Az elmúlt években az amerikai szennyvízkezelő létesítmények elleni kibertámadások rávilágítottak arra, hogy az üzemeltetési technológia mennyire sebezhető. 2024 elején több texasi város SCADA-rendszeréhez is távoli hozzáférést kaptak a támadók, és még egy víztartály is túlcsordult, mielőtt a személyzet visszanyerte volna az irányítást. Egy hasonló incidens az Indiana állambeli Tiptonban arra kényszerítette az üzemeltetőket, hogy kézi üzemeltetésre térjenek át, miután szabálytalan tevékenységet észleltek az üzem rendszerein. Ezek az események rávilágítottak a kezelési infrastruktúra vállalati vagy internetes hálózatokhoz való csatlakoztatásának kockázataira, és megerősítették, hogy ez a közműszolgáltató miért nem köthetett kompromisszumot az OT-rendszereinek légzárral való ellátása terén.
Ahol a biztonság és a láthatóság ütközik
A Historian adatok megértése
Az AVEVA Historian egy speciális ipari adatbázis, amelyet arra terveztek, hogy nagy mennyiségű, idősoros adatokat rögzítsen és tároljon az OT rendszerekből, például érzékelőkből, vezérlőkből és SCADA platformokból. A létesítmény szintjén egy helyi Historian rögzíti a folyamatadatokat (az ipari vezérlőrendszerek és érzékelők által generált nyers működési információkat) az üzemeltetők számára, biztosítva, hogy valós időben nyomon követhessék a berendezések és a kezelési tevékenységet.
Az 1. szintű vállalati Historian más szerepet tölt be: több létesítményből származó Historian-adatfolyamokat összesíti, és a vállalati csapatoknak összevont nézetet biztosít a jelentéskészítéshez, elemzéshez és tervezéshez. A kihívás akkor merül fel, amikor az adatoknak ezekből a helyi Historian-okból a vállalati szintre kell átkerülniük anélkül, hogy a kritikus OT-rendszerekbe visszavezető utat nyitnának.
A Secure adatmegosztás kihívása
Az egyik létesítményében a közműszolgáltatónak egy helyi AVEVA Historianról kellett továbbítania az adatokat a vállalati hálózaton lévő Tier 1 Historianra. Ezek az adatok létfontosságúak voltak a vállalati szintű felügyelethez és jelentéskészítéshez, de a vállalati hálózat internetkapcsolata bizonytalanná tette a közvetlen integrációt.
Az OT-rendszerek elszigetelése alapvető fontosságú volt, mivel az ellenőrzési környezetbe való bármilyen visszaút támadási vektort jelenthetett. Ugyanakkor a történészek elszigeteltségének meghagyása korlátozta a szervezet azon képességét, hogy a helyszínek között megossza a felismeréseket és javítsa a hatékonyságot. A kihívás mindkét cél elérése volt: a szigorú elkülönítés fenntartása, ugyanakkor a valós idejű láthatóság lehetővé tétele.
A tűzfalak és más szoftveralapú eszközök nem voltak elegendőek. Nem tudták garantálni az egyirányú kommunikációt, folyamatos karbantartást igényeltek, és továbbra is kockázatnak tették ki a kritikus eszközöket. Ezért a szervezetnek olyan megoldásra volt szüksége, amely a fizikai elszigeteltséget biztosítja, ugyanakkor lehetővé teszi az alapvető adatok kifelé történő mozgását.
Secure útvonal létrehozása a valós idejű adatok számára
A közműszolgáltató az OPSWAT fordult, és a MetaDefender Optical Diode (Fend) és az eRIS szoftverplatformot együtt telepítette. Az eRIS a vízügyi ágazatban általánosan használt adatkezelési és jelentési eszköz a Historian adatok biztonságos lefordítására és továbbítására, így ez a telepítéshez természetesnek bizonyult.
A MetaDefender Optical Diode (Fend) egy hardveresen megerősített kiberbiztonsági eszköz, amely optikai elszigeteléssel garantálja az egyirányú kommunikációt. Kialakításánál fogva fizikailag blokkol minden bejövő forgalmat, hogy megakadályozza a távoli hozzáférést vagy a rosszindulatú programok beszivárgását, és a beépített védelem a szolgáltatásmegtagadás, a manipuláció és az energiaingadozás ellen biztosítja, hogy a Historian adatai még stresszhelyzetben is megbízhatóan áramoljanak.
Így működött a telepítés:
- eRIS telepítése: Az eRIS szoftvert Windows szolgáltatásként telepítették a meglévő OT AVEVA szerverre, amely a Historian adatokat egyirányú formátumba fordítja.
- Optikai szigetelés: Az adatok ezután biztonságosan áthaladtak a MetaDefender Optical Diode (Fend), amely hardveres szintű optikai szigeteléssel egyirányú átvitelt biztosított.
- Protokolltámogatás: Az eszköz natívan támogatja mind a szabványos informatikai protokollokat, mint például az FTP, SFTP, TCP és UDP, mind pedig az ipari protokollokat, mint például a Modbus és BACnet, így kiválóan alkalmas a Historian adatátvitelre.
- Vállalati átalakítás: A vállalati oldalon az eRIS Hub visszaalakította az információkat AVEVA formátumba, és előkészítette azokat az 1. szintű Historianba való bevitelre.
A kézi késleltetéstől az azonnali betekintésig
Az új architektúra bevezetésével a közműszolgáltatónak már nem kellett választania a láthatóság és a biztonság között. A kezelő létesítmény üzemeltetői szinte azonnal láthatták, ahogy az adatok megjelennek a vállalati Historian rendszerben, miközben tudták, hogy semmi sem áramolhat vissza az ellenőrzési környezetbe. Ami korábban óvatos megoldásokat igényelt (kézi adatgyűjtés, késleltetett jelentés), most automatikusan történt, így mind az üzemeltetési, mind a vállalati csapatok bizalmat kaptak a nap mint nap használt információk iránt.
Legfontosabb előnyök
A napi műveletek során megtakarított idő: Ahelyett, hogy az adatok manuális összegyűjtésére és megosztására kellett volna várni, a munkatársak az elemzésre kész információk folyamatos áramlására támaszkodhattak.
A biztonsági csapatok nyugalma: A hardver által kikényszerített egyirányú átvitel azt jelentette, hogy még ha a vállalati hálózatot veszélyeztetik is, az OT-rendszerek érintetlenek maradnak.
Jobb átláthatóság a szervezeten belül: A vállalati csapatok a szükséges átláthatósághoz jutottak anélkül, hogy megzavarták vagy megterhelték volna a létesítmény személyzetét.
Könnyen replikálható a különböző létesítményekben: Egy egyszerű, alacsony karbantartási igényű telepítéssel a közműszolgáltató szükség esetén más létesítményekben is replikálhatja ugyanazt a modellt.
A szervezet most először láthatta valós időben a működésének teljes képét, miközben tudta, hogy a legkritikusabb rendszereit továbbra is egy valódi légtérzár védi.
A Secure vízügyi műveletek jövőjének megteremtése
A biztonságos Historian-adattovábbítással a közműszolgáltató most már képes arra, hogy ugyanezt a modellt kiterjessze a működésének más részeire is. További kezelő létesítmények, szivattyúállomások és felügyeleti rendszerek integrálhatók a vállalati hálózatba anélkül, hogy az OT-környezeteket külső fenyegetéseknek tennék ki.
A bevezetés megalapozza az új elemzési és megfelelési gyakorlatok bevezetését is. A vállalati csapatok megbízható, valós idejű adatfolyamokra építhetnek a jelentéstétel javítása, a prediktív karbantartás támogatása és a működési változásokra való gyorsabb reagálás érdekében. Ugyanakkor az OT-rendszereket továbbra is hardverrel megerősített elszigetelés védi, megvédve az alapvető szolgáltatásokat az olyan típusú kibertámadásoktól, amelyek az Egyesült Államokban már megzavarták a víz- és szennyvízlétesítményeket.
A valós idejű láthatóság és a kompromisszumok nélküli biztonság kombinálásával a közműszolgáltató olyan megközelítést hozott létre, amely nemcsak a mai igényeknek felel meg, hanem készen áll a kritikus infrastruktúrák védelmének jövőbeli követelményeire is.
Tudjon meg többet arról, hogy MetaDefender Optical Diode (Fend) hogyan védheti meg létesítményét, miközben az alapvető fontosságú rendszereket biztonságosan elszigeteli.
