No smart factory without security.Un approccio pragmatico al paradigma “Industria 4.0” senza rinunciare alla sicurezza.

Giuseppe Menin – COPA-DATA Italia

Parma, 24/05/2016

Smart Factory … «I have a dream …»

2

Dagli slogan alla realtà …

3

• E’ possibile adottare i paradigmi dell’industria 4.0 nelle aziende manifatturiere reali, senza stravolgere impianti e asset produttivi?

• In fabbrica vi sono apparati diversi: Che linguaggi parlano?I protocolli di comunicazione sono pronti per l’IoT ?

• I dati che leggo dai dispositivi sono direttamente fruibili per l’archiviazione e analisi o devono essere pre-elaborati?

• Come integrare in modo performante ed affidabile le linee di produzione con sistemi MES/ERP per garantire un flusso dati bidirezionale stabile?

L’approccio cloud sembra interessante, ma …

4

• Dove risiedono i miei dati?

Posso scegliere diverse tipologie di configurazione?

• E se voglio mantenere i miei dati “on premise”?

• Qual è lo sforzo tecnico richiesto per portare nel cloud una

pressione, la corrente di un motore o un dato di qualità se arrivano

da apparati diversi e la gran parte di questi non è IoT ready?

• Come coniugare la condivisione delle informazioni con la

cybersecurity e la riservatezza?

Private, Hybrid or Public Cloud

La sfida dell’integrazione IT - OT - IoT

Gartner 2016 Research:

Aligning IT, IoT and Operational Technology Investments Primer for 2016

Top Challenges:

– How can IT, OT and the IoT be used for digital business?

– How can CIOs address the technical challenges of combining and using the information

generated by IT, OT and the IoT?

– What processes and organizational changes are required by the use of IT, OT and the IoT in digital business?

5

IoT – Internet of Thing

IT – Information Technology

OT –Operational Technology

SCADA as

Process Gateway

Mobile HTML5

Clients

Fix

Clients

SCADA

Engineering

OT zone

IT zone

PLC, CNC, Sensors, Meters, Counters, Machines, …

Process GatewayCLOUD

Firewall

MES / ERP / BI / Reporting

SCADA DRIVER (connettori verso il campo)PLC fieldbus DRIVER

(i.e Profinet, …)

Historian

Trend

Alarm

Events

MS Azure bus

SQL server

SAP

Interface

OPC UA

server

SCADA Real Time DB

MS Azure

Gateway

MS Azure

Driver

Dati

real time

Dati

storici

on p

rem

ise

clo

ud-b

ased

Client,

Web client,

HTML5

PLC Logic IEC 61131-3

Dal PROCESS GATEWAY alla SMART FACTORY

on p

rem

ise

Azure Service Bus / Azure Event Hub

Analyzer

HD

Insig

ht

Table

Sto

rage

SQ

L

SCADA

real-time dashboard

clo

ud-b

ased

Everywhere Server

Azure Website

Machin

eLearn

ing

Azure Remote App

Azure

Driver

Azure

Gateway

Site A

Azure

Driver

Azure

Gateway

Site n

Trend

Report

Historian

SQL

Real-time communication (plant<->cloud; plant<->plant) Historical data

Site B

Azure

Driver

Azure

Gateway

Site C

Azure

Driver

Azure

Gateway

Use case 1: Dati nel cloud

• Ogni stabilimento invia i dati in un database ospitato nel cloud

• Lo strumento di analisi è ON-PREMISE in un sito.

• L’analisi è centralizzata nel sito che ospita lo strumento di analisi

9

Use case 2: Dati on-premise, server di analisi nel cloud

• I dati sono salvati localmente in ogni stabilimento• Lo strumento di analisi è ospitato nel cloud• I dati vengono letti dai vari siti in caso di bisogno• La consultazione dei dati è accessibile da qualsiasi sito

10

Use case 3: Dati e server di analisi nel cloud

• L’infrastruttura è sostanzialmente spostata sul cloud• I vari stabilimenti inviano i dati su un database cloud-based• Lo strumento di analisi legge i dati direttamente dal DB nel cloud• La consultazione dei dati è accessibile da qualsiasi sito• Soluzione altamente performante e scalabile

11

The Gartner analytics maturity model

12

Source:

© Gartner Inc. 2015

Alcune applicazioni tipiche

• Calcolo KPI da vari stabilimenti(ad es: OEE)

• EDMS: Energy Data Management Systemmulti plant (EnPI secondo ISO 50001)

• Manutenzione predittiva(predictive analytics)

13

La norma IEC 62443Cybersecurity in ambito IACS (Industrial Automation and Control Systems)

14

Product Vendors

SystemIntegrator

End user

Facility Operations

Production

Process Industry

Energy

Water

Other

certi

ficati

on

certi

ficati

on

certi

ficati

on

Product development process evaluation/audit

Domain

Fonte:

Defence in Depth strategy according IEC 62443

15

Security zone, communications conduits according IEC 62443

16

SCADA as

Process Gateway

Mobile HTML5

Clients

Fix

Clients

Ethernet

SCADA

Engineering

OT zone

IT zone

PLC, CNC, Sensors, Meters, Counters, Machines, …

Process Gateway con DMZCLOUD

Firewall

DMZ

MES / ERP / BI / Reporting

Riassumendo, attraverso il process gateway:

•Collegamento a asset esistenti attraverso diversi protocolli

•Protocolli di comunicazione legacy (deboli lato cyber-security)

•Pre-elaborazione/filtro dei dati raccolti (IEC61131-3)

Connettività verso il processo

•Invio dati al cloud

•Utilizzo dei dati «on-premise»: stazioni informative fisse o mobili

•Connessione ad MES / Reporting / ERP per integrazione workflow

•Comunicazione plant2plant via cloud

Distribuzione informazioni

•Segregazione zone non sicure, riduzione dei «conduit», DMZ, utilizzo di protocolli cifrati

•IEC62443 è un lavoro di squadra

•Defence in depht strategy

Cybersecurity

•Piattaforma di ingegneria configurabile, funzioni pronte all’uso (GAMP SW CAT.4)

•Semplice estensione della configurazione

•Semplice upgrade del software senza modificare la configurazione

Engineering

18

Grazie per l’attenzione

Giuseppe MeninIndustry Manager - Ing. Punzenberger COPA-DATA Srlgiuseppe.menin@copadata.it - twitter: @GiuseppeMenin