În ultimii ani, atacurile cibernetice asupra instalațiilor de tratare a apelor uzate din SUA au evidențiat cât de vulnerabilă poate fi tehnologia operațională. La începutul anului 2024, mai multe orașe din Texas și-au văzut sistemele SCADA accesate de la distanță de atacatori, provocând chiar revărsarea unui rezervor de apă înainte ca personalul să recupereze controlul. Un incident similar în Tipton, Indiana, a forțat operatorii să treacă la operațiuni manuale după ce a fost detectată o activitate neregulată în sistemele centralei. Aceste evenimente au evidențiat riscurile conectării infrastructurii de tratare la rețelele de întreprindere sau la rețelele orientate către internet și au subliniat motivul pentru care această companie de utilități nu putea face compromisuri în ceea ce privește menținerea sistemelor sale OT izolate.
Acolo unde securitatea și vizibilitatea intră în coliziune
Înțelegerea datelor din Historian
Un AVEVA Historian este o bază de date industrială specializată, concepută pentru a capta și stoca un volum mare de date în serii de timp de la sistemele OT, cum ar fi senzorii, controlorii și platformele SCADA. La nivelul instalației, un Historian local înregistrează datele de proces (informațiile operaționale brute generate de sistemele de control și senzorii industriali) pentru operatori, asigurându-se că aceștia pot monitoriza echipamentele și activitatea de tratare în timp real.
Un Historian de nivel 1 pentru întreprinderi are un rol diferit: agregă fluxurile Historian din mai multe instalații, oferind echipelor întreprinderii o imagine consolidată pentru raportare, analiză și planificare. Provocarea apare atunci când datele trebuie să treacă de la aceste istorioare locale la nivelul întreprinderii fără a deschide o cale de întoarcere în sistemele OT critice.
Provocarea partajării Secure a datelor
La una dintre instalațiile sale, compania de utilități trebuia să transmită date de la un AVEVA Historian local la un Historian de nivel 1 din rețeaua sa de întreprindere. Aceste date erau vitale pentru monitorizarea și raportarea la nivel de întreprindere, dar conectivitatea la internet a rețelei întreprinderii făcea ca integrarea directă să fie nesigură.
Menținerea sistemelor OT izolate a fost esențială, deoarece orice cale de întoarcere în mediul de control ar putea oferi un vector de atac. În același timp, izolarea istoricilor limita capacitatea organizației de a partaja informații între locații și de a îmbunătăți eficiența. Provocarea a constat în atingerea ambelor obiective: menținerea unei separări stricte, permițând în același timp vizibilitatea în timp real.
Firewall-urile și alte instrumente bazate pe software nu erau suficiente. Acestea nu puteau garanta o comunicare unidirecțională, necesitau întreținere continuă și lăsau în continuare activele esențiale expuse riscurilor. Astfel, organizația avea nevoie de o soluție care să asigure izolarea fizică, permițând în același timp datelor esențiale să se deplaseze în exterior.
Crearea unei căi Secure pentru datele în timp real
Furnizorul a apelat la OPSWAT și a implementat MetaDefender Optical Diode (Fend) împreună cu platforma software eRIS. eRIS este un instrument de gestionare a datelor și de raportare utilizat în mod obișnuit în sectorul apei pentru a traduce și a furniza date Historian în siguranță, ceea ce îl face potrivit pentru această implementare.
MetaDefender Optical Diode (Fend) este un dispozitiv de securitate cibernetică întărit hardware care utilizează izolarea optică pentru a garanta comunicarea unidirecțională. Prin concepție, acesta blochează fizic orice trafic de intrare pentru a preveni accesul de la distanță sau infiltrarea de programe malware, iar protecțiile sale integrate împotriva refuzului de serviciu, manipulării și fluctuațiilor de putere contribuie la asigurarea faptului că datele Historian continuă să circule în mod fiabil chiar și în condiții de stres.
Iată cum a funcționat implementarea:
- Instalarea eRIS: software-ul eRIS a fost instalat ca un serviciu Windows pe serverul OT AVEVA existent, traducând datele Historian într-un format unidirecțional.
- Izolare optică: Datele au călătorit apoi în siguranță prinOptical Diode MetaDefender (Fend), care a impus transferul unidirecțional cu izolare optică la nivel hardware.
- Suport pentru protocoale: Dispozitivul suportă în mod nativ atât protocoale IT standard precum FTP, SFTP, TCP și UDP, cât și protocoale industriale precum Modbus și BACnet, ceea ce îl face potrivit pentru transferurile de date Historian.
- Conversia întreprinderii: Pe partea de întreprindere, hub-ul eRIS a convertit informațiile înapoi în format AVEVA și le-a pregătit pentru ingestia în Historian de nivel 1.
De la întârzieri manuale la informații instantanee
Cu noua arhitectură implementată, compania de utilități nu a mai trebuit să aleagă între vizibilitate și securitate. Operatorii de la instalația de tratare puteau să vadă datele apărând aproape instantaneu în Historian-ul întreprinderii, știind în același timp că nimic nu se putea întoarce vreodată în mediul de control. Ceea ce altădată necesita o abordare atentă (colectare manuală, raportare întârziată) se întâmpla acum în mod automat, oferind atât echipelor operaționale, cât și celor din cadrul întreprinderii încredere în informațiile pe care le foloseau în fiecare zi.
Beneficii cheie
Economie de timp în operațiunile zilnice: În loc să aștepte ca datele să fie colectate manual și partajate, personalul s-a putut baza pe un flux constant de informații gata de analiză.
Liniște sufletească pentru echipele de securitate: Transferul unidirecțional impus de hardware a însemnat că, chiar dacă rețeaua întreprinderii a fost compromisă, sistemele OT au rămas neatinse.
Vizibilitate mai bună în întreaga organizație: Echipele enterprise au obținut vizibilitatea de care aveau nevoie fără a perturba sau a împovăra personalul instalațiilor.
Ușor de replicat în alte unități: Cu o implementare simplă, cu întreținere redusă, compania de utilități ar putea replica același model în alte facilități ori de câte ori este necesar.
Pentru prima dată, organizația a putut vedea imaginea completă a operațiunilor sale în timp real, știind în același timp că cele mai critice sisteme ale sale erau în continuare protejate de un adevărat air gap.
Construirea unui viitor al operațiunilor Secure în domeniul apei
Cu transferurile securizate de date Historian acum în vigoare, compania de utilități este poziționată pentru a extinde același model la alte părți ale operațiunilor sale. Alte instalații de tratare, stații de pompare și sisteme de monitorizare pot fi integrate în rețeaua întreprinderii fără a expune mediile OT la amenințări externe.
De asemenea, implementarea pune bazele adoptării unor noi practici de analiză și conformitate. Echipele întreprinderii se pot baza pe fluxuri de date fiabile, în timp real, pentru a îmbunătăți raportarea, a sprijini întreținerea predictivă și a răspunde mai rapid la schimbările operaționale. În același timp, sistemele OT rămân protejate de izolarea impusă de hardware, protejând serviciile esențiale de tipurile de atacuri cibernetice care au perturbat instalațiile de apă și apă uzată din Statele Unite.
Prin combinarea vizibilității în timp real cu securitatea fără compromisuri, compania de utilități a creat o abordare care nu numai că răspunde nevoilor actuale, dar este și pregătită pentru cerințele viitoare în domeniul protecției infrastructurilor critice.
Aflați mai multe despre modul în care MetaDefender Optical Diode (Fend) vă poate proteja instalația, menținând sistemele esențiale izolate în siguranță.
