Nos últimos anos, os ciberataques a instalações de tratamento de águas residuais nos EUA evidenciaram o quão vulnerável pode ser a tecnologia operacional. No início de 2024, várias cidades do Texas viram os seus sistemas SCADA serem acedidos remotamente por atacantes, causando mesmo o transbordamento de um tanque de água antes de o pessoal recuperar o controlo. Um incidente semelhante em Tipton, Indiana, obrigou os operadores a mudar para operações manuais depois de ter sido detectada atividade irregular nos sistemas da estação. Esses eventos destacaram os riscos de conectar a infraestrutura de tratamento a redes corporativas ou voltadas para a Internet e reforçaram o motivo pelo qual essa empresa de serviços públicos não podia comprometer a manutenção de seus sistemas de TO com air-gap.
Onde a segurança e a visibilidade colidem
Compreender os dados do historiador
Um AVEVA Historian é uma base de dados industrial especializada concebida para capturar e armazenar dados de séries temporais de grande volume de sistemas OT, tais como sensores, controladores e plataformas SCADA. Ao nível da instalação, um Historian local regista os dados do processo (a informação operacional bruta gerada pelos sistemas de controlo industrial e sensores) para os operadores, assegurando que estes podem monitorizar o equipamento e a atividade de tratamento em tempo real.
Um Historian empresarial de nível 1 tem uma função diferente: agrega os feeds do Historian de várias instalações, dando às equipas empresariais uma visão consolidada para relatórios, análises e planeamento. O desafio surge quando os dados precisam de passar destes historiadores locais para o nível empresarial sem abrir um caminho de volta aos sistemas OT críticos.
O desafio da partilha Secure de dados
Em uma de suas instalações, a concessionária precisava encaminhar dados de um AVEVA Historian local para um Historian de nível 1 em sua rede corporativa. Estes dados eram vitais para a monitorização e elaboração de relatórios a nível empresarial, mas a conetividade à Internet da rede empresarial tornava insegura a integração direta.
Era essencial manter os sistemas OT isolados, uma vez que qualquer caminho de volta ao ambiente de controlo poderia constituir um vetor de ataque. Ao mesmo tempo, deixar os historiadores isolados limitava a capacidade da organização de partilhar informações entre locais e melhorar a eficiência. O desafio era atingir ambos os objectivos: manter uma separação rigorosa e, ao mesmo tempo, permitir a visibilidade em tempo real.
As firewalls e outras ferramentas baseadas em software não eram suficientes. Não podiam garantir uma comunicação unidirecional, exigiam manutenção contínua e deixavam os activos críticos expostos ao risco. Assim, a organização precisava de uma solução que impusesse o isolamento físico e, ao mesmo tempo, permitisse a movimentação de dados essenciais.
Criar um caminho Secure para dados em tempo real
O eRIS é uma ferramenta de gestão de dados e de elaboração de relatórios habitualmente utilizada no sector da água para traduzir e fornecer dados do Historian de forma segura, MetaDefender que a torna uma opção natural para esta implementação.
Optical Diode MetaDefender (Fend) é um dispositivo de segurança cibernética reforçado por hardware que utiliza o isolamento ótico para garantir a comunicação unidirecional. Por conceção, bloqueia fisicamente qualquer tráfego de entrada para impedir o acesso remoto ou a infiltração de malware, e as suas protecções incorporadas contra negação de serviço, adulteração e flutuações de energia ajudam a garantir que os dados do Historian continuam a fluir de forma fiável, mesmo sob stress.
Eis como funcionou a implantação:
- Instalação do eRIS: O software eRIS foi instalado como um serviço Windows no servidor AVEVA OT existente, traduzindo os dados do Historian para um formato unidirecional.
- Isolamento ótico: Os dados passam então de forma segura através doOptical Diode MetaDefender (Fend), que impõe uma transferência unidirecional com isolamento ótico ao nível do hardware.
- Suporte de protocolos: O dispositivo suporta nativamente protocolos de TI padrão, como FTP, SFTP, TCP e UDP, bem como protocolos industriais como Modbus e BACnet, tornando-o adequado para transferências de dados Historian.
- Conversão empresarial: Do lado da empresa, o eRIS Hub converteu a informação de volta para o formato AVEVA e preparou-a para ser ingerida no Historian de nível 1.
Dos atrasos manuais à perceção instantânea
Com a nova arquitetura implementada, a empresa de serviços públicos já não tinha de escolher entre visibilidade e segurança. Os operadores da instalação de tratamento podiam ver os dados aparecerem no historiador da empresa quase instantaneamente, sabendo que nada poderia voltar ao ambiente de controlo. O que antes exigia cuidadosas soluções alternativas (recolha manual, relatórios atrasados) agora acontecia automaticamente, dando às equipas operacionais e empresariais confiança na informação que utilizavam todos os dias.
Principais benefícios
Poupança de tempo nas operações diárias: Em vez de esperar que os dados fossem recolhidos e partilhados manualmente, o pessoal podia contar com um fluxo constante de informações prontas para análise.
Paz de espírito para as equipas de segurança: A transferência unidirecional imposta pelo hardware significava que, mesmo que a rede da empresa fosse comprometida, os sistemas OT permaneciam intocados.
Melhor visibilidade em toda a organização: As equipas empresariais ganharam a visibilidade de que necessitavam sem perturbar ou sobrecarregar o pessoal das instalações.
Fácil de replicar entre instalações: Com uma implementação simples e de baixa manutenção, a empresa de serviços públicos pode replicar o mesmo modelo noutras instalações sempre que necessário.
Pela primeira vez, a organização pôde ver a imagem completa das suas operações em tempo real, sabendo que os seus sistemas mais críticos continuavam protegidos por um verdadeiro air gap.
Construir um futuro de operações Secure no sector da água
Com as transferências seguras de dados do Historian agora em vigor, a empresa de serviços públicos está posicionada para expandir o mesmo modelo para outras partes de suas operações. Outras instalações de tratamento, estações de bombagem e sistemas de monitorização podem ser integrados na rede empresarial sem expor os ambientes OT a ameaças externas.
A implementação também estabelece uma base para a adoção de novas práticas de análise e conformidade. As equipas empresariais podem basear-se em fluxos de dados fiáveis e em tempo real para melhorar os relatórios, apoiar a manutenção preditiva e responder mais rapidamente às alterações operacionais. Ao mesmo tempo, os sistemas OT permanecem protegidos por um isolamento reforçado por hardware, protegendo os serviços essenciais contra os tipos de ataques cibernéticos que interromperam as instalações de água e esgoto nos Estados Unidos.
Ao combinar a visibilidade em tempo real com uma segurança intransigente, a empresa de serviços públicos criou uma abordagem que não só satisfaz as necessidades actuais, como também está preparada para as exigências futuras em matéria de proteção de infra-estruturas críticas.
Saiba mais sobre como MetaDefender Optical Diode MetaDefender (Fend) pode proteger as suas instalações, mantendo os sistemas essenciais isolados de forma segura.
