‘Data diode’ fortalece a segurança de rede da Indústria 4.0

A Internet das coisas e as redes Industry 4.0 requerem links de dados confiáveis, seguros e protegidos. No entanto, hoje em dia, qualquer rede está sujeita a ataques cibernéticos, mesmo quando protegida por métodos de segurança tradicionais. Para resolver esse problema, o diodo de dados, um dispositivo de hardware e software, permite apenas uploads de dados para o mundo externo e evita, por razões de segurança, quaisquer downloads de dados anteriores.

O diodo cibernético estende os recursos das soluções tradicionais para segurança de rede. A importância de redes seguras e protegidas é comprovada por um estudo sobre ataques cibernéticos conduzido pelo Bundesamt für Sicherheit in der Informationstechnik (BSI ou, em inglês, Escritório Federal Alemão de Segurança da Informação). De acordo com o estudo, a quantidade de malware, incluindo Trojans, ransomware e trickbots, aumentou entre junho de 2019 e maio de 2020 para 117 bilhões, com as variações e a intensidade do malware continuando a aumentar. Os requisitos para segurança ideal na indústria interconectada e em infraestruturas críticas são muito elevados, e as interfaces de equipamentos industriais devem ser totalmente protegidas para evitar qualquer impacto negativo. Outro ponto importante é que os dados transmitidos devem ser confidenciais e não manipuláveis.

Steve Schoner de Genua
“Mas mesmo com as soluções de segurança existentes, ainda há um risco remanescente”, disse Steve Schoner, gerente de marketing de produto estratégico da Genua GmbH, ao EE Times Europe . “Com o diodo cibernético, estamos fechando essa lacuna.” Genua GmbH, fundada em 1992, é uma unidade de negócios da Bundesdruckerei (Editora Federal Alemã). Possui vasta experiência com entidades privadas no tratamento de informações classificadas e é especializada na proteção de qualquer rede e comunicações digitais.

A falta de segurança nas redes industriais à medida que a TI e a OT tornam-se cada vez mais interconectadas é a razão pela qual muitas empresas estão renunciando aos avanços obtidos ao conectar suas fábricas ao mundo exterior via internet. A rede permite a fabricação eficiente, econômica e flexível até o tamanho do lote 1. Também permite monitorar e otimizar máquinas e sistemas (por exemplo, para manutenção preditiva e analítica). Com a conexão à Internet, no entanto, as redes da Indústria 4.0 estão se tornando um alvo para sabotagem e espionagem por cibercriminosos.

Segurança cibernética maximizada

“Como as soluções existentes para cibersegurança são proprietárias ou muito caras, desenvolvemos nosso cyber-diodo industrial, que garante comunicação segura, confiável e independente de fabricante e plataforma”, explicou Schoner. “É o único diodo de dados em todo o mundo baseado em um produto confidencial certificado.” Para transferência segura de dados em ambientes industriais, ele suporta o protocolo OPC UA (OPC Unified Architecture), um padrão aberto para troca de dados de máquina. Ele também permite a transmissão criptografada de dados para aplicativos clientes via VPN IPSec. Se o IPSec estiver ativado, os clientes externos podem se comunicar com o diodo apenas usando comunicação criptografada. Isso é garantido pelo firewall interno do diodo e permite a transmissão de dados extremamente segura para qualquer serviço desejado na nuvem ou qualquer outro local externo.

Cyber-díodo em detalhe

O hardware de Cyber-diodo é seguro através do uso de uma unidade de gerenciamento de memória de E / S (IOMMU) para separação de compartimentos. O compartimento preto (à esquerda) no diagrama de blocos funcional ilustra o transmissor, que é, neste caso, um cliente OPC UA. No centro, a tarefa unilateral patenteada representa a função de transferência de dados unilateral. O compartimento vermelho (à direita) é o lado pronto para VPN que transmite dados protegidos por VPN por meio da interface de rede (NIC) para o sistema de destino externo. O Compartimento de Atualização adicional (topo) permite a integração de novas funcionalidades ou upgrades que não são permitidos pela rede por motivos de segurança. As atualizações podem ser carregadas apenas para o próprio dispositivo - por meio das configurações de rede, nenhuma alteração na configuração básica é possível. O hardware é adequado para trilhos DIN com economia de espaço ou invólucro de 19 rack e oferece UEFI e suporte para inicialização segura. O díodo cibernético pode ser expandido para conexão via telefonia móvel (LTE) e WLAN, disse a empresa.

Diagrama de blocos de um díodo cibernético (fonte da imagem:Genua)

O núcleo do software é construído em um microkernel reforçado minimalista e um sistema operacional OpenBSD reforçado. Ambos contêm apenas algumas linhas de código, o que minimiza os pontos de entrada para hackers e vetores de ataque. “Essa arquitetura é extremamente difícil de atacar”, disse Schoner. Mesmo as vulnerabilidades no sistema operacional não afetam a funcionalidade One-Way patenteada. Apenas o software fornecido pela Genua pode ser executado nos cyber-diodos. “É econômico e está disponível como uma licença vitalícia que inclui o hardware e o software completo para um sistema”, disse Schoner. Um serviço de linha direta ou serviço completo de gerenciamento de sistema também é garantido. A quantidade de díodos cibernéticos necessários em uma rede depende dos requisitos de risco do usuário e da estrutura da rede.

Melhorar as funções de segurança

Cyber-diodos permitem a transferência segura de dados em redes da Indústria 4.0
Em comparação com os métodos tradicionais de segurança cibernética, como intervalos de ar, firewalls e fibra óptica, os diodos cibernéticos oferecem várias vantagens, afirmou Schoner. Um gap de ar separa, por exemplo, as redes de TI das redes OT, evitando qualquer troca automatizada de dados, garantindo assim a segurança. Mas na Indústria 4.0, os dados do ambiente devem ser trocados entre redes diferentes de qualquer maneira. Nesse caso, a transmissão de dados geralmente é feita através de um stick USB ou outro dispositivo de memória, que não é eficiente e está sujeito a falhas. Dispositivos USB e outros dispositivos de memória podem conter algum malware.

As alternativas são firewalls, que podem ser configurados para transmitir dados em apenas uma direção. Esta poderia ser uma solução, mas é muito complexa porque quase todos os firewalls apresentam mais do que apenas um conjunto de regras. Isso também significa que é possível alterar acidentalmente esses conjuntos de regras ou eles se tornam obsoletos com o passar dos anos. Isso complica a vinculação de novos segmentos de rede a ele ou requer, pelo menos, grande conhecimento para fazê-lo. Pode acontecer que a função unilateral seja desativada.

Esses riscos são excluídos em cyber-diodos. Os diodos de fibra, a terceira opção tradicional, são capazes de bloquear dados na direção reversa, mas requerem um canal separado para saber se a transmissão de dados foi bem-sucedida. Para aumentar a transferência confiável de dados, o diodo cibernético confirma a transferência de dados bem-sucedida, enviando de volta apenas um bit. Finalmente, os cyber-diodos podem ser facilmente integrados às redes industriais existentes.

>> Este artigo foi publicado originalmente em nosso site irmão, EE Times Europe.