Danfoss mantiene il focus sulla sicurezza IT

Network buildings

Danfoss incorpora le migliori pratiche e soluzioni di cybersecurity in tutti i prodotti, sistemi e servizi. Il nostro approccio security by design rende i nostri servizi più resistenti ai cyberattacchi. Implementiamo meccanismi per mitigare le minacce, ridurre i punti deboli sfruttabili e difenderci dalle violazioni dei dati e dai cyberattacchi evitabili nelle prime fasi di sviluppo dei nostri prodotti.

Danfoss intende conformarsi alla norma IEC-62443, tenendo ovviamente conto di altri requisiti di ulteriori standard di sicurezza.

Scopri di più Leggi di meno

Danfoss Electronic Controllers è impegnata in uno sviluppo sicuro conforme alla norma IEC-62443.

Consigli per i clienti

Per contribuire a mantenere i tuoi prodotti Danfoss sicuri e protetti, ti consigliamo di implementare le seguenti best practice di cybersecurity.

Il rispetto di queste raccomandazioni può contribuire a ridurre in modo significativo il rischio di cybersecurity della tua azienda.

CVE:
Abbreviazione di Common Vulnerabilities and Exposures (vulnerabilità ed esposizioni comuni), è un elenco di falle di sicurezza informatica divulgate pubblicamente.

DDOS:
Distributed Denial of Service: questo termine viene utilizzato quando 100.000 dispositivi remoti attaccano un singolo dispositivo in rete. Si tratta di un attacco molto efficace a un sistema. Nemmeno le grandi aziende e le organizzazioni di sicurezza possono mantenere le operazioni durante tali attacchi. Questi attacchi sono stati misurati con velocità di attacco di oltre 400 terabit/secondo, che semplicemente interrompono la connessione al dispositivo. Questo non può essere mitigato a nessun livello che non sia la "spina dorsale" di Internet.  

Non esiste una difesa economica contro questo tipo di attacchi e l'unico modo efficace per mitigarli è evitarli, nascondendosi.  

Exploit remoti:
Si può presumere che tutto il software che si affaccia su Internet contenga degli exploit. Pertanto, i ricercatori sono alla continua ricerca di questi ultimi e, una volta individuati, i fornitori di software creano patch che attenuano l'exploit. È quindi estremamente importante aggiornare il software e mantenerlo aggiornato con le ultime versioni per prevenire le vulnerabilità del sistema. 

Ad esempio, i gestori di sistemi più vecchi utilizzavano la versione 1.12.1 di Nginx, in cui erano state scoperte diverse vulnerabilità, che sono state poi corrette; la versione più recente di System Manager 3.1.9 utilizza ora la versione 1.21.0 di Nginx, che attualmente non presenta vulnerabilità note. Pertanto, è importante aggiornare alla versione più recente di Danfoss - i numeri delle versioni potrebbero essere aumentati dopo la stesura di questo documento, poiché vengono scoperti continuamente nuovi exploit.

  1. I dispositivi devono sempre essere aggiornati agli ultimi rilasci di software disponibili, pubblicati da Danfoss. In ogni nuova versione potrebbero essere presenti alcuni aggiornamenti di sicurezza, illustrati nell'appendice.
  2. Assicurati che il dispositivo sia sempre protetto dall'esposizione diretta a Internet.  (Installa i sistemi di rete protetti da un firewall)

Danfoss raccomanda vivamente di proteggere tutti i dispositivi di rete con un firewall e principi di accesso remoto sicuri.

Il problema che si può riscontrare è che i sistemi non completamente aggiornati possono contenere exploit remoti noti, che possono avere effetti negativi sul sistema. Gli exploit noti sono spesso pubblicati nei database CVE e su molti siti di ricerca sulla sicurezza.

Ciò significa che non è consigliabile mappare i dispositivi direttamente su Internet, ma se è necessario, è importante utilizzare diverse misure di protezione per tutelare il sistema dall'accesso diretto a Internet. 

Le problematiche principali dei dispositivi sono:

  • DDOS - nessuna patch software può proteggere da questo tipo di attacco. (Pertanto, è necessaria una protezione firewall)
  • Le esecuzioni remote note possono consentire a un aggressore di entrare nel dispositivo, pertanto tutti gli aggiornamenti del software sono necessari per rimuovere gli exploit noti.
  • Lo sfruttamento di varie vulnerabilità di sicurezza note e sconosciute può causare l'interruzione del sistema.

Inizia con la suddivisione della rete in zone/segmenti. La collocazione dei dispositivi Danfoss in una rete separata ridurrà la superficie di attacco.

In generale, questa è una pratica da prendere in considerazione nella tua rete, indipendentemente dai dispositivi che utilizzi.

La segmentazione potrebbe anche essere estesa alla micro-segmentazione, in modo che, nel caso in cui un dispositivo venga compromesso, non si diffonda al resto della rete.

Di seguito è riportato un tipico esempio di rete segmentata:

Segmented Network

Posiziona sempre i sistemi e i dispositivi Danfoss al riparo con firewall e altri dispositivi di protezione che limitano l'accesso alle sole connessioni remote autorizzate. La costruzione di una rete altamente protetta che impedisca l'accesso dall'esterno è la linea di difesa più critica contro i cyberattacchi.

Consigliamo di seguire le seguenti linee guida:

  • Limita l'accesso alle reti su cui sono installati i dispositivi Danfoss.
  • Assicurati che i sistemi e i dispositivi Danfoss non siano accessibili da Internet, a meno che non siano posizionati dietro firewall e altri dispositivi di protezione.
  • Limita la connettività di rete esterna ai propri sistemi e dispositivi.
  • Monitora costantemente gli eventi che potrebbero indicare un tentativo di accesso non autorizzato.
  • Limita l'accesso alle reti interne in cui risiedono i dispositivi.
  • Isola le reti dei sistemi di controllo e sicurezza e i dispositivi remoti dalla rete aziendale.

Per una connessione/accesso sicuro è possibile utilizzare anche una connessione VPN.

Internet firewall

Implementa metodi sicuri per l'accesso alla rete da parte degli utenti remoti. Prima di effettuare aggiornamenti software, manutenzione e altre attività di supporto al sistema, tutti gli utenti remoti devono connettersi e autenticarsi attraverso un'unica pagina controllata.

Quando è necessario accedere ai dispositivi da postazioni remote, è importante limitare il più possibile l'esposizione del dispositivo. Le seguenti soluzioni presentano modi per proteggere il dispositivo e la rete, garantendo al contempo la flessibilità di accesso al dispositivo da remoto.

IP fisso sui dispositivi mobili:

L'utilizzo di indirizzi IP fissi sui dispositivi mobili remoti è la soluzione più semplice per mantenere l'accesso remoto al sistema e al tempo stesso la piena sicurezza del dispositivo contro gli attacchi ostili, proteggendolo anche dagli attacchi DDOS.

Remote gateway

Le soluzioni proxy sono più complesse da configurare, ma offrono una maggiore sicurezza e la possibilità di fornire un certificato SSL (Secure Sockets Layer) valido per l'accesso al sistema. Il sistema proxy espone a Internet un accesso autenticato al sistema, che si occuperà della parte peggiore di eventuali attacchi al sistema, proteggendo il System Manager da eventuali compromissioni. 

Il proxy può utilizzare metodi quali autenticatori, autenticazione a due fattori e altri meccanismi di sicurezza per assicurarsi che sia consentito solo l'accesso autorizzato.

Il proxy è agganciato al firewall che protegge il System Manager e tutti i clienti si servono di indirizzi IP casuali e si autenticano al proxy (di solito utilizzando certificati, autenticazione a due fattori o simili), creando così una solida identificazione del cliente.

A tutti i clienti estranei viene negato l'accesso diretto dal firewall e dal proxy, in quanto non possono fornire le credenziali necessarie per collegarsi al proxy. 

Ciò significa che il proxy resisterà alla maggior parte degli attacchi di sicurezza e, nel peggiore dei casi, il proxy sarà sottoposto a DDOS e l'accesso locale al gestore del sistema sarà ancora possibile.

Proxy solutions

Alsense può fornire questa soluzione tramite una connessione basata su VPN (Virtual Private Network) o tramite una soluzione proxy IP-bound, in cui la connessione può essere limitata al sistema cloud Alsense - anche in questo caso riducendo al minimo l'esposizione del sistema a Internet, consentendo ad Alsense di fornire la protezione del sistema.

Alsense è una soluzione cloud di Danfoss per l'accesso ai System Manager e molto altro ancora. Questa soluzione offre gli stessi vantaggi della soluzione proxy, ma è gestita da Danfoss e non richiede al cliente di implementare, mantenere e gestire il proxy.

Technical Instruction & explanation for setting up a firewall
TP Link 2

L'accesso alle reti industriali deve avvenire tramite log di autenticazione/audit, ad esempio VPN o firewall, in modo da poter verificare gli accessi e quindi indagare sugli eventi di sicurezza che si verificano. Per ridurre al minimo le possibilità di violazione dei dati, è necessario monitorare e verificare gli eventi di sistema 24 ore su 24, 7 giorni su 7. Utilizza sistemi di rilevamento delle intrusioni, sistemi di prevenzione delle intrusioni, software antivirus e registri di utilizzo per rilevare le violazioni dei dati o gli incidenti nelle fasi iniziali.

Come buona prassi, suggeriamo l'uso di un software di monitoraggio delle reti per rilevare eventuali avvisi di traffico insolito, tentativi di accesso non riusciti, ecc. Le linee guida sono molto vaste, dai requisiti IT generali previsti dalla ISO 27001 a quelli specifici della IEC 62443, e possono essere consultate in questi standard internazionali.

Per ulteriori informazioni sulle offerte di Danfoss relative alle soluzioni di monitoraggio, consulta il seguente link.

La nostra soluzione Alsense Cloud è già conforme a OWASP, NIST e, naturalmente, al Regolamento generale sulla protezione dei dati:

Soluzioni IoT e monitoraggio Alsense per HVAC-R | Danfoss
Alsense iot faq

Un impianto o un macchinario è di solito gestito da più di una persona, pertanto si raccomanda un'amministrazione centralizzata degli utenti.

Modificare le password predefinite al momento della messa in funzione e utilizzare il prodotto per creare livelli di accesso per gli utenti.

Per esempio, il Danfoss System Manager è un prodotto possibile, in cui si possono creare livelli di accesso per gli utenti: Danfoss System Manager è un prodotto in cui è possibile definire il livello di accesso dell'utente al dispositivo per altri possibili utenti.

Questo è particolarmente importante per gli account di amministratore e per i dispositivi del sistema di controllo. Utilizzate l'accesso basato sui ruoli con l'autenticazione a più fattori per prevenire le violazioni della sicurezza e fornire un registro delle attività di accesso.

Gli utenti dovrebbero evitare di condividere le password, per evitare che vengano divulgate e per contribuire alla verifica degli accessi. Una password condivisa finisce per essere conosciuta da tutti e impedisce la verifica dei problemi di sicurezza.

È opportuno considerare l'aggiunta di funzioni di sicurezza per le password, come il blocco dell'account che si attiva quando vengono inserite troppe password errate.

Principi di base:

  • I meccanismi di whitelisting forniscono una protezione aggiuntiva contro le applicazioni indesiderate o il malware, nonché contro le modifiche non autorizzate alle applicazioni installate.
  • Il software di whitelisting crea o contiene un elenco di programmi e applicazioni che possono essere eseguiti sul PC.

Utilizzare la whitelist per definire quali applicazioni, IP e così via sono consentiti, in quanto la whitelist è la forma più forte di controllo della sicurezza in quanto blocca i tentativi di bypassarla. Tuttavia, se per qualche motivo la whitelist non è un'opzione praticabile, se possibile, è necessario implementare una blacklist per bloccare i problemi di sicurezza noti, sapendo però che le blacklist possono essere facilmente aggirate.

La blacklist è un meccanismo di controllo dell'accesso di base che consente di bloccare gli elementi indesiderati (indirizzi e-mail, utenti, password, URL, indirizzi IP, nomi di dominio, hash dei file e così via), tranne quelli esplicitamente indicati. Agli elementi presenti nell'elenco viene negato l'accesso.

La blacklist può aiutare a prevenire l'accesso al sistema da parte di virus, spyware, trojan, worm e altri tipi di malware.

Spesso l'utilizzo congiunto di blacklist e whitelist è l'opzione ideale. È possibile utilizzare approcci diversi a diversi livelli dell'infrastruttura e persino utilizzare entrambi all'interno dello stesso livello.

Molte organizzazioni utilizzano sia la blacklist che la whitelist per diverse parti delle loro strategie di sicurezza. Ad esempio, il controllo dell'accesso a un computer o a un account tramite una password costituisce una whitelist. L'accesso è consentito solo a chi possiede la password, mentre tutti gli altri non possono entrare. Molte di queste stesse organizzazioni gestiscono anche programmi anti-malware che utilizzano una lista nera di malware noti per bloccare i programmi dannosi.

La formazione sulla cybersecurity per i tuoi dipendenti ti aiuterà a mantenere l'organizzazione al sicuro. Illustra le e-mail di phishing, gli allegati infetti, i siti web dannosi e altri metodi che li attaccano direttamente.

Per esempio, il reparto IT di Danfoss, conforme alla normativa, è in grado di fornire una formazione sulla sicurezza informatica ai dipendenti: Il Dipartimento IT di Danfoss, conforme alla norma ISO 27001, offre ogni anno una formazione online obbligatoria a tutti i dipendenti, al fine di formare le persone e capire come tutti i membri di un'azienda possano contribuire alla sicurezza informatica.

Anche se non si tratta solo di un problema di sicurezza informatica, è importante mettere in atto controlli fisici per evitare che persone non autorizzate possano accedere alle apparecchiature. Conserva tutti i controller in armadietti chiusi a chiave e limita l'accesso a tutti i dispositivi collegati.

Informazioni generali

La sicurezza informatica può essere efficiente solo se tutti contribuiscono a rendere sicuro il sistema di installazione.

Come mostrato nella visualizzazione precedente della famiglia di norme IEC-62443, sarà necessario uno sforzo e un'attività condivisi, poiché la sicurezza è una responsabilità comune. In qualità di fornitore di prodotti, Danfoss mira a conformarsi alle norme IEC 62443-4-1 e IEC 62443-4-2.

Inoltre, richiederà la responsabilità e la mitigazione da parte dell'integratore di sistema e del proprietario dell'asset.

Per informazioni specifiche sul prodotto, consulta la documentazione

Danfoss fornisce informazioni dettagliate su ogni prodotto. Consulta le guide ai prodotti sul sito web o quelle che includono i tuoi prodotti per trovare raccomandazioni e best practice sulla cybersecurity direttamente collegate ai tuoi prodotti Danfoss.

Controlla anche le informazioni online come la pagina delle FAQ di Danfoss, dove è stata inserita questa guida alle migliori pratiche.

Controllori elettronici e servizi FAQ | Danfoss

Per ulteriori informazioni sulle migliori pratiche di sicurezza informatica, esamina queste fonti:

Disclaimer:

IL PRESENTE DOCUMENTO HA LO SCOPO DI FORNIRE RACCOMANDAZIONI GENERALI SULLA SICUREZZA E VIENE FORNITO "COSÌ COM'È" SENZA ALCUN TIPO DI GARANZIA. DANFOSS DECLINA OGNI GARANZIA, SIA ESPLICITA CHE IMPLICITA, COMPRESE LE GARANZIE DI COMMERCIABILITÀ O DI IDONEITÀ PER UNO SCOPO PARTICOLARE. IN NESSUN CASO DANFOSS SARÀ RESPONSABILE PER DANNI DI QUALSIASI TIPO, COMPRESI QUELLI DIRETTI, INDIRETTI, INCIDENTALI, CONSEQUENZIALI, PERDITA DI PROFITTI COMMERCIALI O DANNI SPECIALI, ANCHE SE DANFOSS È STATA AVVISATA DELLA POSSIBILITÀ DI TALI DANNI. L'USO DI QUESTO DOCUMENTO, DELLE INFORMAZIONI IN ESSO CONTENUTE O DEI MATERIALI AD ESSO COLLEGATI È A RISCHIO DELL'UTENTE. DANFOSS SI RISERVA IL DIRITTO DI AGGIORNARE O MODIFICARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO E A SUA ESCLUSIVA DISCREZIONE.