Tak trochu stranou bezpečnostních opatření často zůstávají provozní technologie – ochrana OT prostředí je přitom stejně důležitá jako tradiční IT infrastruktury. Nebo možná ještě důležitější. Výroba, monitoring a řízení fyzických procesů, ovládání velmi sofistikovaných zařízení… Ano, je to jiný svět – ale i ten je nutné chránit.
Jedním ze základních principů ochrany OT prostředí je jeho důsledné oddělení od IT světa. Jenže nic není tak přímočarého, jen málokdy se obejdeme bez nějaké míry vzájemné komunikace, byť obvykle jednosměrné. A právě zde vstupují do hry tzv. datové diody. Specializovaná zařízení, která umožňují důsledně prosadit jednosměrnou komunikaci. Nejen pomocí pravidel, ale především fyzickými opatřeními. Pojem dioda není zvolený náhodně, přímo odkazuje na typ součástek dobře známých z elektrotechniky.
Firewall? Ne, to nestačí…
V tradičním IT světě se většina bezpečnostních řešení spoléhá na software – antiviry, IDS/IPS systémy, firewally… Datová dioda na to jde jinak, představuje skutečnou hardwarovou bariéru mezi prostředími s různou mírou bezpečnosti. Díky speciální konstrukci – například jednosměrným optickým kanálem – je fyzicky znemožněno, aby došlo k přenosu škodlivého kódu nebo dat nechtěným směrem. A teprve nad tímto oddělením bývají implementovány další vrstvy softwarové ochrany.
Jde o pojetí, které je principiálně odlišné od mechanismů známých z IT světa. Nejbližší alternativou jsou firewally, nicméně ty neřeší fyzické oddělení, jsou známé komplexností pravidel, mnohdy chybí vlastník pravidel a o důsledném prověřování při změnách raději ani nemluvě. Navíc ani firewallům se nevyhýbají softwarové chyby… Datové diody netrpí žádným z těchto neduhů – komunikace v nežádoucím směru není možná.
„Datová dioda eliminuje celou třídu útoků. Je to řešení, které není založené na detekci, ale na prevenci. Útočník se prostě nikdy nedostane zpět do chráněného systému,“ říká Štěpán Bouda, obchodní ředitel společnosti ComSource, jež je dlouholetým partnerem globálního lídra v této oblasti – společnosti OPSWAT. „Nikdy a nijak, prostě to nejde.“
Hardwarová jistota pro průmysl
Řešení OPSWAT MetaDefender Optical Diode mj. využívá bariéry na optickém přenosu, a jde tedy o optické datové diody. Primárně je to portfolio navržené pro prostředí, kde se pracuje s citlivými daty nebo provozními technologiemi, které nesmějí být ohroženy – od energetiky přes dopravní infrastrukturu až po průmyslové závody. Výhodou je plně hardwarová konstrukce bez možnosti zpětného toku, podpora vybraných IT i průmyslových protokolů (například Modbus, OPC UA, IEC 104) a řada certifikací včetně Common Criteria EAL4+ a C1D2, které umožňují nasazení v regulovaných sektorech. Navíc nechybí ani schválení pro použití v rámci Severoatlantické aliance (zařazení do NATO Information Assurance Product Catalog).
Zatímco klasická bezpečnostní řešení se snaží útoky detekovat, datová dioda jim jednoduše zabrání – neumožní průnik do chráněného prostředí. Z pohledu řízení rizik tak představuje nejvyšší úroveň prevence, nespoléhá se na reakci, ale eliminuje pokus již v počátku.
Nesmíme také zapomenout, že moderní průmysl vyžaduje nejen vysokou bezpečnost, ale i plynulý přenos dat. Datová dioda není překážkou komunikace, ale její inteligentní filtr – dovoluje, aby data o provozu, senzorech nebo výrobě proudila do analytických systémů, cloudu či SCADA nástrojů, zatímco samotný provozní systém zůstává chráněn.
„Dříve jsme museli volit mezi efektivitou a bezpečností. Dnes to už není nutné. Diody umožňují datům proudit přesně tam, kam potřebujeme, ale nikdy zpět. A právě to je ideální model pro ochranu kritické infrastruktury,“ dodává Bouda.
Trust no file. Trust no device
Nasazení datových diod je krokem, který firmám přináší jistotu při zachování požadované komunikace a dostatečnou kontrolu. Oproti čistě softwarovým opatřením nemůže být obejita chybou v konfiguraci nebo lidským faktorem. Fyzické oddělení navíc výrazně zjednodušuje zajištění souladu s předpisy i případné audity. Jde o zásadní fakt také ve spojení s požadavky nového zákona o kybernetické bezpečnosti implementující požadavky směrnice NIS2.
V kombinaci s dalšími prvky portfolia OPSWAT, jako je multiskenování přenášených dat za využití až několika desítek antimalwarových enginů nebo technologie CDR (Content Disarm & Reconstruction) pro odstranění škodlivého obsahu, tvoří datové diody součást komplexního přístupu „Zero Trust for Files and Networks“, který ComSource implementuje napříč svými zákazníky v energetice, dopravě, výrobě i veřejné správě.
Kybernetická bezpečnost už dávno není jen o ochraně IT systémů. Je o stabilitě dodávek energie, o kontinuitě výroby a o důvěře ve fungování státu i průmyslu. Diody značky OPSWAT jsou součástí produktové řady MetaDefender NetWall a představují řešení, které tuto stabilitu dokáže reálně zajistit – fyzicky, spolehlivě a bez kompromisů.
ComSource. Elite Partner OPSWAT | Kybernetická bezpečnost, síťová infrastruktura a datová analytika
PŘEDPLATNÉ
ČLÁNKY DO MAILU