Il futuro dell’intelligenza artificiale industriale (AI) sembra luminoso. Molti studi iniziali e progetti pilota hanno dimostrato che collegando i sistemi di produzione ai motori di intelligenza artificiale è possibile ottenere significativi miglioramenti in termini di efficienza e risparmi sui costi. Ma la realtà è che c’è una sfida seria da affrontare.
Come possiamo garantire l’assoluta sicurezza di questi sistemi di produzione e dei loro dati? Dopotutto, la maggior parte degli strumenti di intelligenza artificiale sono basati sul cloud. Ciò di cui abbiamo bisogno è una connettività sicura e in tempo reale dalla fabbrica ai sistemi di intelligenza artificiale in esecuzione nel cloud.
Il metodo consigliato per garantire la sicurezza dei dati industriali è la segmentazione completa della rete. I sistemi di tecnologia operativa (OT) dovrebbero essere completamente isolati dai sistemi cloud di iWanhe. Il modo migliore per farlo è utilizzare la zona demilitarizzata (DMZ), mantenendo la rete di produzione dietro un firewall chiuso. I governi e i leader del settore di tutto il mondo concordano su questa pratica di sicurezza informatica industriale di base ed è richiesta dalla Direttiva NIS2 e dal NIST CSF 2.0.
Le sfide per la comunicazione industriale
Il trasferimento dei dati dall'ambiente di produzione al sistema AI basato su cloud tramite DMZ richiede due passaggi: dalla fabbrica alla DMZ; e dalla DMZ al cloud. Tuttavia, OPC-UA e MQTT non sono progettati per tali percorsi. Sebbene siano spesso utilizzati nei sistemi IIoT e Industry 4.0, sono stati concepiti all'inizio degli anni 2000, molto prima che si prendesse in considerazione la migrazione dei dati industriali nel cloud.
Il protocollo OPC UA stesso è troppo complesso per essere replicato bene in uno schema a margherita su più server. Le informazioni potrebbero andare perse al primo salto. Le interazioni sincrone multi-hop necessarie per trasferire i dati attraverso la DMZ saranno molto fragili e potranno comportare un'elevata latenza.
MQTT, d'altra parte, può essere collegato in catena, ma richiede che ciascun nodo della catena sia configurato individualmente e si renda conto che fa parte della catena. Le garanzie di qualità del servizio (QoS) in MQTT non possono essere propagate attraverso la catena, il che rende inaffidabili i dati alla fine della catena. Pertanto, MQTT è meglio utilizzato solo come passaggio finale per spostare i dati dalla DMZ al cloud.
Quindi, cosa succede quando OPC UA e MQTT vengono combinati? Il trasferimento sicuro dei dati dall'impianto alla DMZ è una sfida. L'utilizzo di OPC UA in questo passaggio comporta un serio inconveniente, poiché richiede l'attivazione di un firewall sulla rete di produzione. Qualsiasi client OPC UA sulla DMZ deve essere collegato in fabbrica al server OPC UA tramite un firewall. Il rischio di avere un firewall di fabbrica aperto per una connessione di questo tipo è troppo alto perché la maggior parte degli amministratori della sicurezza lo consentano.
Tecnologia di tunneling/mirroring
Poiché OPC-UA e MQTT da soli o insieme non sono sufficienti per trasferire i dati sulla DMZ, è necessario un approccio alternativo, che si integri bene con entrambi i protocolli. Il software di tunneling/mirroring sicuro con uno spazio dei nomi unificato fornisce una soluzione. Può stabilire una connessione su entrambe le estremità e trasferire i dati lungo la connessione a margherita richiesta per il supporto DMZ.
Le connessioni tunneling o con mirroring utilizzano in genere due componenti software. Il primo componente effettua le connessioni necessarie a livello di produzione per raccogliere dati da vari protocolli di settore in un unico spazio dei nomi unificato. Quindi esegue il tunneling dei dati a un secondo componente in esecuzione sulla DMZ.
Il secondo componente converte i dati in MQTT e li invia dalla DMZ al servizio AI nel cloud. Le funzionalità di mirroring del software di tunneling/mirroring mantengono i dati coerenti tra l'origine dati originale, la DMZ e i sistemi AI.
Firewall e diodi dati
Come accennato in precedenza, tutte le porte firewall in entrata sul sistema di produzione devono rimanere sempre inattive. Il sistema di tunneling/mirroring deve essere in grado di stabilire una connessione solo in uscita dalla rete di produzione alla DMZ.
Inoltre, alcune applicazioni infrastrutturali critiche ad alta sicurezza richiedono diodi dati hardware per garantire che nessun pacchetto di dati possa essere rinviato dalla DMZ alla rete industriale. I sistemi di tunneling/mirroring devono supportare questo livello di architettura di sicurezza per queste applicazioni.
Le implementazioni di altre applicazioni di intelligenza artificiale possono richiedere un flusso di dati bidirezionale per consentire il controllo di supervisione automatico o l'immissione di dati simili nel sistema di produzione. La tecnologia di tunneling/mirroring dovrebbe essere sufficientemente flessibile da supportarla quando necessario.
In nessun caso dovresti accedere a dati diversi da quelli utilizzati dal sistema AI. Gli ingegneri dell'impianto dovrebbero avere il controllo completo su quali dati possono essere utilizzati.
Nel complesso, molte aziende oggi si rivolgono all’intelligenza artificiale industriale per ottimizzare i sistemi di produzione. La sfida è come accedere ai dati di cui hanno bisogno senza compromettere la sicurezza. È difficile, ma non impossibile. Puoi avere una rete OT con superficie di attacco pari a zero e continuare a fornire dati ai sistemi di intelligenza artificiale basati su cloud. La sicurezza è fornita da DMZ. È possibile accedere ai dati di produzione tramite la DMZ utilizzando un software di tunneling/mirroring ben progettato.

