Trasporto Secure : i diodi di dati nel settore dei trasporti

Il settore dei trasporti è spesso considerato da molti la spina dorsale dell'economia globale, con un contributo che supera il 12% del PIL (prodotto interno lordo) mondiale. La logistica globale, il settore aeronautico, quello marittimo e quello dei viaggi e del tempo libero rappresentano complessivamente un settore da 50.000 miliardi di dollari all'anno. Ogni parte del settore dei trasporti dipende fortemente sia dalle tecnologie informatiche che da quelle operative, sempre più soggette ad attacchi informatici. I firewall semplicemente non offrono il livello di protezione necessario per garantire la sicurezza di questo settore critico.

In tutto il settore vengono utilizzati sistemi di controllo complessi per gestire e pilotare i sistemi di propulsione, gestire il carico e garantire la sicurezza dei passeggeri. Questi sistemi devono comunicare con i sistemi di monitoraggio centralizzati. È di fondamentale importanza attenersi alle migliori pratiche in materia di sicurezza informatica, tra cui una corretta segmentazione delle reti a tutela dalle minacce.

I diodi di dati stanno riscuotendo un ampio consenso nel settore dei trasporti e vengono utilizzati principalmente come livello di sicurezza informatica basato su hardware per proteggere gli ambienti OT critici dalle minacce informatiche esterne, consentendo al contempo il monitoraggio in tempo reale e l'analisi dei dati. A differenza dei firewall software, i diodi di dati limitano fisicamente il flusso di dati in una sola direzione, in genere dalle reti operative ad alta sicurezza verso ambienti aziendali o cloud con un livello di sicurezza inferiore. 

La segmentazione della rete è implementata a livello hardware e non può essere aggirata, garantendo così una soluzione di sicurezza di rete zero-trust.

Barriere fisiche: garantiscono la sicurezza di una barriera fisica, consentendo al contempo il trasferimento delle informazioni necessarie per la moderna manutenzione predittiva e l'analisi dei dati.

Protezione dei sistemi legacy: nel settore dei trasporti si utilizzano spesso sistemi legacy che non possono essere facilmente aggiornati. Isolare questi sistemi tramite un diodo di dati consente di proteggerli bloccando fisicamente tutto il traffico in entrata.

Conformità normativa: l'utilizzo dei diodi di dati soddisfa e, in molti casi, supera i requisiti obbligatori in materia di sicurezza informatica, come quelli emanati dalla TSA, che impongono una rigorosa segmentazione e un attento monitoraggio della rete.

Integrità dei dati: poiché i diodi di dati impediscono fisicamente l'accesso a minacce esterne, i sistemi di registrazione dei dati in tempo reale e storici risultano protetti. I sistemi critici necessari per garantire il funzionamento delle operazioni o per effettuare analisi sono messi in sicurezza.

Un numero crescente di aziende del settore dei trasporti ha adottato i diodi di dati per trasferire le informazioni in modo sicuro, grazie al profilo di sicurezza garantito dall'hardware di questi dispositivi.

• Operazioni marittime: sulle navi vengono utilizzati i diodi di dati per trasmettere in tempo reale i dati relativi alla sala macchine e ai sistemi ai centri operativi a terra. Ciò consente alle compagnie di navigazione di pianificare gli interventi di manutenzione e monitorare il consumo di carburante senza esporre i sistemi di navigazione e controllo dell'imbarcazione a potenziali attacchi remoti tramite comunicazioni satellitari bidirezionali.

• Infrastrutture ferroviarie: le compagnie ferroviarie nazionali implementano i diodi di dati per isolare le reti di monitoraggio e aggregazione dei dati ferroviari. I diodi consentono il trasferimento sicuro e unidirezionale dei dati dei sensori di sicurezza e degli indicatori di prestazione verso i centri di monitoraggio remoti, garantendo che i sistemi di segnalamento e di interblocco, fondamentali per la sicurezza, rimangano impenetrabili alle minacce esterne.

• Aviazione e aeroporti: gli aeroporti utilizzano i diodi per proteggere le reti di comunicazione e salvaguardare i dati operativi sensibili. Questi dispositivi consentono l'esportazione dei dati relativi allo stato dei voli e delle strutture, mantenendo al contempo isolate le reti di controllo interne dell'area aeroportuale. I diodi vengono inoltre impiegati per proteggere i sistemi sensibili della TSA, garantendo che non possano essere compromessi.

• Gestione delle flotte commerciali: nel settore dell'autotrasporto pesante, i diodi di dati proteggono le reti di bordo dei veicoli dalle vulnerabilità riscontrate nei dispositivi ELD (Electronic Logging Devices) obbligatori. Inserendo un diodo tra il bus CAN (Controller Area Network) del veicolo e l'ELD, gli operatori garantiscono che i dati possano essere letti ai fini della conformità, ma che nessun comando dannoso possa essere inviato al motore o ai sistemi frenanti del camion.

• Ecosistemi dei veicoli elettrici: organizzazioni come il NIST raccomandano la segmentazione della rete per le infrastrutture di ricarica rapida dei veicoli elettrici (EV). I diodi di dati isolano le reti OT, responsabili della ricarica e del controllo degli accessi, dalle reti IT che gestiscono la fatturazione e la connettività pubblica, impedendo agli hacker di utilizzare le stazioni di ricarica come punto di accesso a reti elettriche o automobilistiche più estese. 

I requisiti normativi relativi ai diodi di dati nel settore dei trasporti stanno passando sempre più dalle "migliori pratiche" a requisiti inderogabili, poiché i vantaggi operativi offerti dai diodi di dati sono considerati l'unico modo concreto per garantire la sicurezza.

1. Direttive di sicurezza della TSA (trasporto ferroviario e aereo) 
   La TSA (Transportation Security Administration) ha emanato diverse direttive di emergenza che impongono agli operatori dei trasporti strategici di rafforzare la sicurezza delle loro reti.
   1. Trasporto ferroviario merci e passeggeri:le direttive di sicurezza TSA 1582-21-01 e 1580/82-2022-01 impongonola segmentazione della rete traIT e OT.
   2. Requisito:gli operatori devono impedire l'accesso ai sistemi OT tramite il sistema IT, a meno che non siano protetti con misure quali i diodi di dati, al fine di garantire l'integrità dei dati e prevenirne la corruzione.
   3. Settore aeronautico:i requisiti della TSA per aeroporti e compagnie aeree sono in linea conle migliori pratiche del NIST e della CISA, che privilegiano l'uso di diodi di dati con implementazione hardware per la segmentazione dei sistemi critici per il volo. 
      CPG (Cybersecurity Performance Goals)della CISA
      La CISA (Cybersecurity and Infrastructure Security Agency)fornisce CPG intersettoriali chefungono da linea di base per le infrastrutture critiche, compresi i trasporti. 
2. Flussi unidirezionali:la CISA raccomanda espressamente l'uso didiodi di comunicazione unidirezionali perimpedire l'accesso esterno ai sistemiIndustrial (ICS), consentendo al contempo il flusso in uscita dei dati operativi verso i digital twin o gli archivi storici dei dati.
3. Standard NIST (ricarica dei veicoli elettrici e tecnologia operativa generale)
   1. Infrastrutture per veicoli elettrici:il documentoNIST IR 8473 definisceun quadro di riferimento per la sicurezza informatica degli ecosistemi EV/XFC (ricarica ultrarapida per veicoli elettrici). Esso identifica la segmentazione della rete tramite «diodi di dati» come pratica raccomandata per isolare le apparecchiature di ricarica dalle reti aziendali.
   2. OT Security:il documentoNIST SP 800-82, revisione 3, definisce i gatewayunidirezionali(diodi di dati) come una componente fondamentale di una strategia a più livelli di "difesa in profondità" per gli ambienti OT ad alto rischio.
4. Direttiva NIS 2 dell'UE 
   Pur non indicando alcun hardware specifico, il Direttiva NIS2 impone ai settori dei trasporti "altamente critici" (aviazione, trasporto marittimo, ferroviario e stradale) di attuare controlli rigorosi degli accessi e gestione dei rischi. 
   1. I diodi di dati sono spesso utilizzati dagli operatori europei per soddisfare i requisiti della direttiva NIS2in materia di sicurezza dei canali di scambio dati in tempo reale edi protezione dalle vulnerabilità della catena di approvvigionamento.