Negli ultimi anni, i cyberattacchi alle strutture per le acque reflue statunitensi hanno messo in evidenza quanto possa essere vulnerabile la tecnologia operativa. All'inizio del 2024, diverse città del Texas hanno visto i loro sistemi SCADA accessibili da remoto da parte di aggressori, causando persino lo straripamento di un serbatoio d'acqua prima che il personale riprendesse il controllo. Un incidente simile a Tipton, nell'Indiana, ha costretto gli operatori a passare alle operazioni manuali dopo aver rilevato attività irregolari nei sistemi dell'impianto. Questi eventi hanno messo in evidenza i rischi legati alla connessione dell'infrastruttura di trattamento alle reti aziendali o a Internet e hanno rafforzato il motivo per cui questa utility non poteva scendere a compromessi nel mantenere i propri sistemi OT air-gapped.
Dove sicurezza e visibilità si scontrano
Comprendere i dati storici
Un AVEVA Historian è un database industriale specializzato progettato per acquisire e archiviare dati ad alto volume e serie temporali da sistemi OT come sensori, controllori e piattaforme SCADA. A livello di impianto, un Historian locale registra i dati di processo (le informazioni operative grezze generate dai sistemi di controllo industriale e dai sensori) per gli operatori, assicurando che possano monitorare le apparecchiature e l'attività di trattamento in tempo reale.
Un Historian aziendale di livello 1 ha un ruolo diverso: aggrega i feed Historian di più strutture, offrendo ai team aziendali una vista consolidata per la creazione di report, analisi e pianificazione. La sfida sorge quando i dati devono passare da questi Historian locali al livello aziendale senza aprire un percorso di ritorno nei sistemi OT critici.
La sfida della condivisione Secure dei dati
In una delle sue strutture, l'utility aveva bisogno di inoltrare i dati da un AVEVA Historian locale a un Historian di livello 1 sulla sua rete aziendale. Questi dati erano fondamentali per il monitoraggio e la reportistica a livello aziendale, ma la connettività Internet della rete aziendale rendeva insicura l'integrazione diretta.
Mantenere isolati i sistemi OT era essenziale, poiché qualsiasi percorso di ritorno all'ambiente di controllo poteva fornire un vettore di attacco. Allo stesso tempo, lasciare gli storici isolati limitava la capacità dell'organizzazione di condividere le informazioni tra le varie sedi e migliorare l'efficienza. La sfida consisteva nel raggiungere entrambi gli obiettivi: mantenere una rigorosa separazione e consentire al contempo la visibilità in tempo reale.
I firewall e altri strumenti basati su software non erano sufficienti. Non erano in grado di garantire una comunicazione unidirezionale, richiedevano una manutenzione continua e lasciavano comunque le risorse critiche esposte al rischio. L'organizzazione aveva quindi bisogno di una soluzione che garantisse l'isolamento fisico, consentendo al contempo la circolazione dei dati essenziali.
Creare un percorso Secure per i dati in tempo reale
L'azienda si è rivolta a OPSWAT e ha implementato ilOptical Diode MetaDefender (Fend) insieme alla piattaforma software eRIS. eRIS è uno strumento di gestione dei dati e di reporting comunemente utilizzato nel settore idrico per tradurre e fornire i dati Historian in modo sicuro, il che lo rende un'opzione naturale per questa implementazione.
MetaDefender Optical Diode (Fend) è un dispositivo di cybersecurity hardware-enforced che utilizza l'isolamento ottico per garantire una comunicazione unidirezionale. Il dispositivo blocca fisicamente il traffico in entrata per impedire l'accesso remoto o l'infiltrazione di malware, e le sue protezioni integrate contro i denial of service, le manomissioni e le fluttuazioni di potenza contribuiscono a garantire che i dati di Historian continuino a scorrere in modo affidabile anche sotto stress.
Ecco come ha funzionato la distribuzione:
- Installazione di eRIS: il software eRIS è stato installato come servizio Windows sul server OT AVEVA esistente, traducendo i dati Historian in un formato unidirezionale.
- Isolamento ottico: I dati viaggiano quindi in modo sicuro attraverso ilOptical Diode MetaDefender (Fend), che garantisce un trasferimento unidirezionale con un isolamento ottico a livello hardware.
- Supporto dei protocolli: Il dispositivo supporta in modo nativo sia i protocolli IT standard come FTP, SFTP, TCP e UDP, sia i protocolli industriali come Modbus e BACnet, rendendolo adatto ai trasferimenti di dati Historian.
- Conversione aziendale: Dal punto di vista aziendale, l'hub eRIS ha riconvertito le informazioni in formato AVEVA e le ha preparate per l'inserimento in Historian di primo livello.
Dai ritardi manuali all'intuizione immediata
Con la nuova architettura, l'azienda non ha più dovuto scegliere tra visibilità e sicurezza. Gli operatori dell'impianto di trattamento potevano vedere i dati apparire sullo storico aziendale quasi istantaneamente, pur sapendo che nulla poteva tornare indietro nell'ambiente di controllo. Ciò che prima richiedeva un'attenta gestione (raccolta manuale, ritardi nella creazione dei rapporti) ora avveniva automaticamente, dando ai team operativi e aziendali fiducia nelle informazioni che utilizzavano quotidianamente.
Vantaggi principali
Risparmio di tempo nelle operazioni quotidiane: Invece di aspettare che i dati vengano raccolti e condivisi manualmente, il personale può contare su un flusso costante di informazioni pronte per l'analisi.
Tranquillità per i team di sicurezza: Il trasferimento unidirezionale imposto dall'hardware significava che anche se la rete aziendale fosse stata compromessa, i sistemi OT sarebbero rimasti intatti.
Migliore visibilità in tutta l'organizzazione: I team aziendali hanno ottenuto la visibilità necessaria senza interrompere o appesantire il personale della struttura.
Facile da replicare tra le strutture: Con un'implementazione semplice e a bassa manutenzione, l'azienda può replicare lo stesso modello in altre strutture ogni volta che ne ha bisogno.
Per la prima volta, l'organizzazione ha potuto vedere il quadro completo delle sue operazioni in tempo reale, sapendo che i suoi sistemi più critici erano ancora protetti da un vero e proprio air gap.
Costruire un futuro di operazioni idriche Secure
Grazie alla sicurezza dei trasferimenti di dati Historian, l'azienda è in grado di estendere lo stesso modello ad altre parti delle sue attività. Ulteriori impianti di trattamento, stazioni di pompaggio e sistemi di monitoraggio possono essere integrati nella rete aziendale senza esporre gli ambienti OT a minacce esterne.
L'implementazione pone inoltre le basi per l'adozione di nuove pratiche di analisi e conformità. I team aziendali possono basarsi su flussi di dati affidabili e in tempo reale per migliorare la reportistica, supportare la manutenzione predittiva e rispondere più rapidamente ai cambiamenti operativi. Allo stesso tempo, i sistemi OT rimangono protetti dall'isolamento hardware, proteggendo i servizi essenziali dai tipi di attacchi informatici che hanno interrotto le strutture idriche e di acque reflue in tutti gli Stati Uniti.
Combinando la visibilità in tempo reale con una sicurezza senza compromessi, l'utility ha creato un approccio che non solo soddisfa le esigenze di oggi, ma è anche pronto per le future richieste di protezione delle infrastrutture critiche.
Per saperne di più su come ilOptical Diode MetaDefender (Fend) può proteggere la vostra struttura mantenendo i sistemi essenziali isolati in modo sicuro.
