I diodi di dati, che in passato rappresentavano una tecnologia di nicchia nel settore militare e della sicurezza nucleare, sono diventati una componente essenziale della sicurezza informatica industriale e aziendale. Con le perdite causate dagli incidenti informatici quadruplicate dal 2017 fino a sfiorare i 2 miliardi di dollari, si è assistito a una crescente diffusione dei diodi di dati come standard di sicurezza, sia che vengano inclusi come requisito obbligatorio sia che vengano indicati come raccomandazione nei quadri normativi. La loro crescente importanza deriva dal fatto che le soluzioni di sicurezza basate su software, come i firewall, non sono più in grado di garantire la sicurezza.
La crescente necessità dei diodi di dati
Poiché i diodi di dati impongono un traffico unidirezionale a livello hardware, spesso utilizzando la fibra ottica, bloccano fisicamente il percorso di comunicazione inverso di cui il ransomware e le APT (minacce persistenti avanzate) hanno bisogno per funzionare. Mentre i firewall rimangono lo standard per la maggior parte delle applicazioni aziendali, le normative globali per i settori delle infrastrutture critiche ad alto rischio, come quello nucleare, energetico e idrico, ora raccomandano o impongono esplicitamente l'uso di diodi di dati per garantire l'isolamento fisico tra le reti OT (tecnologia operativa) e IT (tecnologia dell'informazione).
Il profilo di sicurezza di Data Diode offre tre vantaggi fondamentali in materia di sicurezza che vanno oltre le funzionalità dei firewall:
Le minacce provenienti dalla rete non possono eludere la sicurezza unidirezionale garantita dall'hardware di un diodo, a differenza dei firewall, che possono essere aggirati a causa di configurazioni errate o vulnerabilità zero-day
Nessun canale di comunicazione secondario, impedendo agli hacker di inviare comandi ai sistemi compromessi
Deroga al protocollo che consente ai diodi di dati di trasferire dati utilizzando un protocollo non instradabile
Principali differenze tra diodi di dati e firewall
| Caratteristica | Firewall | Gateway unidirezionale (diodo di dati) |
|---|---|---|
| Meccanismo | Software(logico) | Hardware(fisico) |
| Direzione | Bidirezionale (filtrato) | Solo andata |
| Vulnerabilità | Suscettibile a configurazioni errate e a vulnerabilità zero-day | Immune agli attacchi remoti basati su software |
| Caso d'uso | Sicurezza informatica generale | Protezione OT/ICS ad alta sicurezza |
Normative e linee guida internazionali
A causa del profilo di sicurezza ineludibile dei diodi di dati, gli organismi normativi globali ne raccomandano e, in alcuni casi, ne impongono l'uso per segmentare le reti delle infrastrutture critiche.
Diverse norme, quali NRC, NERC CIP (settore energetico), IEC 62443 (settore industriale) e le direttive TSA (settore ferroviario/oleodotti), impongono o raccomandano vivamente l'adozione di un flusso unidirezionale garantito a livello hardware per le infrastrutture critiche. Tuttavia, esistono numerosi esempi di impiego dei diodi in settori che attualmente non ne impongono l'uso, quali:
- Gli istituti finanziari, in particolare le banche, li utilizzano oggi per proteggere le reti di transazioni di alto valore e per l'adempimento degli obblighi normativi, al fine di garantire che i dati sensibili escano dalla banca senza lasciare alcuna via d'accesso agli hacker. Vengono inoltre impiegati per proteggere gli archivi e i centri di ripristino di emergenza.
- Le strutture mediche e farmaceutiche utilizzano i diodi di dati per proteggere la proprietà intellettuale e per isolare le reti tecnologiche cliniche, quali i monitor paziente e la diagnostica per immagini, dalle reti IT aziendali.
- Le organizzazioni del settore marittimo utilizzano i diodi di dati per isolare e monitorare i dati provenienti dalle sale macchine e dai sistemi di governo, nonché per proteggere i trasferimenti di dati tra nave e terra.
Quadri normativi che impongono o raccomandano l'uso dei diodi di dati
Di seguito è riportato un riepilogo delle principali normative e linee guida internazionali che specificano o raccomandano vivamente l'uso di gateway unidirezionali.
Standard internazionali
IEC 62443
La Parte 3-3 (SR 5.2) verte sulla "disponibilità delle risorse" e raccomanda l'uso di gateway unidirezionali nelle zone ad alta sicurezza (Livelli 3 e 4) per impedire la diffusione di malware e garantire l'integrità dei dati.
ISO 27019
Per quanto riguarda in particolare il settore energetico, le linee guida sottolineano la necessità di una segmentazione sicura della rete, indicando i diodi di dati come una "best practice" per separare i sistemi di controllo dei processi dalle reti esterne.
In Nord America
NERC CIP
Le norme NERC (North American Electric Reliability Corporation) relative alla protezione della rete elettrica sono tra le più rigorose. Mentre gli standard da CIP-002 a CIP-013 consentono l'uso di firewall, l'utilizzo di un gateway unidirezionale può "esentare" un'azienda di servizi pubblici da diversi requisiti di conformità (come 21 regole su 26 in alcuni contesti NRC) poiché il gateway impedisce fisicamente l'accesso elettronico in entrata, riducendo efficacemente il rischio del "Perimetro di Sicurezza Elettronica" (ESP).
NIST SP 800-82 (Revisione 3)
La guida del National Institute of Standards and Technology sulla sicurezza dei sistemi Industrial indica espressamente i gateway unidirezionali come misura difensiva primaria. Ne raccomanda l'uso per l'invio di dati da una zona OT ad alta sicurezza a una zona IT a sicurezza inferiore, ad esempio per l'invio di dati dei sensori a un database cloud, senza consentire alcun percorso di ritorno per un malintenzionato.
NRC RG 5.71
Questo quadro normativo della NRC (Nuclear Regulatory Commission) impone un elevato livello di isolamento per i sistemi digitali nelle centrali nucleari. Esso identifica il flusso unidirezionale dei dati come il metodo preferibile per il monitoraggio dei sistemi di sicurezza nucleare da reti esterne.
In Europa
ANSSI (Francia) - PSSI-IV
L'Agenzia nazionale francese per la sicurezza dei sistemi informativi (ANSSI) è leader mondiale nella promozione dell'uso dei diodi di dati. Per gli OIV (Operatori di importanza vitale), l'ANSSI impone spesso l'uso di diodi di dati certificati, con certificazione CSPN, per qualsiasi connessione tra le reti industriali più critiche di "Classe 3" e Internet, o le reti meno sicure di "Classe 1".
Direttiva NIS2 (a livello dell'Unione europea)
Sebbene la direttiva NIS2 (Network and Information Security) non imponga l'uso di hardware specifico, essa richiede alle "entità" di attuare misure di gestione dei rischi "all'avanguardia". In settori quali l'energia e l'acqua, le autorità nazionali di regolamentazione, come il BSI in Germania e il CCN in Spagna, traducono la direttiva NIS2 in requisiti tecnici che privilegiano la segmentazione implementata a livello hardware rispetto ai firewall basati su software.
In Asia e in Medio Oriente
Arabia Saudita (NCA)
L'Autorità nazionale per la sicurezza informatica dell'Arabia Saudita ha emanato specifici "standard sui diodi di dati" per i settori critici, definendo le modalità di utilizzo degli stessi al fine di proteggere le infrastrutture petrolifere, del gas e dei servizi pubblici del Regno.
Corea del Sud (KISA)
Analogamente a Singapore, le linee guida della Corea del Sud in materia di reti intelligenti e sicurezza nucleare pongono grande enfasi sui gateway unidirezionali per l'esfiltrazione dei dati, al fine di impedire movimenti laterali provenienti dalla rete Internet pubblica.
Diodi di dati all'avanguardia nel settore eOT Security unificateOT Security
Le soluzioni MetaDefender garantiscono un trasferimento unidirezionale dei dati, assicurato a livello hardware, tra le reti IT e OT, consentendo una replica sicura dei dati e una visibilità operativa senza compromettere l'isolamento della rete.
Per saperne di più su come OPSWAT può aiutarti aOPSWAT a garantire la conformità alle normative regionali e globali, contatta oggi stesso un esperto.
