Movimento Secure di dati critici in scala
I produttori devono affrontare una sfida costante per controllare i costi energetici e di manutenzione. Le attrezzature delle loro fabbriche possono consumare milioni di dollari di energia e acqua all'anno e anche piccoli problemi di prestazioni possono far lievitare rapidamente i costi.
Un'altra grande preoccupazione è rappresentata dai guasti imprevisti alle apparecchiature. La mancanza di manutenzione predittiva può causare l'interruzione della produzione, con conseguenti perdite significative di fatturato per ogni ora di fermo macchina.
Secondo Aberdeen Research, i produttori possono perdere fino a 260.000 dollari ogni ora a causa di tempi di inattività non pianificati. Con gli attacchi che causano in media 21 giorni di inattività, la posta in gioco non potrebbe essere più alta.
Per combattere questi problemi, i produttori utilizzano piattaforme di analisi e contratti di rendimento per il risparmio energetico per aiutare i team di manutenzione. Utilizzano OPC e altri flussi di dati per tenere sotto controllo le apparecchiature critiche di ogni impianto, stabilire le priorità e indirizzare gli investimenti.
Tuttavia, i team interni che si occupano di sicurezza OT (Operational Technology) vedono enormi rischi per la cybersecurity nel collegare la fabbrica a Internet:
- I dispositivi OT legacy spesso non dispongono di funzionalità di sicurezza o di patch integrate.
- L'esposizione dei feed di dati OPC all'esterno può creare vettori di attacco per gli avversari.
- La modifica dei sistemi di produzione è costosa e comporta il rischio di fermi macchina.
Queste preoccupazioni per la sicurezza sono ben fondate e supportate dalle linee guida federali. Nel marzo 2022, la CISA (Cybersecurity & Infrastructure Security Agency) ha raccomandato l'uso di diodi di comunicazione unidirezionali per migliorare la segmentazione della rete e proteggere i sistemi di controllo industriale dagli attacchi informatici. Queste indicazioni sono state ulteriormente rafforzate nel 2023, quando sia il NIST che il Dipartimento della Difesa hanno raccomandato l'uso dei diodi di comunicazione come opzione per la protezione delle infrastrutture OT negli ultimi NIST SP 800-82r3 e UFC 4-010-06.
La struttura aveva bisogno di un modo per estrarre e condividere i dati OT in modo sicuro, senza richiedere modifiche al sistema o aggiungere nuove vulnerabilità.
Optical Diode MetaDefender con conversione di protocollo Enero
Il produttore ha collaborato con OPSWAT ed Enero Solutions per progettare un'architettura di trasferimento dati sicura e a bassa latenza.
L'implementazione di MetaDefender Optical Diode (Fend) utilizza l'isolamento ottico per inviare i dati in una sola direzione, proteggendo fisicamente le risorse chiave. Fornisce visibilità al sistema e impedisce a malware, ransomware e altri attacchi di violare la connessione di rete.
Lavorando con Enero Solutions, abbiamo portato i feed di dati OPC UA dai sistemi legacy senza dover modificare i sistemi originali. La conversione del protocollo OPC con ilOptical Diode MetaDefender (Fend) utilizza un approccio a più fasi e a bassa latenza per esporre in modo sicuro i dati OPC al di fuori della rete OT senza introdurre potenziali vettori di attacco per i malintenzionati.
Come funziona
Un client OPC sul lato protetto consuma sottoscrizioni OPC UA o DA.
I dati vengono serializzati per il passthrough TCP sul dispositivo Edge lato OT, inoltrati alOptical Diode MetaDefender (Fend) e passati a un Server TCP sul lato aziendale, deserializzati con il dispositivo Edge lato IT ed estratti come punti OPC validi (percorso, valore, timestamp). Un client OPC sul dispositivo edge aziendale (IT) scrive i punti su un server OPC UA a cui il cliente può accedere con un abbonamento.
Risultato
Con la soluzione integrata, lo stabilimento di produzione ha ottenuto:
- Isolamento completo OT/IT: Il trasferimento unidirezionale Hardware garantisce che nessuna minaccia esterna possa penetrare nella rete OT.
- Visibilità in tempo reale: Consegna Secure e continua dei dati OPC UA ai sistemi IT, che consente tempi di risposta più rapidi, un monitoraggio migliore e un processo decisionale basato sui dati.
- Preservati i tempi di attività e gli investimenti: I sistemi OT legacy sono rimasti inalterati, evitando costose sostituzioni o tempi di inattività dispendiosi.
- Riduzione del rischio informatico: eliminando i vettori di attacco legati alle connessioni dirette o agli approcci solo software, la struttura ha rafforzato la sua posizione complessiva di sicurezza informatica.
- Allineamento normativo: L'implementazione segue le best practice federali di cybersecurity, soddisfacendo le raccomandazioni CISA per i diodi di comunicazione unidirezionali e allineandosi alle linee guida NIST SP 800-82r3 e DoD UFC 4-010-06 per la sicurezza delle infrastrutture OT.
Guardare al futuro
I sistemi OT legacy non devono essere necessariamente un problema di sicurezza. Con il giusto approccio, i produttori possono estrarre preziosi dati operativi mantenendo il completo isolamento della rete e preservando gli investimenti esistenti.
Contattate OPSWAT oggi stesso per scoprire come ilOptical Diode MetaDefender (Fend) può consentire l'estrazione sicura dei dati dai vostri sistemi legacy mantenendo la protezione hardware.
