ANTECEDENTES

Empresa del sector del agua del sur de Estados Unidos, brinda servicio a casi 500.000 hogares y empresas, utiliza dos instalaciones de tratamiento de agua separadas para proporcionar una capacidad combinada de casi 606 millones de litros procesados al día. 

Las fuentes primarias de agua se extraen de dos lagos naturales que alimentan un gran embalse cercano.

La empresa comenzó una lenta pero exhaustiva actualización de su sistema SCADA, revisando las operaciones y procesos en más de 20 tanques de almacenamiento remotos y más de 20 bombas de refuerzo, todas ellas gestionadas desde una sala de control centralizada. 

Tienen un entorno OT heterogéneo con una mezcla de equipos y software, además de firewall perimetrales.

RETOS

Como muchos otros en la industria del agua, la arquitectura de la red de la planta permitía que cualquier operario obtuviera acceso a activos del entorno de producción. 

Esto se consideraba esencial para mantener un buen funcionamiento, cuando se necesitaba una rápida solución a los problemas. 

Las limitaciones presupuestarias y de personal hacían inviables los cambios a gran escala, ya que supondría una solicitud de aprobación de cambios de tarifa, lo que siempre resultaba políticamente difícil.

La dirección se había centrado anteriormente en la seguridad física, pero la creciente incidencia de los programas maliciosos y otros tipos de amenazas a la ciberseguridad habían causado preocupación.

La mayor parte de las interrupciones se debían a fallos de seguridad inevitables en las operaciones, que daban lugar a errores y mal uso por parte de empleados, terceros, proveedores y otros. 

Esta compañía de agua, estaba de acuerdo en que sus firewalls perimetrales eran importantes pero no serían suficientes, teniendo conocimiento de lo conectados que estaban ellos y sus proveedores. 

Utilizaban a terceros para las conexiones inalámbricas punto a punto a algunos sitios remotos, y su equipo de TI estaba cada vez más interesado en supervisar las operaciones. 

Tenían una breve lista de requisitos para comenzar la búsqueda de un socio tecnológico que les ayudara a subsanar los evidentes puntos débiles:

• La solución debía instalarse junto a los sistemas SCADA existentes (no sustituirlos).
• No debía requerir tiempos de inactividad.
• Que no introdujera cambios complejos que demanden mucho tiempo en sus redes y procesos existentes.
• Que fuera fácil de instalar y gestionar por el personal de operaciones, sin necesidad de recurrir a TI.
• Que pudiese proteger los activos contra el malware.
• Que fuera rentable.

SOLUCIÓN Y ACCIÓN

A mediados de 2019, las plantas comenzaron la instalación de los dispositivos de seguridad de Bayshore, comenzando con el OTfuse. 

Aunque el departamento de TI mantuvo los firewall perimetrales de las plantas y la DMZ, al equipo de operaciones les ha parecido apropiado el formato de carril DIN industrial construido adrede, lo que les ha permitido colocar la solución más cerca de los activos críticos, como en las estaciones de bombeo remotas.

Arquitectura de despliegue de referencia

En las primeras fases del despliegue, el equipo de ingeniería de la planta se ha sorprendido de que toda la implementación se realizara en menos de una hora sin que se produjera ninguna interrupción de la red. 

Tras operar en «modo de aprendizaje» durante 48 horas, han podido observado tráfico que no esperaban, incluida la actividad del protocolo OT nativo, el cual no sabían que estaba en la red.

Ahora, los OTfuses también protegen los sistemas críticos con conexiones directas a la sala de control central, informando del estado a través de las consolas de gestión HMI/SCADA, junto a otros factores críticos de funcionamiento de la planta.

BENEFICIOS Y PLANES DE EXPANSIÓN

Esta empresa de suministro de agua pudo desplegar rápidamente una fuerte seguridad y

aplicar políticas para sus PLC y otros equipos esenciales sin tener que cambiar los procesos o la arquitectura de la red.

Ahorro de costes

Evidentemente, la solución se implantó sin necesidad de realizar cambios en la red.

Hubo ahorros de costes por el beneficio inmediato de aumento de la ciberseguridad sin tener que recurrir a un proyecto significativo, coordinación interfuncional, tiempo de TI, tiempo de OT y posible tiempo de inactividad para la producción. 

Además, teniendo en cuenta lo que ahora se veía antes de los incidentes importantes, el equipo de ingeniería reconoció beneficios como:

• Mantener la seguridad y la disponibilidad de los sistemas de producción aplicando comportamientos coherentes relacionados con el acceso al PLC, funcionalidad, y programas de actualización.

• Eliminación de la necesidad de solucionar problemas por parte de personas y de los posibles costes de limpieza cuando ocurre algo inesperado. A la velocidad de la máquina, OTfuse puede imponer una protección automatizada, y aunque todavía puede haber una solución de problemas en cuanto a causa raíz, al menos los procesos continuarán inalterados y las investigaciones tendrán información de tráfico, alertas y registros de OTfuse.

• Esta organización contaba con escasos recursos humanos y mínimos conocimientos de ciberseguridad. Dependían de organizaciones externas y el tiempo de resolución podía llevar horas en algunos casos cuando se producía un incidente. La sala de control puede ahora centralizar ver y gestionar los recursos de la planta para la seguridad de los sistemas de control industrial.

• Cuando se producen incidentes de seguridad, como los programas maliciosos de rápida propagación, existen consecuencias que pueden evitarse, como los riesgos para la seguridad de las personas, el suministro y la distribución de agua, la opinión pública negativa, entre otras. OTfuse inspecciona automáticamente el tráfico en busca de malware y puede responder para proteger los activos de la infección.

Velocidad de despliegue

Esta empresa de suministro de agua pudo desplegar rápidamente una fuerte seguridad y aplicar políticas para sus PLC y otros equipos esenciales sin tener que cambiar sus procesos o su arquitectura de red. 

Incluso en escenarios en los que podrían haber descubierto una condición operativa no intencionada, dependía de que una de sus herramientas SCADA generara una alerta útil en la sala de control, y que un operador pudiese verlo lo suficientemente rápido como para deshacer la condición y restaurar las operaciones normales. 

Seguridad pública

Con la capacidad de OTfuse de proporcionar protección instantánea contra instrucciones no intencionadas, la instrucción errónea que podría haber contaminado dos millones de litros y provocado una advertencia de salud pública, habría sido bloqueada antes de que tomara cualquier acción en la parte relevante de la planta.

Mejora del proceso

La planta de agua, también ha experimentado una mejora en el proceso, ya que sólo no es necesario un aviso público, sino que tiene la oportunidad de comprender el origen de esa mala instrucción y tomar medidas para abordar y evitar ese riesgo en el futuro, sin la presión aplastante de los plazos de respuesta de emergencia.

Planes de expansión futuros

Tras el éxito de la prueba inicial, la empresa de suministro de agua/planta de tratamiento, ha presupuestado importantes fondos para los próximos cinco años con el fin de ampliar el despliegue de las soluciones de seguridad de Bayshore. 

Estas no solo incluirán la adición de OTfuse, sino también del NetWall, los cuales permitirán una mayor conectividad a los dominios protegidos para los datos del sistema SCADA a través de técnicas de replicación.

Solicita una reunión hoy mismo con nuestros expertos en ciberseguridad, y te brindaremos asesoramientos de las mejores herramientas para que tu industria esté mas protegida que nunca.