Acqua nella NuvolaSistema di Telecontrollo in “Cloud” per Sistema

Idrico“Proof-Of-Concept” per Acquedotto

Multiutility

Enzo M. TieghiServiTecno/GE-Intelligent Platforms

etieghi@servitecno.it www.telecontrollo.biz www.ourwatercounts.org

Enzo Maria Tieghi• Amministratore Delegato di ServiTecno

(da oltre 20 anni software industriale)

• Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)

• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)

• Co-autore ed autore pubblicazioni, articoli e memorie

2

Enzo Maria Tieghi• Amministratore Delegato di ServiTecno

(da oltre 20 anni software industriale)

• Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)

• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)

• Co-autore ed autore pubblicazioni, articoli e memorie

3

Requisiti del Sistema:

• Acquisizione dati distribuiti sul territorio• Semplicità di deployment e scalabilità• Alta Disponibilità• Vincoli di costo per implementazione e

manutenzione (TCO ridotto)• Accesso multi-dispositivo ai dati (BYOD)• Contestualizzazione di grandi volumi di

dati storicizzati e real time (B.I./Big Data)

SCADAServer

Client Scada-Historian-KPI

1

3

4

67

Mobile BI- KPI/ Allarmi

RTU su APN Privata/Pubbli

ca

2

5

Datacenter/HistorianServer

KPI/ALM Server

RTU su APN Privata/Pubbli

ca

SCADAServer

1

RTU su APN Privata/Pubbli

ca

SCADAServer

1

1 – Connessione RTU-SCADA su APN Privata o Pubblica• Ogni modulo/RTU dispone di indirizzo IP Pubblico (o

Privato)• SCADA dispone di un indirizzo IP Pubblico (o Privato)• A tempo (o su evento) ogni modulo/RTU invia a

SCADA i dati collezionati/Allarmi• Comunicazione avviene su porta UDP• Il traffico non è cifrato. RTU e SCADA sono però

“autenticati”. • Per maggiore security si utilizza APN Privata• su APN Pubblica non è possibile vpn tra RTU e SCADA

SCADAServer

2Datacenter/Historian

Server

2 – Connessione SCADA-Historian• Connessione tra SCADA e Historian richiede

collegamento TCP/IP (si seleziona porta).• su rete Pubblica, è possibile una vpn.• Comunicazione su porta TCP• Il traffico non viene cifrato• Si può utilizzare “tunnelling” • Si può utilizzare “Diodo” (Data-Diode)

SCADAServer

Client Scada-Historian-KPI

3

3 – Connessione Client-Scada (iFix)

• La connessione tra Client e Scada iFix richiede collegamento TCP/IP, con suo protocollo

• Su rete pubblica, è possibile usare vpn.• La comunicazione avviene su porta TCP• Il traffico può essere criptato• Client: Fat-client tradizionale, Thin-Client o

WebSpace

Client Scada-Historian-KPI

4

Datacenter/HistorianServer

4 – Connessione Client-Historian• Tra Client Historian-Server Historian collegamento

TCP/IP.• Su rete pubblica con vpn.• Comunicazione su porta TCP• Protocollo proprietario• Traffico può essere cifrato• Client possibili: Web Client, Client iFix/Pulse, API,

Excel add-in, OleDB, XML, ecc.

5

Datacenter/HistorianServer

KPI/ALM Server

5 – Connessione Historian-KPI• Connessione Historian-KPI via TCP/IP.• su rete pubblica, è possibile usare una vpn• Comunicazione su porta TCP• Il traffico può essere cifrato• VisualKPI è a tutti gli effetti un client “ONE-WAY” di

Historian

Client Scada-Historian-KPI

67

Mobile BI- KPI/ Allarmi

KPI/ALM Server

6/7 – Connessione Client-KPI• Connessione Client-KPI via http(s) (HTML5) • Client solo in consultazione • Autenticazione User/Mobile device (certificati)• Gestione di livelli differenti di accesso ai dati• SMS, email e Messaggistica per

Operatori/Allarmi/dati

SCADAServer

Client Scada-Historian-KPI

1

3

4

67

Mobile BI- KPI/ Allarmi

RTU su APN Privata/Pubbli

ca

2

5

Datacenter/HistorianServer

KPI/ALM Server

Zones & Conduits (ISA99/IEC62443)

DataServer

File/PrintServer

App.Server

WorkstationLaptop computer

Router

Plant A Zone

Controller Controller

I/O I/O

App.Server

DataServer

Maint.Server

Plant A Control ZoneFirewall

DataServer

File/PrintServer

App.Server

WorkstationLaptop computer

Router

Plant B Zone

DataServer

File/PrintServer

App.Server

WorkstationLaptop computer

Router

Plant C Zone

MainframeWorkstationLaptop computer Server Server

Enterprise Zone

Firewall

Enterprise Conduit

Plant Control Conduit

Controller Controller

I/O I/O

App.Server

DataServer

Maint.Server

Plant B Control ZoneFirewall

Firewall

Plant Control Conduit

Controller Controller

I/O I/O

App.Server

DataServer

Maint.Server

Plant C Control ZoneFirewall

Firewall

Plant Control Conduit

AIIC – Associazione Italiana esperti Infrastrutture Critiche

AIIC – Associazione Italiana esperti Infrastrutture Critiche

AIIC – Associazione Italiana esperti Infrastrutture Critiche

AIIC: verso un Security/Resilience Maturity Model

AIIC – Associazione Italiana esperti Infrastrutture Critiche

WORK-IN-PROGRESS

• GdL "Sicurezza dei Sistemi Idrici", coordinatori Roberto Setola e Enzo Maria Tieghi• GdL "Sicurezza dei Sistemi SCADA", coordinatore Stefano Panzieri

www.infrastrutturecritiche.it

Dubbi? Domande…

Enzo M. Tieghi etieghi@servitecno.it