotati di chip smart card, le CmDongle di Wibu-Systems. Queste unità, disponibili allo scopo sia come chiavi di protezione USB sia come schede di memoria sicure, una volta collegate al PC, impediscono la lettura, la copia e la modifica non autorizzate del codice sorgente protetto, mantenendolo crittografato durante le attività di esportazione, e consentono ai soli utenti autorizzati dell’ambiente di sviluppo di apportare
nuove configurazioni di sicurezza. Inserendo invece la CmDongle nel controller, si impedisce un upload indesiderato del programma dal PAC e un successivo download su un altro controller, poiché il programma può essere eseguito solo su controller autorizzati.
Ulteriori opzioni di CodeMeter possono essere utilizzate per controllare il fattore tempo, affinché, ad esempio, il tecnico sul campo abbia accesso alle risorse per la macchina su cui sta eseguendo attività di riparazione o manutenzione per il solo tempo necessario ad espletare il suo lavoro. Grazie al fatto che le CmDongle sono dispositivi hardware fisici, programmati in modo personalizzato per i singoli utenti, la gestione password viene completamente superata.
Che si tratti di Security by Default con chip ASIC (una diversa forma di CmDongle), integrati direttamente sulle schede dei nuovi moduli di embedded computing, di Defense in Depth con livelli di sicurezza stratificati associati alle titolarità degli utenti coinvolti, o di Security by Design mediante applicazioni ad hoc della tecnologia CodeMeter, i produttori di macchine intelligenti ed interconnesse hanno a disposizione un vasto arsenale, per affrontare il mercato globale con la massima sicurezza possibile.
www.wibu.com
