In onze digitale samenleving, waarin alles met alles verbonden is, zijn functionele veiligheid en IT-beveiliging zeer belangrijk. De datadiode van Siemens zorgt ervoor dat data slechts in één richting kunnen stromen en vormt daarmee een goede oplossing voor het fysiek afschermen van een netwerk. Hij heeft geen eigen IP-adres, kan niet gedetecteerd worden, en borgt een veilige verbinding met het Internet of Things.

Het Internet of Things (IoT) groeit gestaag. Wegen, spoorwegen, gebouwen, machines, producten en processen zijn uitgerust met sensoren en wisselen data uit. Dit opent nieuwe perspectieven voor producenten, operators en eindgebruikers. Zo kunnen industrieprocessen inmiddels op afstand worden gemonitord en gecontroleerd.

Firewalls en air gaps

Deze ontwikkeling vergt een betrouwbare afscherming van mensen, data en systemen. Voor een veilige verbinding tussen intelligente apparaten en cloud-oplossingen zijn beveiligde interfaces en communicatiekanalen nodig gedurende de hele life cycle van een product of systeem: van het ontwerp tot de productie en het gebruik. Netwerken zijn vaak beveiligd met firewalls of zogenoemde ‘air gaps’, waarbij het netwerk niet aan de buitenwereld is aangesloten en informatie alleen op het netwerk kan worden gezet of er vanaf worden gehaald via een fysiek opslagmedium zoals een usb-stick. Zowel firewalls als air gaps hebben zwakke punten. Een air gap laat het niet toe om live data te versturen naar ontvangers buiten het netwerk. Dit beperkt de mogelijkheden voor monitoring, analyse en predictief onderhoud. Firewalls zijn gevoelig voor configuratiefouten en hebben een IP-adres, waardoor ze gehackt kunnen worden.

Eenrichtingsverkeer

Deskundigen raden daarom een datadiode aan als bijkomende bescherming voor zeer kwetsbare onderdelen van netwerken. Een datadiode laat informatie slechts in één (vooraf gedefinieerde) richting stromen. Siemens Mobility is een grote speler in hightech-mobiliteitsoplossingen en dus ook in de beveiliging hiervan. “Wij nemen onze verantwoordelijkheid”, zegt Michael Peter, CEO Siemens Mobility. “Daarom investeren wij fors in R&D.” Een recente innovatie is de compacte, eenvoudig te installeren en zeer effectieve datadiode. Hij maakt netwerkverkeer naar buiten of naar binnen fysiek onmogelijk en borgt een veilige verbinding tussen een gesloten netwerk en een opslagmedium, een server of het IoT.

Hoogste veiligheid

Als onderdeel van de MindConnect Rail en Road hard- en software van Siemens zorgt de datadiode voor een optimale beveiliging van alle dataverkeer. Via MindSphere, het IoT-systeem van Siemens, kunnen klanten operationele spoordata koppelen met onder meer historische data, weersvoorspellingen of informatie over grote evenementen in steden. Dit draagt bij aan vlot treinverkeer en aangenaam reizen. MindConnect Rail is onlangs gelanceerd en biedt connectiviteit in een omgeving waarin het hoogste Safety Integrity Level (SIL4) van toepassing is.

Fysieke scheiding

De datadiode, Data Capture Unit (DCU) genaamd, zorgt voor optimale systeembeveiliging, flexibiliteit en gecontroleerde toegang tot netwerken van buitenaf. Hij laat live data-overdacht slechts in één richting toe: bijvoorbeeld van de hardware naar de cloud. Hij is met een kabel verbonden aan het systeem van de klant en kan de volledige data-overdacht tussen twee systemen ‘lezen’. Bijvoorbeeld data-uitwisseling tussen een traffic management systeem en een interlock systeem, onafhankelijk van het toegepaste transmissieprotocol. Vervolgens zet hij data op een opslagmedium voor monitoring- en analysedoeleinden, of hij maakt data toegankelijk voor gebruikers van buiten het veiligheidskritieke netwerk. Hij garandeert een betrouwbare fysieke scheiding en voorkomt daarmee interactie tussen het kritieke en het open netwerk.

Niet detecteerbaar

Het open en gesloten netwerk zijn niet verbonden door een kabel, waardoor via de DCU geen informatie kan worden verstuurd naar kritieke netwerkdelen. De DCU beïnvloedt noch de functionaliteit noch de communicatie van het kritieke netwerk, zelfs niet als hij uitvalt. Michael Peter: “Bij de ontwikkeling was onze absolute prioriteit zowel mensen als technologie te beveiligen.” De datadiode heeft geen eigen IP-adres en functioneert in het systeem van een klant als een EthernetTAP, die niet kan worden gedetecteerd door derden. Hij maakt snelle, transparante en eenvoudige data-overdacht mogelijk t.b.v. monitoring en analyse. Hij heeft een robuust design, een goede prijs-kwaliteitverhouding en is bestand tegen schokken, vibraties, temperatuurschommelingen en elektromagnetische interferenties. Dit maakt hem onder meer geschikt voor de energiesector, de nucleaire industrie, fabrieksomgevingen en treinen.

Toepassingen

Een Intrusion Detection System (IDS) is beveiligingstechnologie die ongeautoriseerde pogingen om toegang te krijgen tot een netwerk detecteert. Bijvoorbeeld wanneer malware misbruik maakt van gaps in het systeem. De netwerkverbinding via de DCU staat het IDS toe om verbonden netwerken gecontroleerd te scannen en abnormale of kwaadaardige activiteiten te ontdekken.

Ten behoeve van remote diagnose en monitoring moeten bedrijven waardevolle data verzamelen van diverse veiligheidsrelevante controlesystemen in fabrieken, treinen en spoorsignalisatiesystemen. De DCU ondersteunt File Transfer, OPC UA en andere gebruikelijke protocollen. Daarnaast kunnen klanten van Siemens hun eigen protocollen implementeren. De DCU maakt een betrouwbare verbinding mogelijk met veiligheidskritieke netwerken zonder nieuwe aanvalspunten voor cybercriminelen te creëren.

Paradigmaverschuiving

Voor Siemens is de DCU een paradigmaverschuiving. Hij vervangt technologische principes waaraan al 150 jaar wordt vastgehouden, zoals de scheiding van veiligheidsrelevante systemen. Vanaf 2018 zullen alle interlockinstallaties van Siemens voorbereid zijn om veilig en gecontroleerd verbinding te maken met het IoT.