ComSource ve své laboratoři otestoval nasazení datových diod: fyzická ochrana mezi IT a OT světem funguje spolehlivě

Česká společnost ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku, otestovala ve své vlastní laboratoři datové diody značky OPSWAT. Tyto specializované hardwarové prvky zajišťují fyzickou segmentaci síťových prostředí – zejména mezi IT a OT světem – při zachování požadované jednosměrné komunikace. Na rozdíl od tradičních firewallů datové diody garantují auditovatelnost až na úroveň jednotlivých datových toků a plně odpovídají požadavkům legislativy i bezpečnostních standardů. Testování v laboratoři ComSource ověřilo funkčnost klíčových příkladů využití zahrnujících přenos souborů, logování, průmyslové protokoly i bezpečný přenos dat z externích médií. ComSource je nejzkušenějším implementátorem řešení OPSWAT v České republice.

„Datové diody jsou dnes pro organizace spravující kritickou infrastrukturu prakticky nepostradatelné. Umožňují řízenou komunikaci i tam, kde jsou sítě provozovány jako zcela fyzicky oddělené a nepropojené – a právě to je u průmyslových prostředí zásadní. Tradiční firewally totiž fyzické oddělení sítí nezajistí a jejich komplexnost přináší riziko lidských chyb. Proto jsme v naší laboratoři datové diody OPSWAT důkladně otestovali, abychom zákazníkům mohli nabídnout ověřené a funkční řešení,“ říká Jaroslav Cihelka, spolumajitel společnosti ComSource a expert na kybernetickou bezpečnost.

Portfolio datových diod OPSWAT pokrývá celé spektrum potřeb. Nabízí jednoduché optické diody s přenosem pouze jedním směrem, jednosměrné i obousměrné bezpečnostní brány propojené speciálním kabelem – vhodné například pro replikace databází mezi oddělenými prostředími – i pokročilý Transfer Guard s funkcionalitou multiscanningu a sanitizace přenášených souborů. Diody podporují jak standardní přenos souborů a zpráv logovacích mechanismů, tak průmyslové protokoly typické pro OT prostředí, jako jsou Modbus, OPC DA, OPC A&E, OPC UA, MQTT, UDP nebo TCP. Součástí portfolia je také MetaDefender Industrial Firewall zajišťující filtraci protokolů a portů výhradně v OT prostředí. Diody OPSWAT navíc mají oficiální certifikaci pro nasazení v prostředích s utajovanými informacemi napříč zeměmi NATO.

Testování v laboratoři ComSource: čtyři klíčové scénáře

V laboratoři ComSource bylo ověřeno několik praktických scénářů odpovídajících reálnému nasazení v kritické infrastruktuře:

1. Přenos souborů přes optické diody mezi dvěma FTP servery – soubor nahraný na zdrojový FTP server byl přes BLUE diodu (bezpečná strana) předán do RED diody (potenciálně nebezpečná strana) a doručen na cílový FTP server. Oba FTP servery na sebe fyzicky ani logicky neviděly.
2. OPSWAT kiosek a přenos do OPSWAT MFT – na kiosku na bezpečné straně bylo oskenováno USB médium, povolené soubory byly přeneseny přes optické diody na druhou stranu, kde je převzalo MFT úložiště. Kiosek a MFT přitom neměly žádnou vzájemnou síťovou viditelnost.
3. Přenos syslog zpráv do centrálního log managementu – pomocí bilaterální bezpečnostní brány v unidirectionálním režimu byly logy z Linuxového virtuálního stroje přenášeny do centrálního logmanagementu na bezpečné straně, aniž by strany na sebe viděly.
4. Přenos zpráv protokolem MQTT – s využitím bilaterální bezpečnostní brány byl ověřen přenos zpráv protokolem MQTT využívaným v IoT prostředích. BLUE dioda fungovala jako MQTT subscriber a RED dioda jako MQTT publisher – vše v oddělených virtuálních strojích bez vzájemné síťové viditelnosti.

„Testy v laboratoři jednoznačně potvrdily, že datové diody OPSWAT plní svou funkci spolehlivě i v komplexních scénářích zahrnujících průmyslové protokoly nebo kombinaci kiosku s centrálním úložištěm. Zákazníci z řad kritické infrastruktury tak mohou mít jistotu, že nasazení tohoto řešení do jejich prostředí proběhne bez negativního dopadu na provoz,“ uzavírá Jaroslav Cihelka z ComSource.