Eskiden askeri ve nükleer güvenlik alanında niş bir teknoloji olan veri diyotları, günümüzde endüstriyel ve kurumsal siber güvenliğin vazgeçilmez bir bileşeni haline gelmiştir. 2017 yılından bu yana siber olaylardan kaynaklanan kayıpların dört katına çıkarak yaklaşık 2 milyar dolara ulaşmasıyla birlikte, veri diyotları, düzenleyici çerçeveler içinde bir gereklilik ya da tavsiye olarak yer alsa da, bir güvenlik standardı olarak giderek daha yaygın bir şekilde benimsenmeye başlamıştır. Bu teknolojinin artan önemi, güvenlik duvarları gibi yazılım tabanlı güvenlik çözümlerinin artık güvenliği garanti edememesinden kaynaklanmaktadır.
Veri Diyotlarına Olan Artan İhtiyaç
Veri diyotları, genellikle fiber optik kullanarak donanım düzeyinde tek yönlü veri akışını sağladığından, fidye yazılımlarının ve APT’lerin (Gelişmiş Kalıcı Tehditler) çalışması için gerekli olan ters iletişim yolunu fiziksel olarak engeller. Güvenlik duvarları çoğu iş uygulaması için standart olmaya devam etse de, nükleer, enerji ve su gibi yüksek riskli kritik altyapı sektörlerine yönelik küresel düzenlemeler, OT (Operasyonel Teknoloji) ve BT (Bilgi Teknolojisi) ağları arasında fiziksel izolasyonu sağlamak için veri diyotlarının kullanımını artık açıkça tavsiye etmekte veya zorunlu kılmaktadır.
Data Diode’un güvenlik profili, güvenlik duvarlarının yeteneklerinin ötesinde üç temel güvenlik avantajı sunar:
Ağ kaynaklı tehditler, yanlış yapılandırma veya sıfırıncı gün güvenlik açıkları yoluyla atlatılabilen güvenlik duvarlarının aksine, bir diyotun donanımla sağlanan tek yönlü güvenliğini aşamazlar
Arka kanallar yoktur; bu sayede saldırganların ele geçirilen sistemlere komut göndermesi engellenir
Veri diyotlarının yönlendirilemeyen bir protokol kullanarak veri aktarmasını sağlayan protokol ihlali
Veri Diyotları ile Güvenlik Duvarları Arasındaki Temel Farklar
| Özellik | Firewall | Tek Yönlü Ağ Geçidi (Veri Diyotu) |
|---|---|---|
| Mekanizma | Software(Mantıksal) | Hardware(Fiziksel) |
| Yön | İki yönlü (Filtrelenmiş) | Sadece Tek Yön |
| Güvenlik Açığı | Yanlış yapılandırmaya ve sıfırıncı gün saldırılarına karşı savunmasız | Yazılım tabanlı uzaktan saldırılara karşı bağışıklık |
| Kullanım Örneği | Genel BT güvenliği | Yüksek güvenlikli OT/ICS koruması |
Küresel Düzenleyici Yükümlülükler ve Kılavuzlar
Veri Diyotlarının aşılmaz güvenlik profili nedeniyle, küresel düzenleyici kurumlar kritik altyapı ağlarını bölümlere ayırmak için bu cihazların kullanımını tavsiye etmekte ve bazı durumlarda zorunlu kılmaktadır.
NRC, NERC CIP (enerji), IEC 62443 (endüstriyel) ve TSA yönergeleri (demiryolu/boru hattı) gibi çeşitli standartlar, kritik altyapılar için donanım düzeyinde uygulanan tek yönlü veri akışını zorunlu kılar veya şiddetle tavsiye eder. Ancak, şu anda bunların kullanımını zorunlu kılmayan sektörlerde de diyotların kullanıldığı pek çok örnek mevcuttur; örneğin:
- Finansal hizmet kuruluşları, özellikle bankalar, artık bu sistemleri yüksek değerli işlem ağlarının güvenliğini sağlamak ve hassas verilerin bankadan dışarı çıkarken bilgisayar korsanlarına fırsat vermemek amacıyla yasal raporlama yapmak için kullanmaktadır. Ayrıca arşivlerin ve felaket kurtarma merkezlerinin güvenliğini sağlamak için de kullanılmaktadır.
- Tıp ve ilaç sektöründeki tesisler, fikri mülkiyet haklarını korumak ve hasta monitörleri ile tanısal görüntüleme sistemleri gibi klinik teknoloji ağlarını kurumsal BT ağlarından izole etmek amacıyla veri diyotları kullanmaktadır.
- Denizcilik sektöründeki kuruluşlar, makine daireleri ve dümen kontrol sistemlerinden gelen verileri izole etmek ve izlemek, ayrıca gemi-kıyı arası veri aktarımlarını korumak için veri diyotları kullanır.
Veri diyotlarının kullanımını zorunlu kılan veya tavsiye eden düzenleyici çerçeveler
Aşağıda, tek yönlü ağ geçitlerinin kullanımını zorunlu kılan veya şiddetle tavsiye eden başlıca küresel düzenlemeler ve kılavuzların bir özeti yer almaktadır.
Küresel Standartlar
IEC 62443
Bölüm 3-3 (SR 5.2), "Kaynak Kullanılabilirliği" konusuna odaklanmakta ve kötü amaçlı yazılımların yayılmasını önlemek ve veri bütünlüğünü sağlamak amacıyla yüksek güvenlikli bölgelerde (Seviye 3 ve 4) tek yönlü ağ geçitlerinin kullanılmasını önermektedir.
ISO 27019
Enerji sektörüne özgü olarak, kılavuzda güvenli ağ segmentasyonunun gerekliliği vurgulanmakta ve veri diyotları, proses kontrol sistemlerini harici ağlardan ayırmak için bir "en iyi uygulama" olarak gösterilmektedir.
Kuzey Amerika'da
NERC CIP
Elektrik şebekesi güvenliği ile ilgili NERC (Kuzey Amerika Elektrik Güvenilirliği Kurumu) düzenlemeleri, en katı düzenlemeler arasında yer almaktadır. CIP-002 ile CIP-013 standartları güvenlik duvarlarına izin verirken, tek yönlü bir ağ geçidi kullanmak, bir kamu hizmet kuruluşunu çeşitli uyum gerekliliklerinden (bazı NRC bağlamlarında 26 kuraldan 21'i gibi) "muaf tutabilir", çünkü ağ geçidi gelen elektronik erişimi fiziksel olarak engeller ve "Elektronik Güvenlik Çevresi" (ESP) riskini etkili bir şekilde azaltır.
NIST SP 800-82 (3. Revizyon)
Ulusal Standartlar ve Teknoloji Enstitüsü’nün Industrial Sistemleri güvenliği kılavuzu, tek yönlü ağ geçitlerini açıkça birincil savunma önlemi olarak listelemektedir. Kılavuz, saldırganlara herhangi bir geri dönüş yolu tanımadan, yüksek güvenlikli OT bölgesinden daha düşük güvenlikli IT bölgesine veri gönderilmesi için (örneğin sensör verilerinin bir bulut veritabanına aktarılması gibi) bu ağ geçitlerinin kullanılmasını önermektedir.
NRC RG 5.71
Bu NRC (Nükleer Düzenleme Komisyonu) çerçevesi, nükleer santrallerdeki dijital sistemler için üst düzey bir izolasyon zorunluluğu getirmektedir. Çerçeve, nükleer güvenlik sistemlerinin harici ağlardan izlenmesi için tek yönlü veri akışını tercih edilen yöntem olarak belirlemektedir.
Avrupa'da
ANSSI (Fransa) - PSSI-IV
Fransa Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), veri diyotlarının kullanımını yaygınlaştırma konusunda dünya çapında bir liderdir. ANSSI, Hayati Önem Taşıyan Operatörler (OIV) için, en kritik endüstriyel "Sınıf 3" ağları ile internet ya da daha az güvenli "Sınıf 1" ağları arasındaki her türlü bağlantıda, CSPN sertifikasına sahip onaylı veri diyotlarının kullanımını zorunlu kılmaktadır.
NIS2 Direktifi (AB çapında)
NIS2 (Ağ ve Bilgi Güvenliği) Direktifi belirli bir donanım kullanımını zorunlu kılmasa da, "kuruluşların" "en son teknolojiye sahip" risk yönetimi önlemlerini uygulamalarını şart koşmaktadır. Enerji ve su gibi sektörlerde, Almanya'daki BSI ve İspanya'daki CCN gibi ulusal düzenleyici kurumlar, NIS2'yi yazılım tabanlı güvenlik duvarlarına kıyasla donanımla uygulanan segmentasyona öncelik veren teknik gerekliliklere dönüştürmektedir.
Asya ve Orta Doğu'da
Suudi Arabistan (NCA)
Suudi Arabistan Ulusal Siber Güvenlik Kurumu, kritik sektörler için özel "Veri Diyot Standartları" yayınlayarak, bu standartların Krallığın petrol, gaz ve kamu hizmetleri varlıklarını korumak için nasıl kullanılması gerektiğini belirlemiştir.
Güney Kore (KISA)
Singapur'da olduğu gibi, Güney Kore'nin Akıllı Şebeke ve Nükleer Güvenlik kılavuzları da, genel internetten gelen yanal hareketleri önlemek amacıyla veri sızdırma işlemleri için tek yönlü ağ geçitlerinin kullanılmasını özellikle vurgulamaktadır.
Sektörün Önde Gelen Veri Diyotları ve BirleştirilmişOT Security
MetaDefender Diode™ çözümleri, BT ve OT ağları arasında donanım düzeyinde uygulanan tek yönlü veri aktarımı sağlayarak, ağ izolasyonundan ödün vermeden güvenli veri çoğaltma ve operasyonel görünürlük sunar.
OPSWAT’ınOPSWAT nasıl yardımcı olabileceğiOPSWAT bölgesel ve küresel düzenleyici çerçevelere uyumu nasıl destekleyebileceği hakkında daha fazla bilgi edinmek için bugün bir uzmanla görüşün.
