Learning Centre / Artiklar / Vad är en datadiod?
Artiklar

Vad är en datadiod?

min läsning

En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

Introduktion till en datadiod

Det är allmänt känt att organisationer har fysiska tillgångar som behöver skyddas. På samma sätt måste värdefull eller till och med klassificerad information som lagras i känsliga nätverk också skyddas. Ett sätt att uppnå detta är att isolera nätverken, så att de blir otillgängliga för alla externa nätverk.

Samtidigt finns det situationer där man behöver överföra information mellan dessa nätverk, trots deras känsliga natur. Hur kan du som operatör inom kritisk infrastruktur skicka information utan att riskera nätverkets integritet? Och hur kan du som verksam inom försvarsindustrin samla in känslig information samtidigt som nätverkets konfidentialitet upprätthålls? I båda fallen krävs en högsäkerhetslösning,
till exempel en datadiod.

Frågor vi tar upp i den här artikeln

Hur fungerar en datadiod?

Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. En datadiod är en säkerhetsprodukt som placeras mellan två nätverk och som fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Då datadiodens säkerhetsegenskaper bygger på hårdvara och optisk fiber kan man visa att det är fysiskt omöjligt för data att transporteras i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan visa att datadioder har hög assurans.

Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod eller konfigureras felaktigt av antingen en välmenande administratör eller en angripare. Du kan alltid, under alla omständigheter, lita på att enheten alltid skickar information i endast ena riktningen, vilket också bidrar till hög assurans.

Data-diode-function.jpg


Varför behöver man en datadiod?

En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket.

Den vanligaste enheten som används för att reglera informationsflödet är förmodligen en brandvägg. Detta är en enhet med syftet att skydda ditt nätverk genom att endast tillåta viss trafik att komma in i det. Den övervakar och filtrerar vilken trafik och datapaket som kommer in i nätverket och som blockeras baserat på en uppsättning regler. Men om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är en brandvägg inte den enda produkten i din verktygslåda för att förbättra din cybersäkerhet. Även om en brandvägg strävar efter att skydda nätverket, behövs också ett högassuranstillägg i form av en Cross Domain Solution.

Cross Domain Solution (CDS) är en term som används för att beskriva konceptet att upprätthålla säkert informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov. Detta kan vara mellan databaser, servrar, applikationer eller kombinationer av dessa. CDS tar upp konceptet att kommunicera, dela eller flytta information mellan domäner och tillämpar validering, transformation eller filtrering av utbytet. En datadiod är en Cross Domain Solution.

Genom att använda en datadiod kan man säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet.
- Cybersäkerhetsingenjör

Vem behöver en datadiod?

En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom infrastruktur, industri, myndighet och försvaret. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information har användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett
säkert sätt.

För vilka regler och direktiv kan en datadiod hjälpa oss att efterleva kraven?

  • NIS-direktivet

    Nätverkssegmentering innebär att dela upp ett datanätverk i delnätverk, där vart och ett är ett nätverkssegment och nämns i ett av skälen till NIS 2 (förord 89) som en nödvändig och grundläggande cyberhygienfaktor, och återigen (förord 98) för att säkra elektroniska kommunikationstjänster och nätverk. Genom att använda datadioder för din nätverkssegmentering bibehåller du både nätverkets integritet genom att förhindra intrång eller nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

  • DORA

    Även DORA refererar till nätverkssegmentering. Enligt artikel 9 i DORA ska finansiella aktörer utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer – d.v.s man behöver arbeta med nätverkssegmentering.


    DORA refererar även till säkra uppdateringar – ett annat område där datadioder kan användas. Enligt artikel 16 i DORA ska de berörda organisationerna minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen.

  • Nya EU-regler om elflöden

    13 juni år 2023 började nya EU-regler om cybersäkerhetsaspekter av gränsöverskridande elflöden att gälla. Den nya förordningen ska bidra till att stärka elsystemets motståndskraft mot cyberangrepp.

    För att stärka sin cyberresiliens finns det flera saker man kan göra:

  1. Se till att all programvara är uppdaterad

  2. Använd lämplig nätverkssegmentering

Vad kan man använda en datadiod till?


Om en datadiod är riktad ut från nätverket med hög säkerhetsnivå mot ett nätverk med lägre säkerhetsnivå kan data överföras samtidigt som nätverket förblir skyddat. Genom att överföra information via en datadiod är du garanterad att ingen annan kan använda samma anslutning i motsatt riktning för att komma åt det säkra nätverket och manipulera dess miljö.

En datadiod kan även riktas in mot det säkra nätverket. I dessa fall är det mest sannolikt att du vill samla in information av något slag från ett annat nätverk. Säkerhetsrisken som uppstår är hur du samlar in informationen och samtidigt ser till att ingen känslig data från ditt nätverk läcker ut via den här kanalen. En datadiod säkerställer nätverkets konfidentialitet genom att förhindra läckage från att ske.

Här är några exempel på vad du kan använda en datadiod till:

  1. Datadioder och IoT-sensornätverk

  2. Datadioder och HTTP-spegel

  3. Datadioder och trafikavlyssning

  4. Datadioder och videostreaming

  5. Datadioder och loggning

Vill du hitta en lösning som passar er verksamhet?
Vi finns här för att hjälpa er.

Kontakta oss

Andra lösningar för nätverkssegmentering

Dubbelriktade Security Gateways

En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. Den vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en Security Gateway definierar accepterade informationsstrukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en Security Gateway analyseras informationen i meddelandet enligt den definierade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.

Air gap

Med air gap menas en dator eller ett datornätverk utan kopplingar till omvärlden. Den fysiska säkerheten så som lås, vakter och larm hindrar obehöriga från access, samt säkerligen även logisk accesskontroll när man väl befinner sig vid datorn. Information flyttas in och ut ur miljön via bärbart media. Informationen måste kontrolleras innan den importeras så att det inte följer med skadlig kod och vid export för att man inte ska råka exportera ”fel” information och därmed riskera att röja den. Air gap är således ett relativt manuellt system att använda för att skydda känslig information och känsliga miljöer.

Styrkor med en datadiod

  • Skydd: Deras förmåga att säkerställa säkerhet i osäkra system och att skydda och bevara äldre system. Genom att använda datadioder kan äldre system skyddas utan att hela det operativa systemet måste ses över.

  • Hårdvaruaspekt: Det finns ingen risk för användarfel eller buggar eftersom det varken finns någon mjukvara eller konfiguration som kan innehålla buggar eller manipuleras.

  • Låga driftkostnad: De långsiktiga driftskostnaderna är låga. Efter initial investering av inköp och systemintegration gör besparingarna i underhålls- och administrationskostnader datadioden till en effektiv nätverkssäkerhetslösning på lång sikt.

  • Minimering av risker: Hur de minskar cybersäkerhetsrisken. Diodens strikta egenskaper gör att man helt kan utesluta vissa typer av risker om man använder en datadiod. Du vet till exempel att nätverket inte kan läcka information och kan därmed fokusera på att endast hantera risker med integritet och skadlig programvara.

Vill du läsa mer om Advenica´s breda utbud av datadioder?

Utforska våra datadioder

I vilka scenarion kan en datadiod stärka säkerheten?


Här några olika use case där vara datadioder kan användas för att höja säkerheten:

  1. Importera och exportera filer mellan olika zoner

  2. Koppla ett integritetskänsligt OT-system till andra system

  3. Centraliserad logginsamling i säkerhetskänsliga system

  4. Överföra samhällskritisk information, tex från ett SCADA-system till ett administrativt kontorsnät

  5. Uppdateringar av Windows- och Linux-system

Läs mer om hur våra kunder använder sig av våra datadioder här.

AdobeStock_892621538.jpeg

Fördelar med Advenicas datadioder

Det finns många fördelar med att använda datadioder – här har vi listat 14 fördelarna med just Advenicas datadioder

1. Möter de högsta säkerhetskraven

Advenicas datadioder uppfyller de högsta kraven för både säkerhet och assurans. Intern separation av funktioner, flerstegs enkelriktad säkerhet och djupgående säkerhetsanalys säkerställer tillit och hög assurans. Extra fokus har även lagts på att eliminera risken för dolda kanaler i motsatt riktning. Advenicas datadioder DD1000A och DD1000i är även godkända av Försvarsmakten på komponentassuransnivå N3 enligt svenska nationella säkerhetskrav. Komponentassuranssnivå N3 kan användas i system med hög konsekvensnivå (t.ex. hantering av hemlig information upp till SECRET/TOP SECRET).

2. Olika datadioder för olika syften

Advenicas portfölj består av datadioder av olika typer, allt från små DIN-monterade enheter till 19” rackmonterade enheter. Du kan välja mellan att ha proxydatorer integrerade i diodchassit eller köpa en enklare datadiodenhet och installera proxymjukvaran i externa datorer.

3. Made in Sweden

Advenicas datadioder är designade, utvecklade och tillverkade i Sverige. Genom att kontrollera varje steg från design till eftermarknad kan vi säkerställa förtroende för våra säkerhetsfunktioner. Detta gör det möjligt för oss att utveckla högsäkerhetsprodukter för kritisk data upp till TOP SECRET-klassificering.

4. Möjlighet till kundanpassningar

Tillfredsställer inte listan över protokoll som stöds dina behov? Berätta för oss om ditt användningsfall och låt vårt Customer Solutions-team utveckla specifika funktioner baserat på dina behov. Allt från funktionstillväxt i själva plattformen till stöd för ytterligare protokoll är möjligt.

5. Lätta att administrera

Datadioder är enkla att installera och konfigurera och ett enkelt standardanvändningsfall kan installeras på ett par timmar. Övervakning görs med standardmetoder som SNMP och Syslog som möjliggör integration med alla allmänt använda nätverksövervakningsverktyg. Konfigurationsändringar tillämpas med ett lättanvänt webbapplikationsgränssnitt.

6. Defence-in-depth

Advenicas datadiod DD1000i är designad enligt principen om djupförsvar där proxies och diod fungerar som olika lager av säkerhetskontroller. Proxies blockerar all kommunikation som inte uttryckligen tillåts och diodmodulen blockerar, med mycket hög säkerhet, all informationsöverföring i den förbjudna omvända riktningen.

7. Ingen död kod

Vår DD1000i innehåller ingen död kod. Konfigurera och ladda upp en anpassad konfiguration till enheten baserat på det specifika protokollstöd du behöver. Det finns inget sätt att aktivera eller ändra de protokoll som stöds utan att ladda upp en ny konfiguration till enheten. Härdat OS – endast de nödvändiga paketen för att stödja normal drift ingår i den fasta programvaran som körs på enheten.

8. Unik certifiering – N3

Advenicas datadioder har en unik certifiering för N3 i Sverige – Advenica är de enda med denna certifieringsnivå i Sverige. N3 är en certifiering utfärdad av Försvarsmakten. Advenicas datadioder DD1000A och DD1000i är godkända av Försvarsmakten på komponentassuranssnivå N3, vilket t.ex. hanterar data upp till och med nivå KVALIFICERAT HEMLIGT/TOP SECRET enligt Försvarsmaktens Krav på säkerhetsfunktioner (KSF), men där komponentnivån för exponering är något begränsad.

Läs mer om våra certifieringar.

9. Minimera risken för förlorad data

Datadiod DD1000i har specialanpassad mjukvara för att minimera risken för förlorad data mellan sändande och mottagande proxy.

10. Separation av tjänster

Separation av tjänster stöds genom olika gränssnitt för dataöverföring och admin/loggdata.

11. Högre assurans

Datadioder erbjuder en extremt hög säkerhetsnivå. Man kan faktiskt säga att en datadiod motsvarar ett air gap i motsatt riktning. Vi har visat för en extern utvärderare att det för närvarande inte finns några kända fysiska fenomen som kan användas för att överföra information i motsatt riktning.

12. Redundant strömförsörjning

För att säkerställa hög tillgänglighet stöder datadiod DD1G redundant strömförsörjning. I våra andra datadioder finns det av säkerhetsskäl ingen elektrisk koppling mellan de två sidorna, vilket försvårar redundant strömförsörjning.

13. Full galvanisk separation

Datadioder DD1000A och DD1000i: särskild uppmärksamhet har ägnats åt att eliminera risken för dolda kanaler i motsatt riktning, vilket resulterat i funktioner så som en PSU för varje sida av datadioden och RFI/EMI-reducerande interna kapslingar för att minimera komprometterande strålning.

14. Produkter som lever länge

Datadioderna DD1000A och DD1G är konstruerade med komponenter som har mycket lång livslängd och saknar mekaniskt rörliga delar såsom fläktar eller processorer. När du väl har installerat dessa datadioder behöver du inte göra några uppdateringar. MTBF för dessa produkter är 91 000 timmar, dvs drygt 10 år.

Hur motiverar vi en datadiod i vår budget?

Att investera i en datadiod är att investera i en högsäkerhetslösning – det går inte att jämföra med vanliga åtgärder för IT-säkerhet. Om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är ”vanlig” IT-säkerhet inte den enda lösning du bör välja. Ibland kan man behöva motivera varför man behöver göra en viss investering. För att göra det så enkelt som möjligt för dig har vi listat ett antal argument du kan använda för att motivera att du vill investera i en datadiod:

  • Alternativkostnaden kan bli hög

  • Visa räkneexempel på vad investeringen kan bespara er

  • En datadiod innebär lägre OPEX-kostnader

Vill du läsa mer om varför just datadioder är den mest kostnadseffektiva lösningen?

Läs mer här

Myndigheter och organisationer som rekommenderar datadioder

Datadioden är ett enkelt felsäkert sätt att skicka känslig information med envägskommunikation. Många ser fördelarna med en sådan lösning och så även svenska myndigheter och organisationer med kunskap inom cybersäkerhet. Läs några av rekommendationerna:

  • Svenskt Vatten

    ”Datadioder och dataslussar kan vara enklare att konfigurera och underhålla, vilket brukar leda till bättre säkerhet.” Digitalisering av den svenska VA-branschen (2021)

  • Statens Energimyndighet

    ”Det rekommenderade tillvägagångssättet för att överföra information från ett OT-nät till ett IT-nät är envägskommunikation med hjälp av så kallade datadioder.” Vägledning till Statens energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn (2022)

  • Livsmedelsverket

    ”Säkerställ att all kommunikation med andra nätverk och informationssystem regleras via en brandvägg, datadiod, proxy eller motsvarande nätverkskomponent.” Vägledning till livsmedelsverkets föreskrifter (2023)

  • MSB

    ”För vissa typer av it-miljöer kan det vara bra att använda datadioder och dataslussar.” Ökad säkerhet i industriella informations- och styrsystem (2021)

  • SÄPO

    ”Envägskommunikation realiseras med stöd av en hårdvarukomponent, så kallad datadiod, som enbart tillåter kommunikation i en riktning och därmed gör det omöjligt att information överförs i motsatt riktning.” Vägledning informationssäkerhet (2020)


    Läs mer om rekommendationerna.

FAQ

Är en datadiod och cross domain solution (CDS) samma sak?

Cross Domain Solution (CDS) är en term som används för att beskriva konceptet att upprätthålla säkert informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov. Detta kan vara mellan databaser, servrar, applikationer eller kombinationer av dessa. CDS tar upp konceptet att kommunicera, dela eller flytta information mellan domäner och tillämpar validering, transformation eller filtrering av utbytet. Så svar ja, en datadiod är en alltså en Cross Domain Solution.

Hur kan en datadiod användas för nätverkssegmentering?

Man placerar datadioden mellan två nätverk och den fungerar sedan som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan vara trygg med att rätt konstruerade datadioder uppfyller sina säkerhetskrav med hög assurans.

Hur kan en datadiod användas vid uppdatering av system?

Uppdaterade system är en viktig del i att kunna upprätthålla säkerheten för den digitala information som finns i systemen. Uppdateringen kan dock innebära en säkerhetsrisk och för att undvika det samt för att upprätthålla integriteten och tillgängligheten i systemen och kunna göra säkra uppdateringar, krävs speciella lösningar. Ett sätt att göra en säker uppdatering är att använda en datadiod som säkerställer enkelriktad kommunikation. Datadioden kopplas så att information kan importeras till systemet men eftersom ingen trafik kan överföras i motsatt riktning omöjliggörs informationsläckage.

Vad är fördelen med att använda en datadiod för nätverkssegmentering?

Genom att använda datadioder för din nätverkssegmentering bibehåller du både nätverkets integritet genom att förhindra intrång eller nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

Relaterade produkter

Kontakta oss

Boka demo, möte eller be om en offert. Vi är här för att hjälpa dig.

rickard nilsson sales person advenica

Rickard Nilsson

COO