El "diodo de datos" refuerza la seguridad de la red de la Industria 4.0

El Internet de las cosas y las redes de la Industria 4.0 requieren enlaces de datos confiables, seguros y protegidos. Sin embargo, en estos días, cualquier red es propensa a ataques cibernéticos incluso cuando está protegida por métodos de seguridad tradicionales. Para resolver este problema, el diodo de datos, un dispositivo de hardware y software, solo permite la carga de datos al mundo externo y evita, por razones de seguridad, cualquier descarga de datos hacia atrás.

El diodo cibernético amplía las capacidades de las soluciones tradicionales para la seguridad de la red. La importancia de las redes seguras queda demostrada por un estudio sobre ciberataques realizado por el Bundesamt für Sicherheit in der Informationstechnik (BSI o, en inglés, la Oficina Federal de Seguridad de la Información de Alemania). Según el estudio, la cantidad de malware, incluidos troyanos, ransomware y trickbots, aumentó entre junio de 2019 y mayo de 2020 a 117 mil millones, y las variaciones y la intensidad del malware continúan aumentando. Los requisitos para una seguridad óptima en la industria interconectada y en las infraestructuras críticas son muy altos, y las interfaces de los equipos industriales deben estar completamente protegidas para evitar cualquier impacto negativo. Otro punto importante es que los datos transmitidos deben ser confidenciales y no manipulables.

"Pero incluso con las soluciones de seguridad existentes, todavía existe un riesgo restante", dijo Steve Schoner, gerente de marketing de productos estratégicos de Genua GmbH, a EE Times Europe . "Con el diodo cibernético, estamos cerrando esta brecha". Genua GmbH, fundada en 1992, es una unidad comercial de Bundesdruckerei (Oficina Federal de Imprenta de Alemania). Tiene una amplia experiencia con entidades privadas en el manejo de información clasificada y está especializado en proteger cualquier red y comunicaciones digitales.

La escasa seguridad en las redes industriales a medida que las tecnologías de la información y la tecnología de la información se interconectan cada vez más es la razón por la que muchas empresas están renunciando a los avances logrados al conectar sus fábricas con el mundo exterior a través de Internet. La conexión en red permite una fabricación eficiente, rentable y flexible hasta el tamaño de lote 1. También permite monitorear y optimizar máquinas y sistemas (por ejemplo, para análisis y mantenimiento predictivo). Sin embargo, con la conexión a Internet, las redes de la Industria 4.0 se están convirtiendo en un objetivo de sabotaje y espionaje por parte de los ciberdelincuentes.

Ciberseguridad maximizada

“Debido a que las soluciones existentes para la ciberseguridad son propietarias o muy costosas, desarrollamos nuestro diodo cibernético industrial, que garantiza una comunicación segura, confiable, independiente del fabricante y de la plataforma”, explicó Schoner. "Es el único diodo de datos en todo el mundo basado en un producto confidencial certificado". Para una transferencia de datos segura en entornos industriales, es compatible con el protocolo OPC UA (Arquitectura unificada OPC), un estándar abierto para el intercambio de datos de máquinas. También permite la transmisión encriptada de datos a aplicaciones cliente a través de IPSec VPN. Si IPSec está activado, los clientes externos pueden comunicarse con el diodo solo mediante comunicación cifrada. Esto está garantizado por el cortafuegos interno de diodos y permite una transmisión de datos extremadamente segura a cualquier servicio deseado en la nube o cualquier otra ubicación externa.

Cyber-diode en detalle

El hardware de diodo cibernético es seguro mediante el uso de una unidad de administración de memoria de E / S (IOMMU) para la separación de compartimentos. El compartimento negro (izquierda) en el diagrama de bloques funcional ilustra el transmisor, que es, en este caso, un cliente OPC UA. En el centro, la tarea unidireccional patentada representa la función de transferencia de datos unidireccional. El compartimento rojo (derecha) es el lado listo para VPN que transmite datos protegidos por VPN a través de la interfaz de red (NIC) al sistema de destino externo. El Compartimento de Actualización adicional (arriba) permite la integración de nuevas funcionalidades o actualizaciones que no están permitidas por la red por razones de seguridad. Las actualizaciones solo se pueden cargar en el dispositivo mismo; a través de la configuración de red, no es posible realizar cambios en la configuración básica. El hardware es adecuado para rieles DIN que ahorran espacio o carcasas de 19 racks y ofrece soporte UEFI y Secure Boot. El ciber-diodo se puede expandir para la conexión a través de telefonía móvil (LTE) y WLAN, dijo la compañía.

Diagrama de bloques de un diodo cibernético (Fuente de la imagen:Genua)

El núcleo del software se basa en un microkernel reforzado minimalista y un sistema operativo reforzado OpenBSD. Ambos contienen solo unas pocas líneas de código, lo que minimiza los puntos de entrada para los piratas informáticos y los vectores de ataque. “Una arquitectura así es extremadamente difícil de atacar”, dijo Schoner. Incluso las vulnerabilidades en el sistema operativo no tienen ningún efecto sobre la funcionalidad patentada unidireccional. Solo el software proporcionado por Genua se puede ejecutar en los diodos cibernéticos. “Es rentable y está disponible como una licencia de por vida que incluye el hardware y todo el software para un sistema”, dijo Schoner. También se garantiza un servicio de línea directa o un servicio completo de gestión del sistema. La cantidad de diodos cibernéticos necesarios en una red depende de los requisitos de riesgo del usuario y de la estructura de la red.

Mejora de las funciones de seguridad

En comparación con los métodos tradicionales de ciberseguridad, como espacios de aire, cortafuegos y fibra óptica, los diodos cibernéticos ofrecen varias ventajas, afirmó Schoner. Un espacio de aire separa, por ejemplo, las redes de TI de OT evitando cualquier intercambio de datos automatizado, garantizando así la seguridad. Pero en la Industria 4.0, los datos ambientales deben intercambiarse entre diferentes redes de todos modos. En este caso, la transmisión de datos generalmente se realiza a través de una memoria USB u otros dispositivos de memoria, lo que no es eficiente y propenso a fallar. Es posible que las memorias USB y otros dispositivos de memoria contengan malware.

Las alternativas son los cortafuegos, que se pueden configurar para transmitir datos en una sola dirección. Esto podría ser una solución, pero es muy complejo porque casi todos los firewalls cuentan con más de un conjunto de reglas. Esto también significa que es posible cambiar estos conjuntos de reglas por accidente o se volverán obsoletos con el paso de los años. Esto complica la vinculación de nuevos segmentos de red a ella, o requiere al menos un gran conocimiento para hacerlo. Podría suceder que la función unidireccional se desactive.

Estos riesgos están excluidos en los ciber-diodos. Los diodos de fibra, la tercera opción tradicional, son capaces de bloquear datos en la dirección inversa, pero requieren un canal separado para saber si la transmisión de datos fue exitosa. Para aumentar la transferencia de datos confiable, el diodo cibernético confirma la transferencia de datos exitosa enviando solo un bit. Por último, los diodos cibernéticos se pueden integrar fácilmente en las redes industriales existentes.

>> Este artículo se publicó originalmente en nuestro sitio hermano, EE. Times Europe.