Defender-se das crescentes ameaças à cibersegurança
Historicamente, a segurança informática tem sido uma prioridade menor para os serviços de água em comparação com outros sectores. No entanto, os serviços de informação do governo, tal como relatado pela AWWA (American Water Works Association), confirmaram recentemente que os sectores da água e das águas residuais se tornaram os principais alvos das campanhas de intrusão de governos estrangeiros, de criminosos e de outros grupos de ameaças.
Para proteger a água potável, a EPA (Agência de Proteção do Ambiente) dos EUA emitiu um alerta de execução em maio de 2024, notificando os sistemas de água comunitários das vulnerabilidades de cibersegurança que tinham de ser resolvidas. As principais preocupações incluíam:
- Visibilidade limitada da rede, dificultando a deteção de anomalias em bombas, válvulas e processos de tratamento químico.
- Fraca segmentação entre os ambientes OT e TI, aumentando o risco de movimentos laterais por parte de ciberadversários.
- Acesso não seguro de terceiros, que deixou os sistemas críticos vulneráveis a ameaças de dispositivos externos comprometidos.
- A necessidade de soluções de cibersegurança que garantam operações ininterruptas e seguras, sem causar períodos de inatividade.
Lacunas de cibersegurança nos sistemas antigos
Um dos maiores desafios da empresa de serviços públicos eram os seus sistemas desactualizados. Os sistemas OT antigos com vulnerabilidades não corrigidas criavam lacunas de segurança significativas que os actores maliciosos podiam explorar. Essas vulnerabilidades não só representavam riscos de inatividade do sistema, mas também poderiam levar a danos físicos em sistemas críticos. A empresa de serviços públicos reconheceu que a implementação da segmentação da rede e de controlos de acesso robustos era fundamental para mitigar estes riscos, assegurando simultaneamente operações contínuas.
Abordar as ameaças internas e os controlos de acesso Secure
As ameaças internas representam outro risco significativo através de configurações incorrectas acidentais, utilização indevida ou modificações intencionais do sistema. Os funcionários e contratantes com acesso a ambientes OT podem interromper involuntariamente as operações ou, em casos raros, alterar maliciosamente sistemas críticos.
Ao mesmo tempo, o acesso seguro deve ser aplicado tanto para o pessoal interno como para os fornecedores externos. O acesso não autorizado - seja por credenciais comprometidas, privilégios excessivos de administrador ou sessões remotas não geridas - pode deixar a infraestrutura crítica vulnerável.
Documentação e conformidade
A nossa avaliação no local revelou deficiências críticas na documentação relacionada com o equipamento de campo instalado, colocando riscos significativos de conformidade. Um dos maiores problemas era a falta de inventário e classificação precisos dos activos, com muitas organizações a dependerem ainda de métodos manuais e desactualizados de manutenção de registos. Sem um sistema estruturado de gestão de activos, torna-se difícil seguir os dispositivos, avaliar os riscos cibernéticos e aplicar controlos de segurança - pondo em risco a conformidade com o NERC CIP, IEC 62443 e NIST 800-82.
Para além da gestão de activos, as avaliações de risco cibernético, as políticas de controlo de acesso e os planos de resposta a incidentes estavam incompletos ou não existiam. Estas lacunas deixavam as equipas de segurança sem orientações claras para gerir ameaças, restringir o acesso não autorizado ou responder a incidentes de segurança de forma padronizada e em conformidade.
Para agravar estes desafios, as imprecisões nos diagramas de rede "as-built" dificultaram a capacidade de mapear a topologia de rede atual e validar as configurações de segurança, aumentando o risco de configurações incorrectas e falhas de segurança.
Protegendo as operações de água com a plataforma MetaDefender OT & CPS
Quando o nosso cliente sofreu uma série de incidentes cibernéticos que visavam os seus sistemas SCADA, o seu CISO sabia que precisava de uma abordagem mais robusta para proteger a sua infraestrutura de água.
Todas as noites, preocupava-me com o que poderia acontecer se alguém ganhasse o controlo dos nossos processos de tratamento. Com a responsabilidade de fornecer água potável a mais de 2,5 milhões de habitantes, os riscos não podiam ser maiores.
AnónimoCISO
Depois de avaliar várias soluções de cibersegurança industrial, a empresa de serviços públicos selecionou o MetaDefender for OT & CPS Protection da OPSWAT, incluindo MetaDefender OT Security, o MetaDefender Industrial Firewall, MetaDefender OT Access e MetaDefender Optical Diode, pela sua capacidade de satisfazer as necessidades específicas da indústria da água.
Deteção e correção
MetaDefender OT Security analisou continuamente as redes OT para detetar dispositivos não autorizados, actividades anómalas e potenciais ameaças. Além disso, avaliou o estado da aplicação de patches nos activos OT, identificando firmware desatualizado e vulnerabilidades não corrigidas que poderiam ser exploradas, assegurando que os sistemas críticos permaneciam actualizados e resistentes contra ameaças cibernéticas.
Prevenção
MetaDefender Industrial Firewall impôs uma segmentação rigorosa da rede, bloqueando o tráfego não autorizado e isolando os sistemas críticos para evitar ameaças. Forneceu filtragem de protocolo específica para os principais protocolos SCADA de água, como Modbus, DNP3 e IEC 104, garantindo que apenas o tráfego válido pudesse aceder aos sistemas operacionais.
Controlo de acesso
MetaDefender OT Access permitiu um acesso remoto limitado no tempo e imposto por políticas e forneceu uma pista de auditoria completa de cada sessão de acesso, permitindo uma supervisão abrangente e uma resposta rápida a incidentes.
Gateway de segurança
MetaDefender Optical Diode MetaDefender assegurou um fluxo de dados unidirecional - o que significa que os dados só podem viajar numa direção, de uma rede para outra, sem permitir a comunicação inversa. Actuava essencialmente como um "guardião de dados" entre dois sistemas, separando as redes sem expor os sistemas OT mais vulneráveis a ameaças externas.
As nossas soluções OT de primeira linha forneceram um suporte de protocolo abrangente, incluindo DNP3 (Distributed Network Protocol 3), assegurando uma proteção perfeita dos sistemas de tratamento e distribuição. A empresa de serviços públicos também ganhou visibilidade total em todas as estações de bombagem e dispositivos de campo, tais como estações de tratamento, permitindo uma segmentação precisa em zonas e condutas para um controlo de comunicação granular. Além disso, OPSWAT forneceu caminhos seguros para o acesso dos fornecedores, permitindo que as actividades de manutenção sejam realizadas sem expor a infraestrutura crítica a acessos não autorizados ou a potenciais ameaças cibernéticas. A nossa equipa de implementação trabalhou em estreita colaboração com os operadores da fábrica para implementar a solução sem interromper as operações críticas, criando uma arquitetura de segurança que protegia tanto os sistemas antigos como as infra-estruturas digitais mais recentes. Esta abordagem faseada permitiu que a empresa de serviços públicos reforçasse as suas defesas enquanto mantinha o serviço de água ininterrupto às suas comunidades.
O acesso remoto era a nossa maior lacuna de segurança. Com o MetaDefender for OT & CPS Protection, ganhamos um controlo seguro e baseado em políticas sobre todas as ligações remotas - fechando um importante vetor de ataque e reforçando a nossa postura geral de cibersegurança."
AnónimoCISO
Para além da segurança: Benefícios operacionais e poupanças de energia
Embora a cibersegurança tenha sido a principal motivação, a empresa de serviços públicos descobriu benefícios operacionais adicionais. A visibilidade abrangente dos seus sistemas de controlo ajudou a identificar ineficiências nas suas operações de bombagem, levando a poupanças de energia de aproximadamente 14% em toda a sua rede de distribuição.
Implementámos MetaDefender para proteger os nossos sistemas de água, mas as informações operacionais que forneceu também nos ajudaram a otimizar os nossos processos. Agora podemos ver exatamente como os nossos sistemas estão a funcionar e fazer ajustes que melhoram a segurança e a eficiência
AnónimoCISO
Cumprir os requisitos regulamentares
Como as regulamentações federais e estaduais para a segurança da água continuam a evoluir, a implementação MetaDefender posicionou o serviço de água do condado para conformidade com um esforço adicional mínimo.
Graças ao MetaDefender for OT & CPS Protection, cumprimos prontamente as novas diretrizes de cibersegurança da EPA para sistemas de água. A sua documentação e visibilidade abrangentes simplificaram os nossos relatórios de conformidade.
AnónimoCISO
Resultados: Maior segurança e continuidade operacional
Ao adotar as soluções da OPSWAT, a empresa de serviços públicos obteve vários resultados importantes:
Proteção rentável com preços escaláveis
Ao contrário das soluções pontuais tradicionais que exigem preços individuais dispendiosos para cada necessidade de segurança, a plataforma da OPSWAToferece proteção de nível empresarial com preços escaláveis.
Amplo suporte de protocolos para uma integração perfeita
Muitas soluções de segurança cibernética oferecem compatibilidade limitada com protocolos industriais, forçando as empresas de serviços públicos a depender de integrações de terceiros. Em contraste, MetaDefender for OT & CPS Protection suporta todos os principais protocolos OT, incluindo Modbus, DNP3 e IEC 104, assegurando uma implementação de segurança perfeita em toda a infraestrutura diversificada da empresa de serviços públicos.
Design de fácil utilização e centrado no TO
As ferramentas tradicionais de segurança de TI carecem muitas vezes de usabilidade em ambientes OT, o que dificulta a gestão eficaz por parte das equipas operacionais. As soluções MetaDefender OT são especificamente concebidas para utilizadores OT, apresentando controlos intuitivos e automação que permitem aos engenheiros, operadores de instalações e equipas de cibersegurança monitorizar e proteger facilmente as suas infra-estruturas críticas.
Segurança mais forte, zero interrupções operacionais
Visibilidade completa dos activos OT
As equipas de segurança obtiveram informações completas e em tempo real sobre todos os dispositivos ligados e a atividade da rede.
Deteção proactiva de ameaças
Uma tentativa de intrusão de um computador portátil de um empreiteiro foi assinalada e evitada, evitando potenciais interrupções do serviço.
Gestão automatizada da segurança
Os relatórios e a monitorização avançados reduzem o esforço manual e melhoram a conformidade regulamentar.
Cibersegurança à prova de futuro
A empresa de serviços públicos está agora equipada para combater a evolução das ciberameaças, mantendo simultaneamente operações de água contínuas e seguras.
A capacidade de obter segmentação de rede, transferência segura de dados, visibilidade em tempo real e acesso remoto seguro sem depender de integrações de terceiros tem sido inestimável. É um conjunto completo de segurança OT e deu-nos a proteção e a continuidade de que precisávamos sem quaisquer dores de cabeça.
AnónimoCISO
Conclusão
A implementação das soluções de proteção OT & CPS MetaDefender daOPSWAT permitiu a esta empresa de abastecimento de água colmatar lacunas críticas de segurança, assegurando a proteção de sistemas OT essenciais, ao mesmo tempo que mantém serviços ininterruptos para milhões de residentes. Com visibilidade em tempo real, segmentação granular da rede e acesso remoto seguro, a empresa de serviços públicos reforçou significativamente as suas defesas contra ameaças cibernéticas internas e externas - sem depender de integrações de terceiros.
Ao contrário de outras soluções que requerem ferramentas de segurança fragmentadas de vários fornecedores, OPSWAT oferece o mais extenso conjunto de soluções de segurança OT disponível atualmente, cobrindo todas as camadas de cibersegurança industrial. Concebidas para uma implementação perfeita, as soluções OPSWAT trabalham em uníssono para fortalecer as infra-estruturas críticas, proporcionando uma proteção, conformidade e continuidade operacional inigualáveis.
Para saber mais sobre como MetaDefender for OT & CPS Protection pode proteger sua infraestrutura crítica, entre em contato com um especialista OPSWAT hoje mesmo.
