העברת Secure : דיודות נתונים בענף התחבורה

ענף התחבורה נחשב בעיני רבים כעמוד התווך של הכלכלה העולמית, ותורם למעלה מ-12% מהתמ"ג (התוצר המקומי הגולמי) העולמי. ענפי הלוגיסטיקה, התעופה, הספנות, הנסיעות והפנאי יחד מהווים תעשייה בהיקף של 50 טריליון דולר בשנה. כל חלק בתעשיית התחבורה תלוי במידה רבה בטכנולוגיות מידע ותפעול, אשר נתונות יותר ויותר להתקפות סייבר. חומות אש פשוט אינן מספקות את רמת ההגנה הדרושה כדי לאבטח תעשייה קריטית זו.

בתעשייה כולה נעשה שימוש במערכות בקרה מורכבות לניווט ולהפעלת מערכות הנעה, לניהול מטען ולהבטחת בטיחות הנוסעים. מערכות אלה נדרשות לתקשר עם מערכות ניטור מרכזיות. יש חשיבות מכרעת להקפדה על נהלי אבטחת הסייבר המומלצים, הכוללים פילוח נכון של הרשתות כדי להגן מפני איומים.

דיודות נתונים זוכות לקבלה נרחבת בענף התחבורה ומשמשות בעיקר כשכבת אבטחת סייבר המופעלת באמצעות חומרה, שנועדה להגן על סביבות OT קריטיות מפני איומי סייבר חיצוניים, תוך תמיכה בניטור ובניתוח נתונים בזמן אמת. בניגוד לחומות אש תוכנתיות, דיודות נתונים מגבילות פיזית את זרימת הנתונים לכיוון אחד בלבד, בדרך כלל מרשתות תפעוליות בעלות אבטחה גבוהה לסביבות ארגוניות או ענניות בעלות רמת אבטחה נמוכה יותר. 

פיצול הרשת מיושם בחומרה ואינו ניתן לעקיפה, ובכך נוצר פתרון אבטחת רשת המבוסס על מודל "אמון אפס".

מרווחי אוויר מאולצים: הם מספקים את האבטחה של מרווח אוויר, תוך שהם מאפשרים העברת המידע הנדרש לצורך תחזוקה חזויה וניתוח נתונים מודרניים.

הגנה על מערכות ישנות: בענף התחבורה נעשה לעתים קרובות שימוש במערכות ישנות שלא ניתן לעדכן בקלות. בידוד מערכות אלה באמצעות דיודה נתונים מגן על נכסים אלה על ידי חסימה פיזית של כל התעבורה הנכנסת.

עמידה בדרישות הרגולטוריות: השימוש בדיודות נתונים עומד בדרישות אבטחת הסייבר המחייבות, ובמקרים רבים אף עולה עליהן, כגון הדרישות שפרסמה רשות אבטחת התחבורה (TSA), המחייבות פילוח וניטור קפדניים של הרשת.

שלמות הנתונים: מכיוון שדיודות הנתונים מונעות פיזית איומים חיצוניים, מערכות רישום הנתונים בזמן אמת וההיסטוריות מוגנות. מערכות קריטיות הנדרשות לשמירה על פעילות תקינה או לביצוע ניתוחים מאובטחות.

מספר הולך וגדל של תעשיות בתחום התחבורה אימצו דיודות נתונים לצורך העברת נתונים מאובטחת, בזכות פרופיל האבטחה של הדיודות, המושתת על חומרה.

• פעילות ימית: דיודות נתונים משמשות בספינות להעברת נתוני חדר המנועים והמערכות בזמן אמת למרכזי תפעול בחוף. הדבר מאפשר לחברות הספנות לתכנן את התחזוקה ולפקח על צריכת הדלק מבלי לחשוף את מערכות הניווט והבקרה של הספינה להתקפות מרחוק פוטנציאליות באמצעות תקשורת לוויינית דו-כיוונית.

• תשתית רכבתית: חברות הרכבת הלאומיות מטמיעות דיודות נתונים כדי לבודד את רשתות הניטור והאיסוף של הרכבת. הדיודות מאפשרות העברה מאובטחת וחד-כיוונית של נתוני חיישני בטיחות ומדדי ביצועים למרכזי ניטור מרוחקים, ובכך מבטיחות שמערכות האיתות והאינטרלוקינג, החיוניות לבטיחות, יישארו חסינות מפני איומים חיצוניים.

• תעופה ושדות תעופה: שדות תעופה משתמשים בדיודות כדי לאבטח רשתות תקשורת ולהגן על נתונים תפעוליים רגישים. הן מאפשרות ייצוא של נתוני מצב טיסות ומתקנים, תוך שמירה על בידודן של רשתות הבקרה הפנימיות בצד האווירי. דיודות משמשות גם לאבטחת מערכות רגישות של ה-TSA, כדי להבטיח שלא ניתן לפרוץ למערכות אלה.

• ניהול צי מסחרי: בתחום ההובלה הכבדה, דיודות נתונים מגנות על רשתות הרכב המובנות מפני נקודות תורפה הקיימות במכשירי ELD (מכשירים לרישום אלקטרוני) המחייבים על פי חוק. באמצעות הצבת דיודה בין אפיק ה-CAN (Controller Area Network) של הרכב לבין מכשיר ה-ELD, המפעילים מבטיחים שניתן יהיה לקרוא את הנתונים לצורך עמידה בדרישות, אך לא ניתן לשלוח פקודות זדוניות בחזרה למנוע או למערכות הבלמים של המשאית.

• מערכות אקולוגיות של כלי רכב חשמליים: ארגונים כמו NIST ממליצים על פילוח רשתות בתשתית הטעינה המהירה של כלי רכב חשמליים (EV). דיודות נתונים מבודדות את רשתות ה-OT האחראיות על הטעינה ובקרת הגישה מרשתות ה-IT המטפלות בחיובים ובקישוריות הציבורית, ובכך מונעות מהאקרים להשתמש בתחנות הטעינה כשער כניסה לרשתות חשמל או רשתות רכב רחבות יותר. 

הדרישות הרגולטוריות בנוגע לדיודות נתונים בענף התחבורה עוברות יותר ויותר מ"שיטות עבודה מומלצות" לדרישות מחייבות, שכן היתרונות התפעוליים של דיודות נתונים נתפסים כדרך המעשית היחידה להבטיח אבטחה.

1. הנחיות אבטחה של ה-TSA (רכבת ותעופה) 
   ה-TSA (מינהל אבטחת התחבורה) פרסם מספר הנחיות חירום המחייבות את מפעילי התחבורה החיוניים לחזק את רשתותיהם.
   1. רכבות משא ונוסעים: הנחיות האבטחה של ה-TSA מס'1582-21-01 ו-1580/82-2022-01 מחייבות פיצול הרשת ביןמערכות ה-IT ל-OT.
   2. דרישה:על המפעילים למנוע גישה למערכות OT דרך מערכת ה-IT, אלא אם כן הן מאובטחות באמצעות אמצעים כגון דיודות נתונים, כדי להבטיח את תקינות הנתונים ולמנוע פגיעה בהם.
   3. תעופה:דרישות ה-TSA (מנהל אבטחת התחבורה) לשדות תעופה ולחברות תעופה תואמותאת שיטות העבודה המומלצות של ה-NIST (המוסד הלאומי לתקנים וטכנולוגיה) וה-CISA(הסוכנות לאבטחת סייבר ותשתיות), המעדיפות שימוש בדיודות נתונים המופעלות באמצעות חומרה לצורך פילוח מערכות חיוניות לטיסה. 
      CPG של CISA (יעדי ביצועי אבטחת סייבר)
      CISA (הסוכנות לאבטחת סייבר ותשתיות) מספקתCPG חוצה-מגזרים המשמשיםכבסיס לתשתיות קריטיות, כולל תחבורה. 
2. זרימות חד-כיווניות:CISA ממליצה במפורש על שימושבדיודות תקשורת חד-כיווניות כדילמנוע גישה חיצונית למערכותIndustrial (ICS), תוך מתן אפשרות לזרימת נתוני תפעול יוצאים אל "תאומים דיגיטליים" או מערכות תיעוד נתונים.
3. תקני NIST (טעינת רכבים חשמליים ו-OT כללי)
   1. תשתית לרכבים חשמליים: NIST IR 8473 קובעמסגרת אבטחת סייבר למערכות אקולוגיות של רכבים חשמליים וטעינה מהירה במיוחד (EV/XFC). הוא מציין פילוח רשתות באמצעות דיודות נתונים כנוהל מומלץ לבידוד ציוד הטעינה מרשתות ארגוניות.
   2. OT Security:תקן NIST SP 800-82, מהדורה 3, מגדיר שעריםחד-כיווניים(דיודות נתונים) כמרכיב מרכזי באסטרטגיית "הגנה רב-שכבתית" עבור סביבות OT בעלות סיכון גבוה.
4. הנחיית NIS2 של האיחוד האירופי 
   אמנם לא נקבעו דרישות חומרה ספציפיות, אך הנחיית NIS2 מחייבת את ענפי התחבורה "הקריטיים ביותר" (תעופה, ספנות, רכבת, כבישים) ליישם בקרות גישה קפדניות וניהול סיכונים. 
   1. מפעילים אירופיים עושים שימוש תדיר בדיודות נתונים כדי לעמוד בדרישות NIS2בנוגע לאבטחת ערוצי חילופי נתונים בזמן אמתולהגנה מפני נקודות תורפה בשרשרת האספקה.