'Data diode' verhardt Industry 4.0 netwerkbeveiliging

Het internet der dingen en Industrie 4.0-netwerken vereisen betrouwbare, veilige en beveiligde datalinks. Tegenwoordig is elk netwerk echter vatbaar voor cyberaanvallen, zelfs als het wordt beveiligd met traditionele beveiligingsmethoden. Om dit probleem op te lossen, staat de datadiode, een hard- en softwareapparaat, alleen gegevensuploads naar de buitenwereld toe en vermijdt om veiligheidsredenen achterwaartse gegevensdownloads.

De cyberdiode breidt de mogelijkheden van traditionele oplossingen voor netwerkbeveiliging uit. Het belang van veilige netwerken wordt bewezen door een onderzoek naar cyberaanvallen uitgevoerd door het Bundesamt für Sicherheit in der Informationstechnik (BSI of, in het Engels, het Duitse Federale Bureau voor Informatiebeveiliging). Volgens het onderzoek is de hoeveelheid malware, waaronder trojans, ransomware en trickbots, tussen juni 2019 en mei 2020 gestegen tot 117 miljard, waarbij de variaties en intensiteit van de malware blijven toenemen. De vereisten voor optimale beveiliging in de onderling verbonden industrie en in kritieke infrastructuren zijn zeer hoog, en industriële apparatuurinterfaces moeten volledig worden beschermd om negatieve gevolgen te voorkomen. Een ander belangrijk punt is dat de verzonden gegevens vertrouwelijk en niet-manipuleerbaar moeten zijn.

"Maar zelfs met bestaande beveiligingsoplossingen is er nog steeds een risico", vertelde Steve Schoner, strategisch productmarketingmanager van Genua GmbH, aan EE Times Europe . “Met de cyberdiode dichten we deze kloof.” Genua GmbH, opgericht in 1992, is een business unit van de Bundesdruckerei (Duitse Federale Drukkerij). Het heeft uitgebreide ervaring met particuliere entiteiten die gerubriceerde informatie verwerken en is gespecialiseerd in het beschermen van elk netwerk en digitale communicatie.

De slechte beveiliging in industriële netwerken naarmate IT en OT steeds meer met elkaar verbonden raken, is de reden waarom veel bedrijven afzien van de vooruitgang die is geboekt door hun fabrieken via internet met de buitenwereld te verbinden. Netwerken maakt efficiënte, kosteneffectieve en flexibele productie mogelijk tot partijgrootte 1. Het maakt ook het bewaken en optimaliseren van machines en systemen mogelijk (bijvoorbeeld voor voorspellend onderhoud en analyses). Met een internetverbinding worden Industrie 4.0-netwerken echter een doelwit voor sabotage en spionage door cybercriminelen.

Gemaximaliseerde cyberbeveiliging

"Omdat bestaande oplossingen voor cyberbeveiliging ofwel propriëtair ofwel erg duur zijn, hebben we onze industriële cyberdiode ontwikkeld, die zorgt voor veilige, betrouwbare, fabrikant- en platformonafhankelijke communicatie", legt Schoner uit. “Het is wereldwijd de enige datadiode op basis van een gecertificeerd vertrouwelijk product.” Voor veilige gegevensoverdracht in industriële omgevingen ondersteunt het OPC UA Protocol (OPC Unified Architecture), een open standaard voor het uitwisselen van machinegegevens. Het maakt ook gecodeerde overdracht van gegevens naar clienttoepassingen mogelijk via IPSec VPN. Als IPSec is geactiveerd, kunnen externe clients alleen met de diode communiceren door gecodeerde communicatie te gebruiken. Dit wordt gewaarborgd door de diode-interne firewall en maakt een uiterst veilige gegevensoverdracht naar elke gewenste dienst in de cloud of een andere externe locatie mogelijk.

Cyberdiode in detail

Cyberdiode-hardware is veilig door het gebruik van een I/O-geheugenbeheereenheid (IOMMU) voor compartimentscheiding. Het zwarte compartiment (links) in het functionele blokschema illustreert de zender, in dit geval een OPC UA-client. In het midden vertegenwoordigt de gepatenteerde One-Way-Task de functie voor gegevensoverdracht in één richting. Het rode compartiment (rechts) is de VPN-ready kant die VPN-beveiligde gegevens via de netwerkinterface (NIC) naar het externe doelsysteem verzendt. Het extra Update Compartiment (boven) maakt de integratie van nieuwe functionaliteiten of upgrades mogelijk die om veiligheidsredenen niet door het netwerk zijn toegestaan. Updates kunnen alleen naar het apparaat zelf worden geüpload - via de netwerkinstellingen zijn geen wijzigingen in de basisconfiguratie mogelijk. De hardware is geschikt voor ruimtebesparende DIN-rails of 19 rack-behuizingen en biedt UEFI- en Secure Boot-ondersteuning. De cyberdiode kan worden uitgebreid voor verbinding via mobiele telefonie (LTE) en WLAN, aldus het bedrijf.

Blokdiagram van een cyberdiode (Bron afbeelding:Genua)

De kern van de software is gebouwd op een minimalistische geharde microkernel en een gehard OpenBSD-besturingssysteem. Beide bevatten slechts een paar regels code, waardoor de toegangspunten voor hackers en aanvalsvectoren worden geminimaliseerd. "Zo'n architectuur is extreem moeilijk aan te vallen", zegt Schoner. Zelfs kwetsbaarheden in het besturingssysteem hebben geen effect op de gepatenteerde One-Way functionaliteit. Alleen de door Genua geleverde software kan op de cyberdiodes draaien. "Het is kosteneffectief en beschikbaar als een levenslange licentie die de hardware en de volledige software voor één systeem omvat", aldus Schoner. Ook een hotline-service of complete systeembeheerservice is gegarandeerd. Het aantal benodigde cyberdiodes in een netwerk hangt af van de risicovereisten van de gebruiker en de netwerkstructuur.

Beveiligingsfuncties verbeteren

Vergeleken met traditionele methoden voor cyberbeveiliging zoals air gaps, firewalls en glasvezel, bieden cyberdiodes verschillende voordelen, beweerde Schoner. Een luchtspleet scheidt bijvoorbeeld IT van OT-netwerken, waardoor geautomatiseerde gegevensuitwisseling wordt vermeden en de veiligheid wordt gegarandeerd. Maar in Industrie 4.0 moeten omgevingsgegevens sowieso uitgewisseld worden tussen verschillende netwerken. In dit geval vindt de gegevensoverdracht meestal plaats via een USB-stick of andere geheugenapparaten, wat niet efficiënt en storingsgevoelig is. USB-sticks en andere geheugenapparaten kunnen mogelijk malware bevatten.

De alternatieven zijn firewalls, die kunnen worden geconfigureerd om gegevens slechts in één richting te verzenden. Dit zou een oplossing kunnen zijn, maar het is erg complex omdat bijna alle firewalls meer dan één set regels bevatten. Dit betekent ook dat het mogelijk is om deze regels per ongeluk te wijzigen of dat ze in de loop der jaren achterhaald raken. Dit bemoeilijkt het koppelen van nieuwe netwerksegmenten daaraan, of vereist op zijn minst grote kennis om dit te doen. Het kan voorkomen dat de eenrichtingsfunctie wordt gedeactiveerd.

Deze risico's zijn uitgesloten in cyberdiodes. Glasvezeldiodes, de derde traditionele optie, zijn in staat om gegevens in de omgekeerde richting te blokkeren, maar hebben een apart kanaal nodig om te weten of de gegevensoverdracht succesvol was. Om de betrouwbare gegevensoverdracht te vergroten, bevestigt de cyberdiode de succesvolle gegevensoverdracht door slechts één bit terug te sturen. Ten slotte kunnen cyberdiodes eenvoudig worden geïntegreerd in bestaande industriële netwerken.

>> Dit artikel is oorspronkelijk gepubliceerd op onze zustersite, EE Times Europa.