Když firewall nestačí: Bezpečný tok dat mezi IT a OT

Sdílet

Shutterstock.com
Autor: Shutterstock.com
Kritická infrastruktura, průmysl i regulované organizace dnes čelí stále náročnějšímu úkolu: umožnit tok dat tam, kde je to provozně nezbytné, a přitom udržet vysokou úroveň ochrany prostředí, která nesmějí být vystavena zbytečnému riziku. Pro CISO se tak řízení datového toku stává jednou z klíčových priorit.

Výroba, energetika, doprava, zdravotnictví i státní správa potřebují aktualizace, záplaty, monitoring, zálohy, přenos logů a integraci s analytickými systémy. Otázka proto už nestojí tak, zda data přenášet. Důležitější je pochopit potřeby byznysu, provozu i bezpečnosti – a navrhnout propojení, které bude funkční, kontrolované a dlouhodobě udržitelné.

Segmentace sama o sobě nestačí

Tradiční odpovědí bývá segmentace a firewall. Oba nástroje mají v bezpečnostní architektuře stále své místo – samy o sobě ale neřeší skutečný air-gap ani fyzicky vynucenou jednosměrnost toku dat. Firewall nastavuje pravidla komunikace, jenže zůstává konfigurovatelným prvkem. Může být špatně nastavený, pravidla se časem vrství a výjimky, původně dočasné, se snadno stávají trvalým rizikem.

Bezpečnost je proto třeba stavět po vrstvách. Co firewall neošetří, může pokrýt další vrstva – třeba datová dioda nebo bezpečnostní brána. V prostředích vyžadujících vysokou míru jistoty nejde jen o to, co komunikaci povolíme nebo zakážeme, ale o fyzicky vynucený směr přenosu a kontrolu toho, co přes hranici segmentu skutečně prochází.

Na druhém konci spektra stojí úplné oddělení sítí. To sice minimalizuje síťový vektor útoku, ale zároveň přináší izolaci, na kterou moderní IT provoz není zvyklý. Pro vlastníky, provozní i bezpečnostní týmy je proto klíčové zvážit, zda je takový model dlouhodobě únosný. V praxi se navíc záhy objeví ruční přenosy dat přes USB disky nebo jiná přenosná média – a právě těmi se do izolovaného prostředí dostává přesně to riziko, kterému se organizace chtěla vyhnout.

„V kritických prostředích dnes nestačí řešit jen to, zda jsou sítě oddělené. Stejně důležité je vědět, jaká data přes hranici segmentu procházejí, kdo jejich přenos schválil a jakou bezpečnostní kontrolou prošla,“ říká Marek Kocan, senior cyber security architect ve společnosti ComSource.

Bezpečný přenos není jen o síti, ale i o obsahu

Moderní přístup proto kombinuje pravidla komunikace, hardwarově vynucené oddělení a kontrolu samotného obsahu. Firewall definuje, jaká komunikace je povolena. Datová dioda vynucuje směr toku dat. Bezpečnostní brána zprostředkuje řízený přenos mezi segmenty. A bezpečnostní platforma ověřuje, zda přenášený soubor nebo datový tok nepředstavuje hrozbu.

Přitom nejde jen o to, zda soubor obsahuje známý malware. Je potřeba zjistit, jestli odpovídá deklarovanému typu, zda neobsahuje aktivní nebo skrytý obsah, zranitelné komponenty, citlivá data, riziková metadata nebo prvky schopné ohrozit chráněné prostředí.

Právě zde přichází ke slovu vícevrstvá kontrola: multiscanning pomocí více antivirových enginů, sandboxing, Deep CDR, DLP, reputační kontroly, ověření původu souboru nebo posouzení zranitelností. Deep CDR například nespoléhá na detekci konkrétní známé hrozby, ale soubor rozebere, odstraní potenciálně rizikové části a vytvoří čistou, bezpečnou, použitelnou kopii. Pro organizace, které potřebují zachovat plynulý provoz, je to zásadní rozdíl oproti prostému blokování souborů.

Každý tok dat musí být řízený a auditovatelný

Typickými scénáři jsou přenos aktualizací do OT prostředí, export konfigurací, bezpečné vyvedení záloh, přenos logů do SIEM, telemetrie, replikace databází nebo průmyslové protokoly jako Modbus, OPC či MQTT. CISO by měl vždy společně s provozem a byznys vlastníky rozhodnout, kde stačí řízený přenos souborů, kde je nutný jednosměrný tok, kde je potřeba obousměrná komunikace a kde je namístě hardwarově vynucené oddělení.

Neméně důležitý je audit. V kontextu nového zákona o kybernetické bezpečnosti, kritické infrastruktury a interních bezpečnostních standardů nestačí tvrdit, že sítě jsou segmentované. Organizace musí být schopna doložit, jaké datové toky existují, kdo je schválil, co bylo přeneseno, jakou kontrolou data prošla a zda bezpečnostní politika zasáhla.

Školení Kubernetes

Bezpečnostní architektura se tak posouvá od statické ochrany perimetru k aktivnímu řízení toku dat. Perimetr dnes není jediná hranice mezi firmou a internetem – je to soustava hranic mezi IT a OT, cloudem a on-prem prostředím, dodavateli a interní sítí, běžným provozem a vysoce chráněnou doménou.

Cílem není data zastavit. V moderní organizaci by to ostatně nebylo realistické. Cílem je zajistit, aby mohla proudit bezpečně, kontrolovaně a s jasnou odpovědností – aby organizace přesně věděla, co přes její kritické hranice prochází, proč, kdy a jak.

Autor článku