Proficy CSense: la solución inteligente para la industria del agua
El análisis predictivo es una técnica de minería de datos que utiliza algoritmos y...
Empresa del sector del agua del sur de Estados Unidos, brinda servicio a casi 500.000 hogares y empresas, utiliza dos instalaciones de tratamiento de agua separadas para proporcionar una capacidad combinada de casi 606 millones de litros procesados al día.
Las fuentes primarias de agua se extraen de dos lagos naturales que alimentan un gran embalse cercano.
La empresa comenzó una lenta pero exhaustiva actualización de su sistema SCADA, revisando las operaciones y procesos en más de 20 tanques de almacenamiento remotos y más de 20 bombas de refuerzo, todas ellas gestionadas desde una sala de control centralizada.
Tienen un entorno OT heterogéneo con una mezcla de equipos y software, además de firewall perimetrales.
Como muchos otros en la industria del agua, la arquitectura de la red de la planta permitía que cualquier operario obtuviera acceso a activos del entorno de producción.
Esto se consideraba esencial para mantener un buen funcionamiento, cuando se necesitaba una rápida solución a los problemas.
Las limitaciones presupuestarias y de personal hacían inviables los cambios a gran escala, ya que supondría una solicitud de aprobación de cambios de tarifa, lo que siempre resultaba políticamente difícil.
La dirección se había centrado anteriormente en la seguridad física, pero la creciente incidencia de los programas maliciosos y otros tipos de amenazas a la ciberseguridad habían causado preocupación.
La mayor parte de las interrupciones se debían a fallos de seguridad inevitables en las operaciones, que daban lugar a errores y mal uso por parte de empleados, terceros, proveedores y otros.
Esta compañía de agua, estaba de acuerdo en que sus firewalls perimetrales eran importantes pero no serían suficientes, teniendo conocimiento de lo conectados que estaban ellos y sus proveedores.
Utilizaban a terceros para las conexiones inalámbricas punto a punto a algunos sitios remotos, y su equipo de TI estaba cada vez más interesado en supervisar las operaciones.
Tenían una breve lista de requisitos para comenzar la búsqueda de un socio tecnológico que les ayudara a subsanar los evidentes puntos débiles:
A mediados de 2019, las plantas comenzaron la instalación de los dispositivos de seguridad de Bayshore, comenzando con el OTfuse.
Aunque el departamento de TI mantuvo los firewall perimetrales de las plantas y la DMZ, al equipo de operaciones les ha parecido apropiado el formato de carril DIN industrial construido adrede, lo que les ha permitido colocar la solución más cerca de los activos críticos, como en las estaciones de bombeo remotas.
En las primeras fases del despliegue, el equipo de ingeniería de la planta se ha sorprendido de que toda la implementación se realizara en menos de una hora sin que se produjera ninguna interrupción de la red.
Tras operar en «modo de aprendizaje» durante 48 horas, han podido observado tráfico que no esperaban, incluida la actividad del protocolo OT nativo, el cual no sabían que estaba en la red.
Ahora, los OTfuses también protegen los sistemas críticos con conexiones directas a la sala de control central, informando del estado a través de las consolas de gestión HMI/SCADA, junto a otros factores críticos de funcionamiento de la planta.
Esta empresa de suministro de agua pudo desplegar rápidamente una fuerte seguridad y
aplicar políticas para sus PLC y otros equipos esenciales sin tener que cambiar los procesos o la arquitectura de la red.
Ahorro de costes
Evidentemente, la solución se implantó sin necesidad de realizar cambios en la red.
Hubo ahorros de costes por el beneficio inmediato de aumento de la ciberseguridad sin tener que recurrir a un proyecto significativo, coordinación interfuncional, tiempo de TI, tiempo de OT y posible tiempo de inactividad para la producción.
Además, teniendo en cuenta lo que ahora se veía antes de los incidentes importantes, el equipo de ingeniería reconoció beneficios como:
Velocidad de despliegue
Esta empresa de suministro de agua pudo desplegar rápidamente una fuerte seguridad y aplicar políticas para sus PLC y otros equipos esenciales sin tener que cambiar sus procesos o su arquitectura de red.
Incluso en escenarios en los que podrían haber descubierto una condición operativa no intencionada, dependía de que una de sus herramientas SCADA generara una alerta útil en la sala de control, y que un operador pudiese verlo lo suficientemente rápido como para deshacer la condición y restaurar las operaciones normales.
Seguridad pública
Con la capacidad de OTfuse de proporcionar protección instantánea contra instrucciones no intencionadas, la instrucción errónea que podría haber contaminado dos millones de litros y provocado una advertencia de salud pública, habría sido bloqueada antes de que tomara cualquier acción en la parte relevante de la planta.
Mejora del proceso
La planta de agua, también ha experimentado una mejora en el proceso, ya que sólo no es necesario un aviso público, sino que tiene la oportunidad de comprender el origen de esa mala instrucción y tomar medidas para abordar y evitar ese riesgo en el futuro, sin la presión aplastante de los plazos de respuesta de emergencia.
Planes de expansión futuros
Tras el éxito de la prueba inicial, la empresa de suministro de agua/planta de tratamiento, ha presupuestado importantes fondos para los próximos cinco años con el fin de ampliar el despliegue de las soluciones de seguridad de Bayshore.
Estas no solo incluirán la adición de OTfuse, sino también del NetWall, los cuales permitirán una mayor conectividad a los dominios protegidos para los datos del sistema SCADA a través de técnicas de replicación.
Solicita una reunión hoy mismo con nuestros expertos en ciberseguridad, y te brindaremos asesoramientos de las mejores herramientas para que tu industria esté mas protegida que nunca.