Datová dioda Fox-IT

Kontinuita má klíčový význam pro řídicí systémy kritických procesů, jako jsou státní instituce, policie, armáda, elektrárny, úpravny odpadních vod, rafinérie zemního plynu a ropy nebo veřejná doprava apod.. Zlepšování bezpečnostních opatření z hlediska IT může úroveň kontinuity dále zvýšit. Podstata účinného zvýšení IT bezpečnosti spočívá ve fyzickém odpojení řídicích systémů procesů (PCS) od ostatních sítí.

V rámci tohoto procesu se bohužel objevuje požadavek, který není zcela slučitelný – potřeba sdílet informace ze sítí PCS. Pomocí datové diody Fox můžete odpojit kritickou část své infrastruktury od ostatních sítí, ale přitom si zachovat přístup k informacím z této kritické části, nebo obráceně. Jedná se o účinný způsob, který vám pomůže zvýšit míru zabezpečení vaší sítě a bezpečně sdílet více informací. Vaše síť PCS se tím odpojí od nebezpečí kybernetických útoků!

Potřeba odpojených sítí

Pro zvýšení kontinuity kritických průmyslových sítí lze provést celou řadu opatření. První krok spočívá v tom, že se sítě rozdělí na segmenty a stanoví se jasné bezpečnostní okruhy (ESP). Tím se dosáhne oddělení systémů na základě jejich úlohy a řízených kanálů komunikace. Dalším krokem je používání firewallů mezi těmito segmenty, které v podstatě řídí tok informací mezi sítěmi rozdělenými na segmenty. Neexistuje však žádná záruka, že případný vetřelec nedokáže najít způsob, jak díky špatně nakonfigurovaným firewallům nebo zranitelnými systémům tato spojovací opatření obejít. Nejlepší způsob jak omezit tok informací mezi sítěmi spočívá v tom, že sítě odpojíme nebo mezi nimi vytvoříme vzduchovou mezeru. Tato metoda se často používá na ochranu nejkritičtějších částí sítě.

Potřeba sdílení informací v PCS

Informace z čidel, monitorovacích systémů a datových zápisů jsou nutné pro sdílení sítě PCS s ostatními systémy. Uvádíme zde některé scénáře, kdy mohou být tyto informace potřebné: varovné signály, poskytování aktuálních informací zákazníkům, dálková podpora prodejců a zálohování systémů. Není pochyb o tom, že potřeba sdílení informací existuje a její požadavky se budou v budoucnosti dále zvyšovat.

Řešení rozporuplných požadavků

Řešení dvou výše uvedených trendů spočívá v tom, že se síť PCS připojí k ostatním sítím pomocí jednosměrné síťové komunikace. Tímto způsobem se vytvoří „nepropustná mezera", která bude z hlediska vetřelce bránit vniknutí a zároveň z hlediska společnosti umožňuje sdílení informací. Toho lze docílit pomocí datové diody Fox.

Co to je datová dioda?

Datová dioda Fox je certifikovaný výrobek, který spojuje dvě sítě a prosazuje jednosměrné síťové spojení. Na fyzické vrstvě se toho dosáhne použitím jednoduchého spojení pomocí optických vláken. Neexistuje žádný hardware, který by odesílal data i druhým směrem. Protože protokoly zaměřené na spojení vyžadují obousměrnou komunikaci, přichází datová dioda Fox se dvěma servery, které fungují podobně jako proxy servery. Data se doručují pomocí standardních protokolů do proxy protlačením skrz datovou diodu k přijímacímu konci za pomoci vlastnického jednosměrného protokolu a doručením do přijímající sítě. To zaručuje transparentní a spolehlivou jednosměrnou komunikaci, která mimo jiné napomáhá s plněním průmyslových standardů NERC CIP.

Jak to funguje?

Datová dioda Fox DataDiode má přijímající a odesílající proxy server. Přijímající proxy server je umístěn v řídicí síti a odesílá informace odesílajícímu proxy serveru v administrativní síti. Čidla, HMI a další zařízení SCADA mohou předávat své informace přijímajícímu proxy serveru pomocí standardních protokolů SCADA. Odesílající proxy server odešle tyto informace do systémů v administrativní síti k dalšímu zpracování.

Princip bezpečnostního řešení FOX-IT DIODA

Veřejná síť, obecně známá v oblasti bezpečnosti IT jako „BLACK NETWORK" je síť která nepodléhá bezpečnostním politikám a je v našem případě považována za nebezpečnou. PROXY server na vstupu do interní bezpečně sítě, je zařazený před vstup do FOX-IT diody a zajišťuje obousměrnou komunikaci pro „BLACK NETWORK". FOX-IT DIODA, která skutečně funguje jako dioda v elektrickém obvodu, není tedy ani fyzicky schopna odesílat data oběma směry. V tomto případě propustí data pouze směrem do „RED NETWORK" PROXY server na výstupu FOX-IT diody, který přebírá zaslaná data z PROXY serveru na vstupu skrze FOX-IT diodu a předává je dál koncovým klientům. Kritická síť, obecně nazývaná v oblasti bezpečnosti IT jako „RED NETWORK" je síť, která podléhá přísným bezpečnostním politikám a v tomto případě je nepřípustné, aby odcházela z této sítě jakákoli data ven.

Datová dioda Fox pro řídicí systémy kritických procesů

• Odpojení řídicí sítě, nebo vytváření vzduchových mezer poskytuje optimální ochranu před kybernetickým útokem
• Systémy PCS vyžadující sdílení informací s dalšími sítěmi
• Datová dioda Fox povoluje síťový provoz pouze jedním směrem, což umožňuje sdílení informací z PCS systémů, přičemž je i nadále zajištěna ochrana fyzickou neprostupností
• Podporuje všechny standardní protokoly SCADA včetně OPC, ICCP, DNP3 a Modbus
• Certifikace pro společná kritéria EAL4+ c (EAL7+ se očekává v červnu 2010)
• Potvrzení NATO pro veškerá použití až do stupně UTAJENI