דיודות נתונים, שהיו בעבר טכנולוגיה נישתית בתחום הביטחון הצבאי והגרעיני, הפכו למרכיב חיוני באבטחת הסייבר התעשייתית והארגונית. עם הכפלת הנזקים הנגרמים מתקריות סייבר פי ארבעה מאז 2017 לכמעט 2 מיליארד דולר, גוברת השימוש בדיודות נתונים כסטנדרט אבטחה, בין אם הן נכללות כדרישה ובין אם כהמלצה במסגרת תקנות רגולטוריות. חשיבותן הגוברת נובעת מהעובדה שפתרונות אבטחה מבוססי תוכנה, כגון חומות אש, אינם יכולים עוד להבטיח אבטחה.
הצורך הגובר בדיודות נתונים
מכיוון שדיודות נתונים אוכפות תעבורה חד-כיוונית ברמת החומרה, לרוב באמצעות סיבים אופטיים, הן חוסמות פיזית את נתיב התקשורת ההפוך הדרוש לתפקודן של תוכנות כופר ואיומים מתמשכים ומתקדמים (APT). בעוד שחומות אש נותרות הסטנדרט עבור מרבית היישומים העסקיים, תקנות גלובליות עבור מגזרי תשתית קריטיים בסיכון גבוה, כגון גרעין, אנרגיה ומים, ממליצות כעת במפורש או מחייבות את השימוש בדיודות נתונים כדי להבטיח בידוד פיזי בין רשתות OT (טכנולוגיה תפעולית) ו-IT (טכנולוגיית מידע).
פרופיל האבטחה של Data Diode מציע שלושה יתרונות אבטחה מרכזיים החורגים מהיכולות של חומות אש:
איומים שמקורם ברשת אינם יכולים לעקוף את האבטחה החד-כיוונית של דיודה, המופעלת באמצעות חומרה, בניגוד לחומות אש, שניתן לעקוף אותן באמצעות תצורה שגויה או פגיעויות "יום אפס"
אין ערוצי תקשורת נסתרים, מה שמונע מתוקפים לשלוח פקודות חזרה למערכות שנפרצו
הפרה של פרוטוקול המאפשרת לדיודות נתונים להעביר נתונים באמצעות פרוטוקול שאינו ניתן לניתוב
ההבדלים העיקריים בין דיודות נתונים לחומות אש
| תכונה | Firewall | שער חד-כיווני (דיודה לנתונים) |
|---|---|---|
| מנגנון | Software(לוגי) | Hardware(פיזי) |
| כיוון | דו-כיווני (מסונן) | רק בכיוון אחד |
| פְּגִיעוּת | חשוף לבעיות תצורה ולניצול פרצות "יום אפס" | חסינות מפני מתקפות מרחוק מבוססות תוכנה |
| מקרה שימוש | אבטחת מידע כללית | הגנה ברמה גבוהה על מערכות OT/ICS |
תקנות והנחיות רגולטוריות בינלאומיות
בשל פרופיל האבטחה של דיודות הנתונים, שאינו ניתן לעקיפה, גופים רגולטוריים ברחבי העולם ממליצים, ובמקרים מסוימים אף מחייבים, את השימוש בהן לצורך פילוח רשתות תשתית קריטיות.
מספר תקנים, כגון NRC, NERC CIP (אנרגיה), IEC 62443 (תעשייה) והנחיות ה-TSA (רכבת/צינורות), מחייבים או ממליצים בחום על זרימה חד-כיוונית המופעלת באמצעות חומרה עבור תשתיות קריטיות. עם זאת, קיימים דוגמאות רבות לשימוש בדיודות בתעשיות שאינן מחייבות כרגע את השימוש בהן, כגון:
- מוסדות פיננסיים, ובמיוחד בנקים, משתמשים בהם כיום לאבטחת רשתות עסקאות בעלות ערך גבוה ולצורך דיווח רגולטורי, כדי להבטיח שמידע רגיש יעזוב את הבנק מבלי להשאיר פרצה להאקרים. כמו כן, הם משמשים לאבטחת ארכיונים ומרכזי התאוששות מאסון.
- מוסדות רפואיים ותעשיית התרופות משתמשים בדיודות נתונים כדי להגן על קניין רוחני וכדי לבודד רשתות טכנולוגיה קלינית, כגון מכשירי ניטור חולים והדמיה אבחנתית, מרשתות ה-IT הארגוניות.
- ארגונים בתעשייה הימית משתמשים בדיודות נתונים כדי לבודד ולפקח על נתונים המגיעים מחדרי המנועים וממערכות ההיגוי, וכדי להגן על העברת נתונים בין הספינה לחוף.
מסגרות רגולטוריות המחייבות או ממליצות על שימוש בדיודות נתונים
להלן סיכום של התקנות וההנחיות העיקריות בעולם המפרטות או ממליצות בחום על השימוש בשערים חד-כיווניים.
תקנים בינלאומיים
IEC 62443
חלק 3-3 (SR 5.2) מתמקד ב"זמינות משאבים" וממליץ על שימוש בשערים חד-כיווניים באזורי אבטחה גבוהה (רמות 3 ו-4) כדי למנוע התפשטות תוכנות זדוניות ולהבטיח את תקינות הנתונים.
ISO 27019
בהתייחסות ספציפית לתעשיית האנרגיה, ההנחיות מציינות את הצורך בפיצול רשתות מאובטח, ומציינות את "דיודות הנתונים" כ"שיטת עבודה מומלצת" להפרדת מערכות בקרת תהליכים מרשתות חיצוניות.
בצפון אמריקה
NERC CIP
תקנות ה-NERC (North American Electric Reliability Corporation) להגנה על רשת החשמל נמנות עם המחמירות ביותר. בעוד שתקני CIP-002 עד CIP-013 מאפשרים שימוש בחומות אש, השימוש בשער חד-כיווני יכול "לפטור" חברת חשמל ממספר דרישות תאימות (כגון 21 מתוך 26 כללים בהקשרים מסוימים של NRC) מכיוון שהשער מונע פיזית גישה אלקטרונית נכנסת, ובכך מצמצם באופן יעיל את הסיכון ל"תחום האבטחה האלקטרוני" (ESP).
NIST SP 800-82 (מהדורה 3)
המדריך של המכון הלאומי לתקנים וטכנולוגיה (NIST) בנושא אבטחת מערכות Industrial מציין במפורש את השערים החד-כיווניים כאמצעי הגנה עיקרי. המדריך ממליץ על השימוש בהם להעברת נתונים מאזור OT בעל אבטחה גבוהה לאזור IT בעל אבטחה נמוכה יותר, כגון העברת נתוני חיישנים למסד נתונים בענן, מבלי לאפשר לתוקף נתיב חזרה כלשהו.
NRC RG 5.71
מסגרת זו של ה-NRC (הוועדה לפיקוח גרעיני) מחייבת בידוד ברמה גבוהה של מערכות דיגיטליות בתחנות כוח גרעיניות. היא קובעת כי זרימת נתונים חד-כיוונית היא השיטה המועדפת לניטור מערכות בטיחות גרעיניות מרשתות חיצוניות.
באירופה
ANSSI (צרפת) - PSSI-IV
הסוכנות הלאומית הצרפתית לאבטחת מערכות מידע (ANSSI) היא מובילה עולמית באכיפת השימוש בדיודות נתונים. עבור OIVs (מפעילים בעלי חשיבות חיונית), ה-ANSSI מחייבת לעתים קרובות את השימוש בדיודות נתונים מוסמכות, בעלות הסמכת CSPN, בכל חיבור בין רשתות תעשייתיות קריטיות מסוג "Class 3" לבין האינטרנט, או רשתות פחות מאובטחות מסוג "Class 1".
הנחיית NIS2 (ברחבי האיחוד האירופי)
אמנם הנחיית NIS2 (אבטחת רשתות ומידע) אינה מחייבת שימוש בחומרה ספציפית, אך היא מחייבת "גופים" ליישם אמצעי ניהול סיכונים "מתקדמים". בענפים כגון אנרגיה ומים, רגולטורים לאומיים, כגון ה-BSI בגרמניה וה-CCN בספרד, מתרגמים את NIS2 לדרישות טכניות המעדיפות פילוח המבוסס על חומרה על פני חומות אש מבוססות תוכנה.
באסיה ובמזרח התיכון
ערב הסעודית (NCA)
הרשות הלאומית לאבטחת סייבר של ערב הסעודית פרסמה "תקני דיודה נתונים" ספציפיים עבור מגזרים קריטיים, המפרטים כיצד יש להשתמש בהם כדי להגן על נכסי הנפט, הגז והתשתיות של הממלכה.
דרום קוריאה (KISA)
בדומה לסינגפור, ההנחיות של דרום קוריאה בנושא רשתות חכמות ואבטחת מתקנים גרעיניים שמות דגש רב על שימוש בשערים חד-כיווניים להעברת נתונים, כדי למנוע תנועה רוחבית מהאינטרנט הציבורי.
דיודות נתונים מובילות בתעשייהOT Security מאוחדיםOT Security
פתרונות MetaDefender Diode™ מאפשרים העברת נתונים חד-כיוונית המבוססת על חומרה בין רשתות IT ו-OT, ותומכים בשכפול נתונים מאובטח ובנראות תפעולית מבלי לפגוע בבידוד הרשת.
למידע נוסף על האופן שבו OPSWAT יכולה לסייעOPSWAT ובתמיכה בעמידה בדרישות הרגולטוריות האזוריות והעולמיות, פנו עוד היום למומחה.
