أصبحت «ثنائيات البيانات»، التي كانت في السابق تقنية متخصصة في المجالين العسكري والأمن النووي، مكونًا أساسيًا في مجال الأمن السيبراني الصناعي والمؤسسي. ومع تضاعف خسائر الحوادث السيبرانية أربع مرات منذ عام 2017 لتصل إلى ما يقرب من ملياري دولار، تزايد اعتماد «ثنائيات البيانات» كمعيار أمني، سواء تم تضمينها كشرط أو توصية ضمن الأطر التنظيمية. وتعود أهميتها المتزايدة إلى حقيقة أن حلول الأمن القائمة على البرمجيات، مثل جدران الحماية، لم تعد قادرة على ضمان الأمن.
الحاجة المتزايدة إلى صمامات البيانات
نظرًا لأن صمامات البيانات تفرض حركة مرور أحادية الاتجاه على مستوى الأجهزة، وغالبًا ما تستخدم الألياف الضوئية، فإنها تعيق فعليًّا مسار الاتصال العكسي الذي تحتاجهتهديدات مستمرة متقدمة تهديدات مستمرة متقدمةتهديدات مستمرة متقدمة تهديدات مستمرة متقدمة) لتعمل. وفي حين تظل جدران الحماية هي المعيار السائد لمعظم التطبيقات التجارية، فإن اللوائح العالمية الخاصة بقطاعات البنية التحتية الحيوية عالية المخاطر، مثل القطاعات النووية والطاقة والمياه، توصي الآن صراحةً باستخدام صمامات البيانات أو تفرضه لضمان العزل المادي بين شبكات التكنولوجيا التشغيلية (OT) وشبكات تكنولوجيا المعلومات (IT).
يقدم ملف تعريف الأمان الخاص بـ Data Diode ثلاث مزايا أمنية رئيسية تتجاوز قدرات جدران الحماية:
لا يمكن للتهديدات التي تنتقل عبر الشبكة تجاوز نظام الأمان أحادي الاتجاه الذي يفرضه الصمام الثنائي على مستوى الأجهزة، على عكس جدران الحماية التي يمكن تجاوزها عن طريق الأخطاء في التكوين أو الثغرات الأمنية من نوع «يوم الصفر»
لا توجد قنوات خلفية، مما يمنع المهاجمين من إرسال أوامر إلى الأنظمة المخترقة
خرق بروتوكولي يُتيح لثنائيات البيانات نقل البيانات باستخدام بروتوكول غير قابل للتوجيه
الاختلافات الرئيسية بين صمامات البيانات وجدران الحماية
| الميزة | Firewall | بوابة أحادية الاتجاه (ديود البيانات) |
|---|---|---|
| الآلية | Software(منطقي) | Hardware(مادي) |
| الاتجاه | ثنائي الاتجاه (مُصفى) | في اتجاه واحد فقط |
| الضعف | عرضة لخطأ في التكوين واستغلال الثغرات الأمنية من نوع "صفر يوم" | محصن ضد الهجمات عن بُعد التي تعتمد على البرامج |
| حالة الاستخدام | أمن تكنولوجيا المعلومات بشكل عام | حماية أنظمة التشغيل/أنظمة التحكم الصناعية (OT/ICS) عالية الأمان |
المتطلبات والمبادئ التوجيهية التنظيمية العالمية
نظراً للخصائص الأمنية التي لا يمكن تجاوزها التي تتميز بها "ديودات البيانات"، توصي الهيئات التنظيمية العالمية باستخدامها، بل وتفرض ذلك في بعض الحالات، من أجل تقسيم شبكات البنية التحتية الحيوية.
تفرض العديد من المعايير، مثل NRC وNERC CIP (الطاقة) وIEC 62443 (الصناعة) وتوجيهات TSA (السكك الحديدية/خطوط الأنابيب)، أو توصي بشدة بتطبيق تدفق أحادي الاتجاه يتم فرضه على مستوى الأجهزة في البنى التحتية الحيوية. لكن هناك أمثلة عديدة على استخدام الثنائيات في صناعات لا تفرض حاليًا استخدامها، مثل:
- تستخدم الخدمات ، ولا سيما البنوك، هذه الخدمات حاليًا لتأمين شبكات المعاملات عالية القيمة ولأغراض الإبلاغ التنظيمي، وذلك لضمان خروج البيانات الحساسة من البنك دون إتاحة أي ثغرة للمتسللين. كما تُستخدم أيضًا لتأمين الأرشيفات ومراكز استعادة البيانات في حالات الكوارث.
- تستخدم المنشآت الطبية والصيدلانية أجهزة "داتا ديودز" لحماية الملكية الفكرية ولعزل شبكات التكنولوجيا السريرية، مثل أجهزة مراقبة المرضى والتصوير التشخيصي، عن شبكات تكنولوجيا المعلومات الخاصة بالمؤسسة.
- تستخدم مؤسسات القطاع البحري صمامات البيانات لعزل ومراقبة البيانات الواردة من غرف المحركات وأنظمة التحكم في التوجيه، ولحماية عمليات نقل البيانات بين السفن والبر.
الأطر التنظيمية التي تفرض أو توصي باستخدام "ديودات البيانات"
فيما يلي ملخص لأهم اللوائح والمبادئ التوجيهية العالمية التي تنص على استخدام البوابات أحادية الاتجاه أو توصي بها بشدة.
المعايير العالمية
IEC 62443
يركز الجزء 3-3 (SR 5.2) على "توافر الموارد" ويوصي باستخدام بوابات أحادية الاتجاه في المناطق ذات الحماية العالية (المستويان 3 و4) لمنع انتشار البرامج الضارة وضمان سلامة البيانات.
ISO 27019
وفيما يتعلق بقطاع الطاقة على وجه التحديد، تشير إرشاداتها إلى ضرورة تجزئة الشبكة بشكل آمن، وتذكر "موصلات البيانات" باعتبارها "أفضل الممارسات" لفصل أنظمة التحكم في العمليات عن الشبكات الخارجية.
في أمريكا الشمالية
NERC CIP
تعد لوائح NERC (مؤسسة موثوقية الكهرباء في أمريكا الشمالية) الخاصة بحماية شبكة الكهرباء من بين أكثر اللوائح صرامة. في حين أن المعايير من CIP-002 إلى CIP-013 تسمح باستخدام جدران الحماية، فإن استخدام بوابة أحادية الاتجاه يمكن أن "يعفي" مرفقًا من العديد من متطلبات الامتثال (مثل 21 قاعدة من أصل 26 في بعض سياقات NRC) لأن البوابة تمنع فعليًا الوصول الإلكتروني الوارد، مما يقلل بشكل فعال من مخاطر "نطاق الأمان الإلكتروني" (ESP).
NIST SP 800-82 (النسخة الثالثة)
يُدرج دليل المعهد الوطني للمعايير والتكنولوجيا (NIST) الخاص بأمن أنظمة Industrial البوابات أحادية الاتجاه صراحةً كإجراء دفاعي أساسي. ويوصي الدليل باستخدامها لإرسال البيانات من منطقة OT ذات مستوى أمان عالٍ إلى منطقة IT ذات مستوى أمان أقل، مثل إرسال بيانات أجهزة الاستشعار إلى قاعدة بيانات سحابية، دون السماح بأي مسار عودة للمهاجم.
NRC RG 5.71
يفرض إطار عمل لجنة التنظيم النووي (NRC) هذا عزلًا عالي المستوى للأنظمة الرقمية في محطات الطاقة النووية. ويحدد هذا الإطار تدفق البيانات أحادي الاتجاه باعتباره الطريقة المفضلة لمراقبة أنظمة السلامة النووية من الشبكات الخارجية.
في أوروبا
الوكالة الوطنية للأمن المعلوماتي (فرنسا) - PSSI-IV
تُعد الوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI) رائدة عالمية في مجال فرض استخدام "ديودات البيانات". وبالنسبة لمشغلي الأنظمة ذات الأهمية الحيوية (OIVs)، غالبًا ما تفرض الوكالة استخدام "ديودات بيانات " معتمدة، حاصلة على شهادة CSPN، لأي اتصال بين الشبكات الصناعية "من الفئة 3" الأكثر حساسية والإنترنت، أو الشبكات "من الفئة 1" الأقل أمانًا.
توجيه NIS2 (على مستوى الاتحاد الأوروبي)
ورغم أن توجيه NIS2 (أمن الشبكات والمعلومات) لا يفرض استخدام أجهزة معينة، فإنه يقتضي من «الكيانات» تطبيق تدابير «متطورة» لإدارة المخاطر. وفي قطاعات مثل الطاقة والمياه، تقوم الهيئات التنظيمية الوطنية، مثل BSI في ألمانيا وCCN في إسبانيا، بترجمة توجيه NIS2 إلى متطلبات تقنية تُعطي الأولوية للتجزئة التي تُنفذ عبر الأجهزة على حساب جدران الحماية القائمة على البرمجيات.
في آسيا والشرق الأوسط
المملكة العربية السعودية (NCA)
أصدرت الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية "معايير الصمامات البياناتية" المحددة للقطاعات الحيوية، والتي تحدد كيفية استخدامها لحماية أصول المملكة في مجالات النفط والغاز والمرافق العامة.
كوريا الجنوبية (KISA)
وعلى غرار سنغافورة، تشدد المبادئ التوجيهية الخاصة بكوريا الجنوبية بشأن الشبكات الذكية والأمن النووي بشدة على استخدام بوابات أحادية الاتجاه لنقل البيانات إلى الخارج، وذلك لمنع الانتقال الأفقي من شبكة الإنترنت العامة.
أفضل ثنائيات البيانات في القطاعحلولOT Security الموحدة
حلول حلول MetaDefender نقلًا أحادي الاتجاه للبياناتحلول بين شبكات تكنولوجيا المعلومات (IT) وتكنولوجيا العمليات (OT)، مما يدعم النسخ الآمن للبيانات والرؤية التشغيلية دون المساس بعزل الشبكة.
لمعرفة المزيد عن الكيفية التي يمكن أن تساعد بها OPSWAT في الحد منOPSWAT ودعم الامتثال للأطر التنظيمية الإقليمية والعالمية، تواصل مع أحد الخبراء اليوم.
