OPSWAT infrastructura critică; cu toate acestea, aceasta nu se limitează la ceea ce guvernele definesc drept „infrastructură critică”, ci la ceea ce considerați dumneavoastră a fi critic.
În centrul acestei infrastructuri se află datele critice – date care asigură funcționarea în condiții de siguranță, stabilitate și continuitate.
În mediile ICS (sistemeIndustrial ) și OT, aceste date reflectă funcțiile și procesele esențiale ale activității. Însă, atunci când are loc un incident cibernetic, una dintre prioritățile principale devine limitarea efectelor.
Dilema izolării
Primul pas în procesul de izolare constă în izolarea sistemelor afectate și întreruperea căilor de conectivitate care ar putea favoriza răspândirea atacului. Ghidul CISA (Agenția pentru Securitate Cibernetică și Infrastructură) privind răspunsul la atacurile de tip ransomware, de exemplu, recomandă în mod explicit izolarea imediată a sistemelor afectate și deconectarea dispozitivelor, atunci când este posibil(1). Acesta este un sfat întemeiat – însă, în mediile industriale, poate genera o dilemă operațională:
| Securitatea necesită separare | Operațiunile necesită transparență |
|---|---|
| Opriți mișcarea laterală | Sistemele funcționează în continuare în condiții de siguranță? |
| Renunțați la modelul de comandă și control | Sistemele sunt stabile sau înregistrează abateri de la limitele de toleranță? |
| Prevenirea răspândirii | Oprim activitatea sau putem continua să funcționăm fără incidente? |
Diodele optice elimină orice urmă de îndoială
O diodă optică de date permite organizațiilor să blocheze căile bidirecționale, precum firewall-urile, rețelele VPN, accesul la distanță și relațiile de încredere, permițând totuși ca datele critice de telemetrie să fie transmise către exterior. Această metodă oferă un mecanism pentru monitorizarea proceselor, sporirea siguranței și îmbunătățirea procesului decizional pe baza datelor în timp real.
Core
Chiar dacă „închideți ușa” dintre IT și OT pe durata izolării, puteți lăsa totuși o „fereastră de comunicare” prin care datele de proces în regim „doar citire” să poată ieși din mediul OT – fără a oferi o cale de acces înapoi în rețea.
Măsurile de izolare, ca parte a răspunsului la incidente (IR), sunt în concordanță cu recomandările de securitate pentru tehnologiile operaționale (OT) formulate de mult timp de NIST. NIST subliniază că o alternativă la un firewall o reprezintă o poartă unidirecțională sau o diodă de date, care permite doar comunicarea autorizată și configurată într-o singură direcție(2).
Ce se întâmplă când se face întuneric
Cum se poate desfășura activitatea de producție fără automatizare și infrastructură? Un exemplu des citat de „izolare prin deconectare” este incidentul cu ransomware din 2019 de la Norsk Hydro, în cadrul căruia compania a blocat accesul la rețea pentru a preveni răspândirea și a recurs la procese manuale pentru o perioadă. Ransomware-ul LockerGoga a afectat cel mai mult unele dintre fabricile lor de prelucrare a aluminiului, iar impactul financiar ar ajunge la peste 71 de milioane de dolari. Personalul pensionat al fabricii, care cunoștea vechiul sistem pe hârtie, s-a oferit voluntar să se întoarcă la fabrici pentru a menține producția în funcțiune(3).
Este important să înțelegem acest caz, deoarece ilustrează costurile operaționale și financiare generate de pierderea conectivității digitale și a vizibilității centralizate asupra proceselor automatizate în timpul unui incident de securitate. A fost o decizie corectă.
Vizibilitate la nivel de decizie cu izolare
În multe organizații industriale, vizibilitatea proceselor depinde de fluxul de date provenite din surse OT, cum ar fi:
- Servere OPC UA (valori în timp real, alarme, date contextualizate)
- Istoricilor le place AVEVA PI (serii temporale + evenimente + contextul Asset Framework)
În timpul perioadei de izolare, se obișnuiește dezactivarea firewall-urilor și a regulilor sau blocarea accesului de la distanță pentru a împiedica conectarea datelor de telemetrie OT la instrumentele companiei. O arhitectură de tip diodă modifică acest mod de eșec:
- Puteți dezactiva rute de tip firewall/server pentru a preveni riscurile asociate traficului de intrare.
- Puteți obține în continuare date de telemetrie unidirecționale pentru a menține o imagine de ansamblu asupra situației și pentru a accelera trierea incidentelor în timp real.
- Dacă utilizați alte instrumente de monitorizare a traficului de rețea pentru detectarea amenințărilor, puteți menține fluxul acestor date printr-o diodă
Exemplu de scenariu
Incident
Un program de tip ransomware se activează în rețeaua companiei. Echipa de intervenție în caz de incidente izolează și blochează traficul între rețeaua IT și cea OT pentru a preveni contaminarea infrastructurii OT.
Problemă
Echipele centrale nu mai au acces la tablourile de bord OT și la vizualizările istorice care oferă informații privind starea mediului de operare, precum „Este sigur? Este stabil?”.
Prin intermediul unei diode, rețeaua OT continuă să transmită date de telemetrie numai pentru citire către o rețea de recepție, unde conducerea departamentului SOC/operațiuni poate vizualiza tendințele cheie, alarmele și datele privind siguranța – fără ca vreo comunicație de control să se întoarcă în mediul OT.
Deși o diodă nu „rezolvă problema ransomware-ului” (consultați tehnologiile preventive din cadrul MetaDefender Core), aceasta reduce amploarea impactului prin blocarea accesului la rețea din zonele cu risc ridicat, menținând în același timp un nivel minim de vizibilitate operațională.
Date practice de transmis
Pentru a menține eficiența operațională, definiți un set de date privind vizibilitatea crizelor încă din faza de planificare a planului dumneavoastră de reacție la incidente. Acesta trebuie să includă date precum:
- Valori ale proceselor critice pentru siguranță (presiune, temperatură, niveluri, blocaje)
- Indicatori de mod/stare (automat/manual, permisiv, declanșări)
- Rezumatele alarmelor (număr + cele mai frecvente alarme)
- Telemetria stării rețelei (comutatoare/router-uri critice, starea dispozitivelor/porturilor (activ/inactiv), date istorice privind starea rețelei)
- Context minim (denumiri de active/unități, pentru ca echipele să poată înțelege rapid)
Referințe
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [Online]
2. NIST. SP800-82r3. NIST. [Online] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Hackerii au atacat Norsk Hydro cu un program de tip ransomware. Compania a răspuns cu transparență. Microsoft.com. [Online] 16 decembrie 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
