Transporte Secure : diodos de dados no setor dos transportes

O setor dos transportes é frequentemente considerado pela maioria como a espinha dorsal da economia global, contribuindo com mais de 12% do PIB (Produto Interno Bruto) mundial. A logística global, a aviação, o setor marítimo e o setor de viagens e lazer representam, no seu conjunto, um setor com um valor anual de 50 biliões de dólares. Todas as vertentes do setor dos transportes dependem fortemente de tecnologias de informação e operacionais que estão cada vez mais sujeitas a ciberataques. As firewalls simplesmente não oferecem o nível de proteção necessário para garantir a segurança deste setor crítico.

Em todo o setor, são utilizados sistemas de controlo complexos para orientar e comandar os sistemas de propulsão, gerir a carga e garantir a segurança dos passageiros. Estes sistemas precisam de comunicar com os sistemas centrais de monitorização. É de importância crucial que sejam seguidas as melhores práticas de cibersegurança, o que inclui a segmentação adequada das redes para proteção contra ameaças.

Os díodos de dados estão a ganhar ampla aceitação no setor dos transportes e são utilizados principalmente como uma camada de cibersegurança implementada por hardware para proteger ambientes OT críticos contra ameaças cibernéticas externas, ao mesmo tempo que permitem a monitorização em tempo real e a análise de dados. Ao contrário dos firewalls de software, os díodos de dados restringem fisicamente o fluxo de dados a uma única direção, normalmente de redes operacionais de alta segurança para ambientes empresariais ou na nuvem com menor nível de segurança. 

A segmentação da rede é aplicada a nível de hardware e não pode ser contornada, criando uma solução de segurança de rede de confiança zero.

Barreiras físicas: Proporcionam a segurança de uma barreira física, permitindo simultaneamente a transferência de informações necessárias para a manutenção preditiva e a análise de dados modernas.

Proteção de sistemas legados: O setor dos transportes utiliza frequentemente sistemas legados que não podem ser facilmente atualizados. Isolar esses sistemas com um diodo de dados protege esses ativos, bloqueando fisicamente todo o tráfego de entrada.

Conformidade regulamentar: A utilização de diodos de dados cumpre e, em muitos casos, excede os requisitos obrigatórios de cibersegurança, tais como os emitidos pela TSA, que exigem uma segmentação e monitorização rigorosas da rede.

Integridade dos dados: Uma vez que os díodos de dados impedem fisicamente as ameaças externas, os sistemas de registo de dados em tempo real e históricos ficam protegidos. Os sistemas críticos necessários para manter as operações ou realizar análises ficam protegidos.

Um número crescente de indústrias do setor dos transportes tem vindo a adotar diodos de dados para transferir dados de forma segura, devido ao perfil de segurança garantido pelo hardware destes dispositivos.

• Operações marítimas: Os diodos de dados são utilizados em navios para transmitir dados em tempo real da sala de máquinas e dos sistemas aos centros de operações em terra. Isto permite às companhias de navegação planear a manutenção e monitorizar o consumo de combustível sem expor os sistemas de navegação e controlo do navio a potenciais ataques remotos através de comunicações bidirecionais por satélite.

• Infraestrutura ferroviária: As empresas ferroviárias nacionais implementam diodos de dados para isolar as redes de monitorização e agregação ferroviárias. Os diodos facilitam a transferência segura e unidirecional de dados de sensores de segurança e métricas de desempenho para centros de monitorização remotos, garantindo que os sistemas de sinalização e interbloqueio, essenciais para a segurança, permaneçam imunes a ameaças externas.

• Aviação e aeroportos: Os aeroportos utilizam díodos para proteger as redes de comunicação e os dados operacionais confidenciais. Estes permitem a exportação de dados relativos ao estado dos voos e das instalações, mantendo ao mesmo tempo isoladas as redes internas de controlo da zona aeroportuária. Os díodos são também utilizados para proteger os sistemas confidenciais da TSA, garantindo que estes não possam ser comprometidos.

• Gestão de frotas comerciais: No transporte rodoviário pesado, os díodos de dados protegem as redes de bordo dos veículos contra vulnerabilidades detetadas nos ELD (Dispositivos Eletrónicos de Registo) obrigatórios. Ao instalar um díodo entre o barramento CAN (Controller Area Network) do veículo e o ELD, os operadores garantem que os dados possam ser lidos para fins de conformidade, mas que nenhum comando malicioso possa ser enviado de volta para o motor ou para os sistemas de travagem do camião.

• Ecossistemas de veículos elétricos: Organizações como o NIST recomendam a segmentação de redes para infraestruturas de carregamento rápido de veículos elétricos (VE). Os diodos de dados isolam as redes OT responsáveis pelo carregamento e pelo controlo de acesso das redes IT que gerem a faturação e a conectividade pública, impedindo que os hackers utilizem as estações de carregamento como porta de entrada para redes de energia ou de veículos mais amplas. 

Os requisitos regulamentares relativos aos diodos de dados no setor dos transportes estão a passar cada vez mais de «boas práticas» para «requisitos obrigatórios», uma vez que as vantagens operacionais dos diodos de dados são consideradas a única forma prática de garantir a segurança.

1. Diretrizes de Segurança da TSA (Ferroviário e Aviação) 
   A TSA (Administração de Segurança nos Transportes) emitiu várias diretivas de emergência que exigem que os operadores de transportes essenciais reforcem a segurança das suas redes.
   1. Transporte ferroviário de mercadorias e passageiros: As diretivas de segurança da TSA n.º 1582-21-01 e n.º 1580/82-2022-01 exigem a segmentação da rede entreas redes de TI e de OT.
   2. Requisito:Os operadores devem impedir o acesso aos sistemas OT através do sistema de TI, a menos que estejam protegidos por medidas como diodos de dados, de modo a garantir a integridade e evitar a corrupção dos dados.
   3. Aviação: Os requisitos da TSA para aeroportos e companhias aéreas estão em conformidade comas melhores práticas do NIST e da CISA, que privilegiam a utilização de diodos de dados implementados por hardware para a segmentação de sistemas críticos para a segurança dos voos. 
      CPGs (Objetivos de Desempenho em Cibersegurança)da CISA
      A CISA (Agência de Cibersegurança e Segurança de Infraestruturas) forneceCPGs intersetoriais queservem de referência para infraestruturas críticas, incluindo os transportes. 
2. Fluxos unidirecionais:A CISA recomenda explicitamente a utilização dedíodos de comunicação unidirecionais paraimpedir o acesso externo aos ICS (SistemasIndustrial ), permitindo simultaneamente o fluxo de dados operacionais de saída para gémeos digitais ou registadores históricos de dados.
3. Normas do NIST (Carregamento de veículos elétricos e tecnologia operacional geral)
   1. Infraestrutura para veículos elétricos:O NIST IR 8473 estabeleceum quadro de cibersegurança para os ecossistemas de veículos elétricos (EV) e de carregamento ultrarrápido (XFC). Identifica a segmentação de rede através da utilização de diodos de dados como prática recomendada para isolar o equipamento de carregamento das redes empresariais.
   2. OT Security:A normaNIST SP 800-82, Revisão 3, define os gatewaysunidirecionais(díodos de dados) como um componente essencial de uma estratégia em camadas de «defesa em profundidade» para ambientes OT de alto risco.
4. Diretiva NIS2 da UE 
   Embora não indique nenhum hardware específico, o Diretiva NIS2 exige que os setores de transportes «altamente críticos» (aviação, transporte marítimo, ferroviário e rodoviário) implementem controlos de acesso rigorosos e gestão de riscos. 
   1. Os díodos de dados são frequentemente utilizados pelas operadoras europeias para cumprir os requisitos da NIS2 no que diz respeitoà segurança dos canais de troca de dados em tempo real eà proteção contra vulnerabilidades na cadeia de abastecimento.