U

Start » Learning Centre » Know-how » Vad är en datadiod?

Vad är en datadiod?

En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde. Läs mer varför du behöver den och hur den kommunicerar med dubbelriktade protokoll.

En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

Hur fungerar en datadiod?

Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. En datadiod är en säkerhetsprodukt som placeras mellan två nätverk och som fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Då datadiodens säkerhetsegenskaper bygger på hårdvara och optisk fiber kan man visa att det är fysiskt omöjligt för data att transporteras i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan visa att datadioder har hög assurans.

Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod eller konfigureras felaktigt av antingen en välmenande administratör eller en angripare. Du kan alltid, under alla omständigheter, lita på att enheten alltid skickar information i endast ena riktningen, vilket också bidrar till hög assurans.

 

Datadiod

Varför behöver man en datadiod?

En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket. Lyssna på vårt webinar och lär dig vad en datadiod är och när du behöver en!

Den vanligaste enheten som används för att reglera informationsflödet är förmodligen en brandvägg. Detta är en enhet med syftet att skydda ditt nätverk genom att endast tillåta viss trafik att komma in i det. Den övervakar och filtrerar vilken trafik och datapaket som kommer in i nätverket och som blockeras baserat på en uppsättning regler. Men om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är en brandvägg inte den enda produkten i din verktygslåda för att förbättra din cybersäkerhet. Även om en brandvägg strävar efter att skydda nätverket, behövs också ett högassuranstillägg i form av en Cross Domain Solution. Cross Domain Solution (CDS) är en term som används för att beskriva konceptet att upprätthålla säkert informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov. Detta kan vara mellan databaser, servrar, applikationer eller kombinationer av dessa. CDS tar upp konceptet att kommunicera, dela eller flytta information mellan domäner och tillämpar validering, transformation eller filtrering av utbytet. En datadiod är en Cross Domain Solution.

Genom att använda en datadiod kan du säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet.

Vem behöver en datadiod?

En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom kritisk infrastruktur, ICS/SCADA och försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information har användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.

 

Regler och direktiv där en datadiod hjälper dig att efterleva kraven

Om du berörs av NIS-direktivet, DORA eller de nya EU-reglerna om cybersäkerhetsaspekter av gränsöverskridande elflöden – kan du dra nytta av att använda datadioder i din säkerhetslösning.

NIS-direktivet

Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där vart och ett är ett nätverkssegment och nämns i ett av skälen till NIS 2 (förord 89) som en nödvändig och grundläggande cyberhygienfaktor, och återigen (förord 98) för att säkra elektroniska kommunikationstjänster och nätverk. Genom att använda datadioder för din nätverkssegmentering bibehåller du både nätverkets integritet genom att förhindra intrång eller nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

Du placerar datadioden mellan två nätverk och den fungerar sedan som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan vara trygg med att rätt konstruerade datadioder uppfyller sina säkerhetskrav med hög assurans.

Läs mer i vår guide – 5 steg för nätverkssegmentering!

DORA

Även DORA refererar till nätverkssegmentering. Enligt artikel 9 i DORA ska finansiella aktörer utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer – dvs man behöver arbeta med nätverkssegmentering.

DORA refererar även till säkra uppdateringar – ett annat område där datadioder kan användas. Enligt artikel 16 i DORA ska de berörda organisationerna minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen.

Uppdaterade system är en viktig del i att kunna upprätthålla säkerheten för den digitala information som finns i systemen. Uppdateringen kan dock innebära en säkerhetsrisk och för att undvika det samt för att upprätthålla integriteten och tillgängligheten i systemen och kunna göra säkra uppdateringar, krävs speciella lösningar. Ett sätt att göra en säker uppdatering är att använda en datadiod som säkerställer enkelriktad kommunikation. Datadioden kopplas så att information kan importeras till systemet men eftersom ingen trafik kan överföras i motsatt riktning omöjliggörs informationsläckage.

Läs mer om säkra uppdateringar.

Nya EU-regler om elflöden

13 juni år började nya EU-regler om cybersäkerhetsaspekter av gränsöverskridande elflöden att gälla. Den nya förordningen ska bidra till att stärka elsystemets motståndskraft mot cyberangrepp.

För att stärka sin cyberresiliens finns det flera saker man kan göra. Två av dessa viktiga saker är:

  • Se till att all programvara är uppdaterad
  • Använd lämplig nätverkssegmentering

Datadioder kan vara din säkerhetslösning för båda dessa, som nämnts angående NIS-direktivet och DORA.

5 saker du kan använda en datadiod till

Om en datadiod är riktad ut från nätverket med hög säkerhetsnivå mot ett nätverk med lägre säkerhetsnivå kan data överföras samtidigt som nätverket förblir skyddat. Genom att överföra information via en datadiod är du garanterad att ingen annan kan använda samma anslutning i motsatt riktning för att komma åt det säkra nätverket och manipulera dess miljö.

En datadiod kan även riktas in mot det säkra nätverket. I dessa fall är det mest sannolikt att du vill samla in information av något slag från ett annat nätverk. Säkerhetsrisken som uppstår är hur du samlar in informationen och samtidigt ser till att ingen känslig data från ditt nätverk läcker ut via den här kanalen. En datadiod säkerställer nätverkets konfidentialitet genom att förhindra läckage från att ske.

Du kan använda en datadiod till mycket mer än du tror. Det finns otaliga lösningar, men här är fem användningssätt som du kanske inte visste om!

  1. Datadioder och IoT-sensornätverk
  2. Datadioder och HTTP-spegel
  3. Datadioder och trafikavlyssning
  4. Datadioder och videostreaming
  5. Datadioder och loggning

Läs mer om hur du kan använda datadioder inom dessa fem områden här.

 

Datadioder

Andra lösningar för segmentering

Dubbelriktade Security Gateways

En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. Den vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en Security Gateway definierar accepterade informationsstrukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en Security Gateway analyseras informationen i meddelandet enligt den definierade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.

Air gap

Med air gap menas en dator eller ett datornätverk utan kopplingar till omvärlden. Den fysiska säkerheten så som lås, vakter och larm hindrar obehöriga från access, samt säkerligen även logisk accesskontroll när man väl befinner sig vid datorn. Information flyttas in och ut ur miljön via bärbart media. Informationen måste kontrolleras innan den importeras så att det inte följer med skadlig kod och vid export för att man inte ska råka exportera ”fel” information och därmed riskera att röja den. Air gap är således ett relativt manuellt system att använda för att skydda känslig information och känsliga miljöer.

Styrkor med en datadiod

Det finns flera styrkor med datadioder:

  • Deras förmåga att säkerställa säkerhet i osäkra system och att skydda och bevara äldre system. Genom att använda datadioder kan äldre system skyddas utan att hela det operativa systemet måste ses över.
  • Dess hårdvaruaspekt. Det finns ingen risk för användarfel eller buggar eftersom det varken finns någon mjukvara eller konfiguration som kan innehålla buggar eller manipuleras.
  • De långsiktiga driftskostnaderna är låga. Efter initial investering av inköp och systemintegration gör besparingarna i underhålls- och administrationskostnader datadioden till en effektiv nätverkssäkerhetslösning på lång sikt.
  • Hur de minskar cybersäkerhetsrisken. Diodens strikta egenskaper gör att man helt kan utesluta vissa typer av risker om man använder en datadiod. Du vet till exempel att nätverket inte kan läcka information och kan därmed fokusera på att endast hantera risker med integritet och skadlig programvara.

Läs mer om Advenicas datadioder!

 

Use Case där datadioder kan användas

Här några olika use case där vara datadioder kan användas för att höja säkerheten:

  • importera och exportera filer mellan olika zoner
  • koppla ett integritetskänsligt OT-system till andra system
  • centraliserad logginsamling i säkerhetskänsliga system
  • överföra samhällskritisk information, tex från ett SCADA-system till ett administrativt kontorsnät
  • uppdateringar av Windows- och Linux-system

Läs mer om de olika Use Casen.

 

Fördelar med Advenicas datadioder

Det finns många fördelar med att använda datadioder – här har vi listat 14 av fördelarna med just Advenicas datadioder!

1. Möter de högsta säkerhetskraven

Advenicas datadioder uppfyller de högsta kraven för både säkerhet och assurans. Intern separation av funktioner, flerstegs enkelriktad säkerhet och djupgående säkerhetsanalys säkerställer tillit och hög assurans. Extra fokus har även lagts på att eliminera risken för dolda kanaler i motsatt riktning. Advenicas datadioder DD1000A och DD1000i är även godkända av Försvarsmakten på komponentassuransnivå N3 enligt svenska nationella säkerhetskrav. Komponentassuranssnivå N3 kan användas i system med hög konsekvensnivå (t.ex. hantering av hemlig information upp till SECRET/TOP SECRET).

Läs mer om säkerhetsklassade datadioder!

2. Olika datadioder för olika syften

Advenicas portfölj består av datadioder av olika typer, allt från små DIN-monterade enheter till 19” rackmonterade enheter. Du kan välja mellan att ha proxydatorer integrerade i diodchassit eller köpa en enklare datadiodenhet och installera proxymjukvaran i externa datorer.

Vilken av Advenicas datadioder passar just era behov? Gör vårt test!

3. Made in Sweden

Advenicas datadioder är designade, utvecklade och tillverkade i Sverige. Genom att kontrollera varje steg från design till eftermarknad kan vi säkerställa förtroende för våra säkerhetsfunktioner. Detta gör det möjligt för oss att utveckla högsäkerhetsprodukter för kritisk data upp till TOP SECRET-klassificering.

4. Möjlighet till kundanpassningar

Tillfredsställer inte listan över protokoll som stöds dina behov? Berätta för oss om ditt användningsfall och låt vårt Customer Solutions-team utveckla specifika funktioner baserat på dina behov. Allt från funktionstillväxt i själva plattformen till stöd för ytterligare protokoll är möjligt.

5. Lätta att administrera

Datadioder är enkla att installera och konfigurera och ett enkelt standardanvändningsfall kan installeras på ett par timmar. Övervakning görs med standardmetoder som SNMP och Syslog som möjliggör integration med alla allmänt använda nätverksövervakningsverktyg. Konfigurationsändringar tillämpas med ett lättanvänt webbapplikationsgränssnitt.

Läs mer om vad fördelarna med en enkel administration kan vara – särskilt i samband med regleringar som NIS 2.

6. Defence-in-depth

Advenicas datadiod DD1000i är designad enligt principen om djupförsvar där proxies och diod fungerar som olika lager av säkerhetskontroller. Proxies blockerar all kommunikation som inte uttryckligen tillåts och diodmodulen blockerar, med mycket hög säkerhet, all informationsöverföring i den förbjudna omvända riktningen.

7. Ingen död kod

Vår DD1000i innehåller ingen död kod. Konfigurera och ladda upp en anpassad konfiguration till enheten baserat på det specifika protokollstöd du behöver. Det finns inget sätt att aktivera eller ändra de protokoll som stöds utan att ladda upp en ny konfiguration till enheten. Härdat OS – endast de nödvändiga paketen för att stödja normal drift ingår i den fasta programvaran som körs på enheten.

8. Unik certifiering – N3

Advenicas datadioder har en unik certifiering för N3 i Sverige – Advenica är de enda med denna certifieringsnivå i Sverige. N3 är en certifiering utfärdad av Försvarsmakten. Advenicas datadioder DD1000A och DD1000i är godkända av Försvarsmakten på komponentassuranssnivå N3, vilket t.ex. hanterar data upp till och med nivå KVALIFICERAT HEMLIGT/TOP SECRET enligt Försvarsmaktens Krav på säkerhetsfunktioner (KSF), men där komponentnivån för exponering är något begränsad.

Läs mer om våra certifieringar.

9. Minimera risken för förlorad data

Datadiod DD1000i har specialanpassad mjukvara för att minimera risken för förlorad data mellan sändande och mottagande proxy.

10. Separation av tjänster

Separation av tjänster stöds genom olika gränssnitt för dataöverföring och admin/loggdata. 

11. Högre assurans

Datadioder erbjuder en extremt hög säkerhetsnivå. Man kan faktiskt säga att en datadiod motsvarar ett air gap i motsatt riktning. Vi har visat för en extern utvärderare att det för närvarande inte finns några kända fysiska fenomen som kan användas för att överföra information i motsatt riktning.

Läs mer om hur datadioder kan ses som ett effektivt alternativ till air gaps!

12. Redundant strömförsörjning

För att säkerställa hög tillgänglighet stöder datadiod DD1G redundant strömförsörjning. I våra andra datadioder finns det av säkerhetsskäl ingen elektrisk koppling mellan de två sidorna, vilket försvårar redundant strömförsörjning.

13. Full galvanisk separation

Datadioder DD1000A och DD1000i: Särskild uppmärksamhet har ägnats åt att eliminera risken för dolda kanaler i motsatt riktning, vilket resulterat i funktioner så som en PSU för varje sida av datadioden och RFI/EMI-reducerande interna kapslingar för att minimera kompromitterande strålning.

14. Produkter som lever länge

Datadioderna DD1000A och DD1G är konstruerade med komponenter som har mycket lång livslängd och saknar mekaniskt rörliga delar såsom fläktar eller processorer. När du väl har installerat dessa datadioder behöver du inte göra några uppdateringar. MTBF för dessa produkter är 91 000 timmar, dvs drygt 10 år.

Läs mer i vår blogg om detta ämne.

Ladda ner vår PDF som listar dessa 14 fördelar!

 

New call-to-action

 

Säkerhetsklassade datadioder

En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom kritisk infrastruktur, branscher som använder ICS/SCADA-system, samt försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information har användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.

Advenica har datadioder som är godkända för komponentassurans N3 – det finns inga andra datadioder som har lika hög eller högre säkerhetsnivå. För den som har krav på komponentassurans på säkerhetsskyddsklass nivå N3 eller lägre är detta en kraftfull lösning för ett effektivt, riskfritt och försäkrat enkelriktat dataflöde mellan säkerhetsdomäner.

Även för den som inte har de kraven är detta en kostnadseffektiv och säker lösning för skydda känslig information. Aktörer inom kritisk infrastruktur bär ett stort ansvar i sina verksamheter då de bidrar till att vårt samhälle fungerar som det ska. Dessa organisationer har ofta känsliga OT-system som driver exempelvis energiförsörjning eller distribution av dricksvatten. För att dessa känsliga system ska kunna hålla en hög säkerhet och inte påverkas av eventuella intrång i organisationernas IT-system behöver de ett högt skydd för att kritisk samhällsverksamhet inte ska påverkas. En datadiod kan då med säkerhet se till att inget skadligt kan ta sig från verksamhetens IT-system till de känsliga OT-systemen.

Läs mer om säkerhetsklassade datadioder!

Så motiverar du en datadiod i din budget

Att investera i en datadiod är att investera i en högsäkerhetslösning – det går inte att jämföra med vanliga åtgärder för IT-säkerhet. Om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är ”vanlig” IT-säkerhet inte den enda lösning du bör välja.
Ibland kan man behöva motivera varför man behöver göra en viss investering. För att göra det så enkelt som möjligt för dig har vi listat ett antal argument du kan använda för att motivera att du vill investera i en datadiod!

  • Alternativkostnaden kan bli hög
  • Visa räkneexempel på vad investeringen kan bespara er
  • En datadiod innebär lägre OPEX-kostnader

Läs mer om dessa argument!

 

Myndigheter och organisationer som rekommenderar datadioder

Datadioden är ett enkelt felsäkert sätt att skicka känslig information med envägskommunikation. Många ser fördelarna med en sådan lösning och så även svenska myndigheter och organisationer med kunskap inom cybersäkerhet. Läs några av rekommendationerna:

Svenskt Vatten
”Datadioder och dataslussar kan vara enklare att konfigurera och underhålla, vilket brukar leda till bättre säkerhet.”
Digitalisering av den svenska VA-branschen (2021)

Statens Energimyndighet
Det rekommenderade tillvägagångssättet för att överföra information från ett OT-nät till ett IT-nät är envägskommunikation med hjälp av så kallade datadioder.
Vägledning till Statens energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (2022)

Livsmedelsverket
Säkerställ att all kommunikation med andra nätverk och informationssystem regleras via en brandvägg, datadiod, proxy eller motsvarande nätverkskomponent.
Vägledning till livsmedelsverkets föreskrifter (2023)

MSB
För vissa typer av it-miljöer kan det vara bra att använda datadioder och dataslussar.
Ökad säkerhet i industriella informations- och styrsystem (2021)

SÄPO
Envägskommunikation realiseras med stöd av en hårdvarukomponent, så kallad datadiod, som enbart tillåter kommunikation i en riktning och därmed gör det omöjligt att information överförs i motsatt riktning.
Vägledning informationssäkerhet (2020)

Läs mer om rekommendationerna.

Vill du investera i din cybersäkerhet? Kontakta oss idag!

 

New call-to-action


Front WN case
 
 

Ladda ned case

Relaterade artiklar