En uavhengig Pentest av HydroCord, FDB sitt system for datainnsamling og- behandling på kant (edge computing), har nylig blitt gjennomført med beste resultat.
HydroCord kantprosessering er designet med to hovedkriterier:
- Tilpasningsdyktig datainnsamling og – behandling. For at HydroCord møter behovene og utfordringene som skal løses, både nå og senere.
- Garantert enveis datatrafikk for datainnsamling fra «sikker sone» (OT). Får ikke gjort det første uten å gjøre det andre for samfunnskritisk infrastruktur
For å oppnå dette vektlegger HydroCord sin arkitektur:
- Kun ha nødvendig funksjonalitet for datainnsamling av kritiske data på maskinvare i «sikker sone» (oppstrøms diode). Datainnsamling kan gjøres ved å bruke protokoller mot ulike nivåer av prosessystemet, kopiere eksisterende signaler/sensorer, eller sette inn nye sensorer for å tilpasse seg behovet.
- Kantprosessering skal i størst mulig grad gjøres på maskinvaren i «mindre sikker sone» (nedstrøms diode). Databehandling, analyser, midlertidig lagring for å unngå datahull, med mer. Det er også mulig å hente inn «ikke-kritiske data» fra andre kraftverkssystemer her.
- Alle resultater fra kantprosessering og innsamlede data som kunde vil ha for å styrke sin beslutningsstøtte sendes til deres dataplattform.
Arkitektur HydroCord Kantprosessering
Målsetningen for HydroCord Pentest:
- Verifisere enveis datatransport og at en kompromittert mottakerside (maskinvaren i «mindre sikker sone») ikke kan kommunisere tilbake.
Innhold i HydroCord Pentest:
- Assume breach-scenario
- Fokus på logisk/datamessig sikkerhet, ikke fysisk sabotasje
- Realistiske angrepsmetoder:
- Portscanning
- Trafikkanalyse
- Forsøk på replay og tilbakesending av trafikk
- Analyse av heartbeat-mekanismen
Resultat: «Kort sagt: Selv med full kontroll på mottakersiden fant vi ingen tekniske mekanismer som bryter énveis-prinsippet. Datadioden gjør akkurat det den skal – og ingenting mer.”
