Diodele de date, care erau o tehnologie de nișă utilizată în domeniul militar și al securității nucleare, au devenit o componentă esențială a securității cibernetice în sectorul industrial și în mediul corporativ. Având în vedere că pierderile cauzate de incidentele cibernetice s-au cuadruplat începând din 2017, ajungând la aproape 2 miliarde de dolari, s-a înregistrat o adoptare tot mai largă a diodelor de date ca standard de securitate, fie că sunt incluse ca cerință sau ca recomandare în cadrul reglementărilor. Importanța lor crescândă se datorează faptului că soluțiile de securitate bazate pe software, precum firewall-urile, nu mai pot garanta securitatea.
Nevoia tot mai mare de diode de date
Deoarece diodele de date impun un trafic unidirecțional la nivel hardware, adesea folosind fibră optică, acestea blochează fizic calea de comunicare inversă de care au nevoie programele de tip ransomware și amenințările persistente avansate (APT) pentru a funcționa. În timp ce firewall-urile rămân standard pentru majoritatea aplicațiilor de afaceri, reglementările globale pentru sectoarele de infrastructură critică cu risc ridicat, precum cel nuclear, energetic și al apei, recomandă sau impun acum în mod explicit utilizarea diodelor de date pentru a asigura izolarea fizică între rețelele OT (tehnologie operațională) și IT (tehnologia informației).
Profilul de securitate al Data Diode oferă trei avantaje cheie în materie de securitate, care depășesc capacitățile firewall-urilor:
Amenințările provenite din rețea nu pot ocoli securitatea unidirecțională asigurată la nivel hardware de o diodă, spre deosebire de firewall-uri, care pot fi ocolite prin configurări greșite sau vulnerabilități de tip zero-day
Fără canale ascunse, împiedicând atacatorii să trimită comenzi către sistemele compromise
O excepție de la protocol care permite diodelor de date să transfere date utilizând un protocol nerutabil
Diferențele principale dintre diodele de date și firewall-uri
| Caracteristică | Firewall | Gateway unidirecțional (diodă de date) |
|---|---|---|
| Mecanism | Software(logic) | Hardware(fizic) |
| Direcție | Bidirecțional (filtrat) | Strict în sens unic |
| Vulnerabilitate | Vulnerabil la configurări incorecte și la exploatări de tip zero-day | Imun la atacurile la distanță bazate pe software |
| Caz de utilizare | Securitatea generală a sistemelor informatice | Protecție OT/ICS de înaltă securitate |
Cerințe și orientări normative la nivel global
Având în vedere profilul de securitate care nu poate fi ocolit al diodelor de date, autoritățile de reglementare din întreaga lume recomandă și, în unele cazuri, impun utilizarea acestora pentru segmentarea rețelelor de infrastructură critică.
Mai multe standarde, precum NRC, NERC CIP (energie), IEC 62443 (industrial) și directivele TSA (feroviar/conducte), impun sau recomandă cu tărie fluxul unidirecțional asigurat la nivel hardware pentru infrastructurile critice. Cu toate acestea, există numeroase exemple de utilizare a diodelor în sectoare industriale care nu impun în prezent utilizarea acestora, cum ar fi:
- Instituțiile din sectorul serviciilor financiare, în special băncile, le utilizează în prezent pentru a securiza rețelele de tranzacții de mare valoare și pentru raportarea către autoritățile de reglementare, astfel încât datele sensibile să părăsească banca fără a lăsa o breșă pentru hackeri. De asemenea, acestea sunt folosite pentru securizarea arhivelor și a centrelor de recuperare în caz de dezastru.
- Instituțiile medicale și farmaceutice utilizează diode de date pentru protejarea proprietății intelectuale și pentru a izola rețelele de tehnologie clinică, precum monitoarele pentru pacienți și sistemele de imagistică diagnostică, de rețelele IT ale companiei.
- Organizațiile din industria maritimă utilizează diode de date pentru a izola și monitoriza datele provenite din sălile mașinilor și din sistemele de comandă a direcției, precum și pentru a proteja transferurile de date între navă și țărm.
Cadre de reglementare care impun sau recomandă utilizarea diodelor de date
Mai jos se află un rezumat al principalelor reglementări și orientări internaționale care specifică sau recomandă cu tărie utilizarea gateway-urilor unidirecționale.
Standarde internaționale
IEC 62443
Partea 3-3 (SR 5.2) se concentrează pe „Disponibilitatea resurselor” și recomandă utilizarea unor gateway-uri unidirecționale în zonele de înaltă securitate (nivelurile 3 și 4) pentru a preveni răspândirea programelor malware și a asigura integritatea datelor.
ISO 27019
În ceea ce privește sectorul energetic, ghidul subliniază necesitatea unei segmentări sigure a rețelei, menționând diodele de date ca fiind o „practică recomandată” pentru separarea sistemelor de control al proceselor de rețelele externe.
În America de Nord
NERC CIP
Reglementările NERC (North American Electric Reliability Corporation) privind protecția rețelei electrice se numără printre cele mai stricte. În timp ce standardele CIP-002 până la CIP-013 permit utilizarea de firewall-uri, utilizarea unui gateway unidirecțional poate „scuti” o utilitate de la mai multe cerințe de conformitate (cum ar fi 21 din 26 de reguli în anumite contexte NRC), deoarece gateway-ul împiedică fizic accesul electronic de intrare, reducând efectiv riscul „Perimetrului de Securitate Electronică” (ESP).
NIST SP 800-82 (Revizia 3)
Ghidul Institutului Național de Standarde și Tehnologie privind securitatea sistemelor Industrial menționează în mod explicit gateway-urile unidirecționale ca măsură defensivă principală. Acesta recomandă utilizarea acestora pentru transmiterea datelor dintr-o zonă OT cu nivel ridicat de securitate către o zonă IT cu nivel mai scăzut de securitate, cum ar fi transmiterea datelor de la senzori către o bază de date în cloud, fără a permite atacatorului nicio cale de întoarcere.
NRC RG 5.71
Acest cadru al NRC (Comisia de Reglementare Nucleară) impune un nivel ridicat de izolare pentru sistemele digitale din centralele nucleare. Acesta identifică fluxul unidirecțional de date ca fiind metoda preferată pentru monitorizarea sistemelor de siguranță nucleară din rețelele externe.
În Europa
ANSSI (Franța) - PSSI-IV
Agenția Națională pentru Securitatea Sistemelor Informatice din Franța (ANSSI) este un lider mondial în promovarea utilizării diodelor de date. În cazul operatorilor de importanță vitală (OIV), ANSSI impune adesea utilizarea diodelor de date certificate, cu certificare CSPN, pentru orice conexiune între rețelele industriale cele mai critice de „clasa 3” și internet sau rețelele mai puțin sigure de „clasa 1”.
Directiva NIS2 (la nivelul UE)
Deși Directiva NIS2 (privind securitatea rețelelor și a informațiilor) nu impune utilizarea unui anumit tip de echipament hardware, aceasta solicită „entităților” să pună în aplicare măsuri de gestionare a riscurilor „de ultimă generație”. În sectoare precum cel energetic și cel al apei, autoritățile naționale de reglementare, precum BSI în Germania și CCN în Spania, transpun prevederile Directivei NIS2 în cerințe tehnice care acordă prioritate segmentării bazate pe echipamente hardware în detrimentul firewall-urilor software.
În Asia și Orientul Mijlociu
Arabia Saudită (NCA)
Autoritatea Națională pentru Securitate Cibernetică din Arabia Saudită a emis „Standarde privind diodele de date” specifice pentru sectoarele critice, precizând modul în care acestea trebuie utilizate pentru a proteja activele regatului din domeniul petrolului, gazelor și utilităților.
Coreea de Sud (KISA)
La fel ca în Singapore, liniile directoare ale Coreei de Sud privind rețelele inteligente și securitatea nucleară pun un accent puternic pe utilizarea unor gateway-uri unidirecționale pentru transferul de date, cu scopul de a preveni mișcările laterale provenite din internetul public.
Diode de date de vârf în industrie șiOT Security unificateOT Security
Soluțiile MetaDefender asigură un transfer unidirecțional de date, controlat la nivel hardware, între rețelele IT și OT, facilitând replicarea sigură a datelor și vizibilitatea operațională fără a compromite izolarea rețelei.
Pentru a afla mai multe despre modul în care OPSWAT vă poate ajuta să reduceOPSWAT să respectați cadrele de reglementare regionale și globale, discutați astăzi cu un expert.
