Secure del traslado de datos Secure a gran escala
Los fabricantes se enfrentan al reto constante de controlar los costes energéticos y de mantenimiento. Los equipos de sus fábricas pueden consumir millones de dólares en energía y agua al año, y hasta los problemas de rendimiento más insignificantes pueden provocar que los costes se disparen rápidamente.
Las averías inesperadas de los equipos constituyen otro motivo de gran preocupación. La falta de un mantenimiento predictivo puede provocar la paralización de la producción, lo que se traduce en una importante pérdida de ingresos por cada hora de inactividad.
Según Aberdeen Research, las empresas manufactureras pueden perder hasta 260 000 dólares por hora debido a paradas imprevistas. Dado que los ataques provocan actualmente una media de 21 días de inactividad, lo que está en juego no podría ser más importante.
Para hacer frente a estos problemas, los fabricantes recurren a plataformas de análisis y a contratos de rendimiento energético para ayudar a los equipos de mantenimiento. Utilizan OPC y otros flujos de datos para supervisar los equipos críticos de cada instalación, priorizar tareas y orientar las inversiones.
Sin embargo, los equipos internos de seguridad de la tecnología operativa (OT) consideran que conectar las instalaciones de producción a Internet conlleva enormes riesgos de ciberseguridad:
- Los dispositivos OT heredados suelen carecer de funciones integradas de seguridad o de aplicación de parches.
- La exposición externa de fuentes de datos OPC puede crear vectores de ataque para los atacantes.
- Modificar los sistemas de producción resulta costoso y conlleva el riesgo de que se produzcan paradas.
Estas preocupaciones en materia de seguridad están bien fundadas y cuentan con el respaldo de las directrices federales. En marzo de 2022, la CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) recomendó el uso de diodos de comunicación unidireccionales para mejorar la segmentación de la red y proteger los sistemas de control industrial frente a ciberataques. Esta directriz se reforzó aún más en 2023, cuando tanto el NIST como el Departamento de Defensa recomendaron los diodos de datos como una opción para proteger la infraestructura de TO en las últimas versiones de las normas NIST SP 800-82r3 y UFC 4-010-06.
La instalación necesitaba una forma de extraer y compartir datos de tecnología operativa (OT) de forma segura, sin necesidad de realizar cambios disruptivos en el sistema ni añadir nuevas vulnerabilidades.
Optical Diode MetaDefender Optical Diode conversión de protocolo Enero
El fabricante se asoció con OPSWAT Enero Solutions para diseñar una arquitectura de transferencia de datos segura y de baja latencia.
La implementación de MetaDefender Optical Diode Fend) utiliza aislamiento óptico para enviar datos en una sola dirección, lo que protege físicamente los activos clave. Ofrece visibilidad del sistema al tiempo que impide que el malware, el ransomware y otros ataques vulneren la conexión de red.
En colaboración con Enero Solutions, hemos conseguido extraer flujos de datos OPC UA de sistemas heredados sin necesidad de modificar los sistemas originales. La conversión del protocolo OPC con MetaDefender Optical Diode Fend) utiliza un enfoque en varias etapas y de baja latencia para exponer de forma segura los datos OPC fuera de la red OT sin introducir posibles vectores de ataque para los atacantes.
Cómo funciona
Un cliente OPC del lado protegido utiliza suscripciones OPC UA o DA.
Los datos se serializan para el paso a través de TCP en el dispositivo periférico del lado OT, se reenvían alOptical Diode MetaDefender Optical Diode Fend) y se transmiten a un Server TCP Server lado Server la empresa, donde se deserializan mediante el dispositivo periférico del lado de TI y se extraen como puntos OPC válidos (ruta, valor, marca de tiempo). Un cliente OPC en el dispositivo periférico de la empresa (TI) escribe puntos en un servidor OPC UA a los que el cliente accede mediante una suscripción.
Resultado
Gracias a la solución integrada, la planta de fabricación logró:
- Aislamiento total entre OT e IT: la transferencia unidireccional Hardware asegura que ninguna amenaza externa pueda penetrar en la red OT.
- Visibilidad en tiempo real: transmisión Secure y continua de datos OPC UA a los sistemas informáticos, lo que permite tiempos de respuesta más rápidos, una mejor supervisión y una toma de decisiones basada en datos.
- Se mantuvo el tiempo de actividad y se preservaron las inversiones: los sistemas OT heredados no se modificaron, lo que permitió evitar costosas sustituciones o interrupciones del servicio.
- Reducción del riesgo cibernético: al eliminar los vectores de ataque vinculados a las conexiones directas o a los enfoques basados exclusivamente en software, la instalación reforzó su postura general en materia de ciberseguridad.
- Ajustamiento normativo: La implementación sigue las mejores prácticas federales en materia de ciberseguridad, cumple con las recomendaciones de la CISA sobre diodos de comunicación unidireccionales y se ajusta a las directrices del NIST SP 800-82r3 y del UFC 4-010-06 del Departamento de Defensa (DoD) para la protección de la infraestructura de tecnología operativa (OT).
Mirando hacia el futuro
Los sistemas OT heredados no tienen por qué suponer un riesgo para la seguridad. Con el enfoque adecuado, los fabricantes pueden extraer datos operativos valiosos al tiempo que mantienen un aislamiento total de la red y preservan las inversiones existentes.
Póngase en contacto con OPSWAT para descubrir cómo MetaDefender Optical Diode Fend) le permite extraer datos de forma segura de sus sistemas heredados sin renunciar a la protección integrada en el hardware.
