Secure les mouvements de données critiques à grande échelle
Les fabricants sont confrontés à un défi permanent en matière de contrôle des coûts d'énergie et de maintenance. Les équipements de leurs usines peuvent consommer des millions de dollars d'énergie et d'eau par an, et même des problèmes de performance mineurs peuvent entraîner une augmentation rapide des coûts.
Les pannes d'équipement inattendues constituent une autre préoccupation majeure. L'absence de maintenance prédictive peut entraîner un arrêt de la production, ce qui se traduit par une perte de revenus importante pour chaque heure d'immobilisation.
Selon Aberdeen Research, les fabricants peuvent perdre jusqu'à 260 000 dollars par heure en raison de temps d'arrêt non planifiés. Les attaques provoquant aujourd'hui 21 jours d'arrêt en moyenne, l'enjeu ne pourrait être plus important.
Pour lutter contre ces problèmes, les fabricants utilisent des plateformes d'analyse et des contrats de performance en matière d'économies d'énergie pour aider les équipes de maintenance. Ils utilisent l'OPC et d'autres flux de données pour rester au fait des équipements critiques de chaque installation, hiérarchiser les tâches et orienter les investissements.
Cependant, les équipes internes de sécurité OT (Operational Technology) voient d'énormes risques de cybersécurité dans la connexion de l'usine à l'internet :
- Les anciens dispositifs OT manquent souvent de sécurité intégrée ou de capacités de correction.
- L'exposition externe des flux de données OPC peut créer des vecteurs d'attaque pour les adversaires.
- La modification des systèmes de production est coûteuse et risque d'entraîner des temps d'arrêt.
Ces préoccupations en matière de sécurité sont bien fondées et soutenues par des directives fédérales. En mars 2022, la CISA (Cybersecurity & Infrastructure Security Agency) a recommandé l'utilisation de diodes de communication unidirectionnelles pour améliorer la segmentation du réseau et protéger les systèmes de contrôle industriels contre les cyberattaques. Ces orientations ont été renforcées en 2023, lorsque le NIST et le ministère de la Défense ont recommandé les diodes de données comme option pour sécuriser l'infrastructure OT dans les derniers NIST SP 800-82r3 et UFC 4-010-06.
L'établissement avait besoin d'un moyen d'extraire et de partager les données OT en toute sécurité, sans nécessiter de modifications perturbatrices du système ni ajouter de nouvelles vulnérabilités.
Optical Diode MetaDefender avec conversion de protocole Enero
Le fabricant s'est associé à OPSWAT et Enero Solutions pour concevoir une architecture de transfert de données sécurisée et à faible latence.
Le déploiement de MetaDefender Optical Diode (Fend) utilise l'isolation optique pour envoyer des données dans une seule direction, protégeant ainsi physiquement les actifs clés. Il assure la visibilité du système tout en empêchant les logiciels malveillants, les ransomwares et autres attaques de pénétrer dans la connexion réseau.
En travaillant avec Enero Solutions, nous avons apporté des flux de données OPC UA à partir de systèmes existants sans avoir à modifier les systèmes d'origine. La conversion du protocole OPC avec MetaDefender Optical Diode (Fend) utilise une approche en plusieurs étapes et à faible latence pour exposer en toute sécurité les données OPC en dehors du réseau OT sans introduire de vecteurs d'attaque potentiels pour les mauvais acteurs.
Comment cela fonctionne-t-il ?
Un client OPC du côté protégé consomme des abonnements OPC UA ou DA.
Les données sont sérialisées pour le passage TCP au niveau du dispositif Edge côté OT, transmises à laOptical Diode MetaDefender (Fend) et transmises à un Server TCP côté entreprise, désérialisées avec le dispositif Edge côté IT et extraites en tant que points OPC viables (chemin d'accès, valeur, horodatage). Un client OPC sur l'appareil Edge de l'entreprise (IT) écrit des points sur un serveur OPC UA auquel le client a accès par le biais d'un abonnement.
Résultats
Grâce à la solution intégrée, l'usine de fabrication a atteint ses objectifs :
- Isolement complet OT/IT : Le transfert unidirectionnel Hardware garantit qu'aucune menace externe ne peut pénétrer dans le réseau OT.
- Visibilité en temps réel : Livraison Secure et continue des données OPC UA aux systèmes informatiques, ce qui permet d'accélérer les temps de réponse, d'améliorer la surveillance et de prendre des décisions fondées sur les données.
- Préservation du temps de fonctionnement et des investissements : Les systèmes OT existants n'ont pas été touchés, ce qui a permis d'éviter des remplacements coûteux ou des temps d'arrêt perturbateurs.
- Réduction du risque cybernétique : en supprimant les vecteurs d'attaque liés aux connexions directes ou aux approches exclusivement logicielles, l'établissement a renforcé sa position globale en matière de cybersécurité.
- Alignement réglementaire : La mise en œuvre suit les meilleures pratiques fédérales en matière de cybersécurité, en respectant les recommandations de la CISA concernant les diodes de communication unidirectionnelle et en s'alignant sur les directives NIST SP 800-82r3 et DoD UFC 4-010-06 relatives à la sécurisation de l'infrastructure OT.
Regarder vers l'avenir
Les anciens systèmes OT ne doivent pas nécessairement être des obstacles à la sécurité. Avec la bonne approche, les fabricants peuvent extraire des données opérationnelles précieuses tout en maintenant une isolation complète du réseau et en préservant les investissements existants.
Contactez OPSWAT dès aujourd'hui pour savoir comment MetaDefender Optical Diode (Fend) peut permettre une extraction sécurisée des données de vos systèmes existants tout en maintenant une protection renforcée par le matériel.
