Os díodos de dados, que eram uma tecnologia de nicho no âmbito da segurança militar e nuclear, tornaram-se um componente essencial da cibersegurança industrial e empresarial. Com as perdas decorrentes de incidentes cibernéticos a quadruplicarem desde 2017, atingindo quase 2 mil milhões de dólares, tem-se verificado uma crescente adoção dos díodos de dados como norma de segurança, quer sejam incluídos como requisito ou como recomendação nos quadros regulamentares. A sua crescente importância decorre do facto de as soluções de segurança baseadas em software, como as firewalls, já não garantirem a segurança.
A crescente necessidade de diodos de dados
Uma vez que os díodos de dados impõem um tráfego unidirecional ao nível do hardware, recorrendo frequentemente à fibra ótica, bloqueiam fisicamente o caminho de comunicação inverso de que o ransomware e as APT (Ameaças Persistentes Avançadas) necessitam para funcionar. Embora as firewalls continuem a ser a norma para a maioria das aplicações empresariais, as regulamentações globais para setores de infraestruturas críticas de alto risco, como o nuclear, a energia e a água, recomendam ou exigem agora explicitamente a utilização de díodos de dados para garantir o isolamento físico entre as redes OT (Tecnologia Operacional) e IT (Tecnologia da Informação).
O perfil de segurança do Data Diode oferece três vantagens fundamentais em termos de segurança, para além das capacidades dos firewalls:
As ameaças transmitidas pela rede não conseguem contornar a segurança unidirecional imposta pelo hardware de um díodo, ao contrário dos firewalls, que podem ser contornados devido a configurações incorretas ou vulnerabilidades de dia zero
Sem canais secretos, impedindo que os atacantes enviem comandos para os sistemas comprometidos
Interrupção de protocolo que permite que os díodos de dados transfiram dados utilizando um protocolo não roteável
Principais diferenças entre diodos de dados e firewalls
| Característica | Firewall | Gateway unidirecional (diodo de dados) |
|---|---|---|
| Mecanismo | Software(lógico) | Hardware(físico) |
| Direção | Bidirecional (filtrado) | Exclusivamente de sentido único |
| Vulnerabilidade | Suscetível a erros de configuração e a vulnerabilidades de dia zero | Imune a ataques remotos baseados em software |
| Caso de utilização | Segurança informática geral | Proteção de alta segurança para OT/ICS |
Requisitos e diretrizes regulamentares globais
Devido ao perfil de segurança inviolável dos diodos de dados, as entidades reguladoras globais estão a recomendar e, em alguns casos, a impor a sua utilização para segmentar redes de infraestruturas críticas.
Várias normas, tais como a NRC, a NERC CIP (energia), a IEC 62443 (industrial) e as diretivas da TSA (ferrovias/oleodutos), exigem ou recomendam vivamente o fluxo unidirecional implementado por hardware para infraestruturas críticas. No entanto, existem muitos exemplos de utilização de díodos em setores que, atualmente, não exigem a sua utilização, tais como:
- As instituições de serviços financeiros, especialmente os bancos, utilizam-nas atualmente para proteger redes de transações de elevado valor e para a apresentação de relatórios regulamentares, de modo a garantir que os dados confidenciais saem do banco sem abrir uma brecha para os hackers. São também utilizadas para proteger arquivos e centros de recuperação de desastres.
- As instituições médicas e farmacêuticas utilizam diodos de dados para proteger a propriedade intelectual e para isolar as redes de tecnologia clínica, tais como monitores de pacientes e sistemas de diagnóstico por imagem, das redes de TI corporativas.
- As organizações do setor marítimo utilizam diodos de dados para isolar e monitorizar os dados provenientes das salas de máquinas e dos sistemas de controlo de direção, bem como para proteger as transferências de dados entre o navio e a costa.
Quadros regulamentares que impõem ou recomendam a utilização de diodos de dados
Segue-se um resumo das principais regulamentações e diretrizes globais que especificam ou recomendam vivamente a utilização de gateways unidirecionais.
Normas globais
IEC 62443
A Parte 3-3 (SR 5.2) centra-se na «Disponibilidade de Recursos» e recomenda a utilização de gateways unidirecionais em zonas de alta segurança (Níveis 3 e 4) para impedir a propagação de malware e garantir a integridade dos dados.
ISO 27019
No que diz respeito especificamente ao setor energético, as suas orientações destacam a necessidade de uma segmentação segura da rede, referindo os diodos de dados como uma «melhor prática» para separar os sistemas de controlo de processos das redes externas.
Na América do Norte
NERC CIP
Os regulamentos da NERC (North American Electric Reliability Corporation) relativos à proteção da rede elétrica estão entre os mais rigorosos. Embora as normas CIP-002 a CIP-013 permitam a utilização de firewalls, a utilização de um gateway unidirecional pode «isentar» uma empresa de serviços públicos de vários requisitos de conformidade (tais como 21 das 26 regras em alguns contextos da NRC), uma vez que o gateway impede fisicamente o acesso eletrónico de entrada, reduzindo efetivamente o risco do «Perímetro de Segurança Eletrónica» (ESP).
NIST SP 800-82 (Revisão 3)
O guia do Instituto Nacional de Padrões e Tecnologia (NIST) sobre segurança dos Sistemas Industrial refere explicitamente as gateways unidirecionais como uma medida defensiva fundamental. Recomenda a sua utilização para o envio de dados de uma zona OT de alta segurança para uma zona IT de menor segurança, como, por exemplo, o envio de dados de sensores para uma base de dados na nuvem, sem permitir qualquer via de retorno para um atacante.
NRC RG 5.71
Este quadro da NRC (Comissão Reguladora Nuclear) exige um isolamento de alto nível para os sistemas digitais nas centrais nucleares. Identifica o fluxo unidirecional de dados como o método preferencial para monitorizar os sistemas de segurança nuclear a partir de redes externas.
Na Europa
ANSSI (França) - PSSI-IV
A Agência Nacional para a Segurança dos Sistemas de Informação da França (ANSSI) é líder mundial na imposição da utilização de diodos de dados. No que diz respeito aos OIV (Operadores de Importância Vital), a ANSSI exige frequentemente a utilização de diodos de dados certificados, com certificação CSPN, para qualquer ligação entre as redes industriais mais críticas de «Classe 3» e a Internet, ou redes menos seguras de «Classe 1».
Diretiva NIS2 (à escala da UE)
Embora a Diretiva NIS2 (Segurança das Redes e da Informação) não imponha a utilização de hardware específico, exige que as «entidades» implementem medidas de gestão de riscos «de última geração». Em setores como o da energia e da água, as entidades reguladoras nacionais, como a BSI na Alemanha e o CCN em Espanha, traduzem a NIS2 em requisitos técnicos que dão prioridade à segmentação implementada por hardware em detrimento das firewalls baseadas em software.
Na Ásia e no Médio Oriente
Arábia Saudita (NCA)
A Autoridade Nacional de Cibersegurança da Arábia Saudita publicou «Normas específicas para diodos de dados» destinadas a setores críticos, definindo a forma como estes devem ser utilizados para proteger os ativos do Reino nos setores do petróleo, do gás e dos serviços públicos.
Coreia do Sul (KISA)
À semelhança do que acontece em Singapura, as diretrizes da Coreia do Sul relativas às redes inteligentes e à segurança nuclear dão grande ênfase à utilização de gateways unidirecionais para a exfiltração de dados, com o objetivo de impedir movimentos laterais a partir da Internet pública.
Diodos de dados líderes do setor eOT Security unificadasOT Security
As soluções MetaDefender oferecem uma transferência de dados unidirecional, garantida por hardware, entre redes de TI e OT, permitindo a replicação segura de dados e a visibilidade operacional sem comprometer o isolamento da rede.
Para saber mais sobre como a OPSWAT pode ajudar aOPSWAT riscosOPSWAT apoiar a conformidade com os quadros regulamentares regionais e globais, fale hoje mesmo com um especialista.
