Movimento Secure dados críticos em escala
Os fabricantes enfrentam um desafio constante no controlo dos custos de energia e manutenção. O equipamento das suas fábricas pode consumir milhões de dólares de energia e água anualmente e mesmo pequenos problemas de desempenho podem levar a que os custos aumentem rapidamente.
Uma falha inesperada do equipamento é outra grande preocupação. A falta de manutenção preditiva pode provocar a paragem da produção, resultando numa perda significativa de receitas por cada hora de inatividade.
De acordo com a Aberdeen Research, os fabricantes podem perder até 260.000 dólares por hora devido a tempo de inatividade não planeado. Com os ataques a causarem, em média, 21 dias de inatividade, os riscos não podiam ser maiores.
Para combater estes problemas, os fabricantes utilizam plataformas de análise e contratos de desempenho de poupança de energia para ajudar as equipas de manutenção. Utilizam o OPC e outros fluxos de dados para se manterem a par do equipamento crítico em cada instalação, dar prioridade às tarefas e direcionar os investimentos.
No entanto, as equipas internas de segurança OT (Tecnologia Operacional) vêem enormes riscos de cibersegurança na ligação do chão de fábrica à Internet:
- Os dispositivos OT antigos carecem frequentemente de segurança incorporada ou de capacidades de correção.
- Expor externamente os feeds de dados OPC pode criar vectores de ataque para os adversários.
- A modificação dos sistemas de produção é dispendiosa e implica o risco de paragens.
Estas preocupações de segurança são bem fundamentadas e apoiadas por orientações federais. Em março de 2022, a CISA (Cybersecurity & Infrastructure Security Agency) recomendou a utilização de díodos de comunicação unidirecional para melhorar a segmentação da rede e proteger os sistemas de controlo industrial contra ciberataques. Essa orientação foi ainda mais reforçada em 2023, quando o NIST e o Departamento de Defesa recomendaram diodos de dados como uma opção para proteger a infraestrutura de OT nas últimas NIST SP 800-82r3 e UFC 4-010-06.
As instalações precisavam de uma forma de extrair e partilhar dados OT de forma segura, sem exigir alterações perturbadoras do sistema ou acrescentar novas vulnerabilidades.
Optical Diode MetaDefender com conversão de protocolo Enero
O fabricante estabeleceu uma parceria com a OPSWAT e a Enero Solutions para conceber uma arquitetura de transferência de dados segura e de baixa latência.
A implementação do MetaDefender Optical Diode (Fend) utiliza o isolamento ótico para enviar dados apenas numa direção, protegendo fisicamente os principais activos. Ele fornece visibilidade do sistema enquanto proíbe que malware, ransomware e outros ataques violem a conexão de rede.
Trabalhando com a Enero Solutions, trouxemos feeds de dados OPC UA de sistemas legados sem a necessidade de modificar os sistemas originais. A Conversão do Protocolo OPC com oOptical Diode MetaDefender (Fend) utiliza uma abordagem de baixa latência em várias etapas para expor de forma segura os dados OPC fora da rede OT sem introduzir potenciais vectores de ataque a agentes mal intencionados.
Como funciona
Um Cliente OPC no lado protegido consome subscrições OPC UA ou DA.
Os dados são serializados para TCP passthrough no Edge Device do lado OT, encaminhados para o MetaDefender Optical Diode (Fend) e passados para um TCP Server do lado da empresa, desserializados com o Edge Device do lado IT e extraídos como pontos OPC viáveis (path, value, timestamp). Um cliente OPC no dispositivo de borda da empresa (TI) grava pontos num servidor OPC UA que é acedido pelo cliente com uma assinatura.
Resultado
Com a solução integrada, a unidade de fabrico conseguiu:
- Isolamento completo OT/IT: A transferência unidirecional Hardware garante que nenhuma ameaça externa pode penetrar na rede OT.
- Visibilidade em tempo real: Fornecimento Secure e contínuo de dados OPC UA para sistemas de TI, permitindo tempos de resposta mais rápidos, monitorização melhorada e tomada de decisões orientada por dados.
- Tempo de atividade e investimentos preservados: Os sistemas OT legados permaneceram intactos, evitando substituições dispendiosas ou tempo de inatividade perturbador.
- Redução do risco cibernético: Ao eliminar os vectores de ataque ligados a ligações diretas ou abordagens apenas de software, a instalação reforçou a sua postura geral de cibersegurança.
- Alinhamento regulamentar: A implementação segue as melhores práticas federais de segurança cibernética, atendendo às recomendações da CISA para diodos de comunicação unidirecional e alinhando-se com a orientação NIST SP 800-82r3 e DoD UFC 4-010-06 para proteger a infraestrutura OT.
Olhando para o futuro
Os sistemas OT legados não precisam ser um passivo de segurança. Com a abordagem certa, os fabricantes podem extrair dados operacionais valiosos, mantendo o isolamento completo da rede e preservando os investimentos existentes.
Contacte OPSWAT hoje mesmo para saber como MetaDefender Optical Diode MetaDefender (Fend) pode permitir a extração segura de dados dos seus sistemas antigos, mantendo a proteção reforçada por hardware.