En los últimos años, los ciberataques contra instalaciones de tratamiento de aguas residuales de EE. UU. han puesto de manifiesto lo vulnerable que puede ser la tecnología operativa. A principios de 2024, los atacantes accedieron de forma remota a los sistemas SCADA de varias ciudades de Texas, lo que incluso provocó el desbordamiento de un depósito de agua antes de que el personal recuperara el control. Un incidente similar en Tipton, Indiana, obligó a los operadores a pasar a un funcionamiento manual tras detectarse actividad irregular en los sistemas de la planta. Estos sucesos pusieron de manifiesto los riesgos de conectar la infraestructura de tratamiento a redes corporativas o conectadas a Internet y reforzaron la necesidad de que esta empresa de servicios públicos no transigiera en mantener sus sistemas de tecnología operativa (OT) aislados físicamente.
Donde la seguridad y la visibilidad se dan la mano
Comprensión de los datos del registro
Un AVEVA Historian es una base de datos industrial especializada diseñada para capturar y almacenar grandes volúmenes de datos de series temporales procedentes de sistemas de tecnología operativa (OT), como sensores, controladores y plataformas SCADA. A nivel de la instalación, un Historian local registra los datos de proceso (la información operativa sin procesar generada por los sistemas de control industrial y los sensores) para los operadores, lo que garantiza que puedan supervisar los equipos y las actividades de tratamiento en tiempo real.
Un sistema de registro de datos (Historian) de nivel 1 desempeña una función diferente: agrupa los flujos de datos de múltiples instalaciones, lo que proporciona a los equipos de la empresa una visión consolidada para la elaboración de informes, el análisis y la planificación. El reto surge cuando es necesario trasladar los datos desde estos sistemas de registro locales al nivel empresarial sin abrir una vía de retorno hacia los sistemas críticos de tecnología operativa (OT).
El reto del intercambio Secure
En una de sus instalaciones, la empresa de servicios públicos necesitaba enviar datos desde un sistema AVEVA Historian local a un sistema Historian de primer nivel dentro de su red corporativa. Estos datos eran fundamentales para la supervisión y la elaboración de informes a nivel corporativo, pero la conexión a Internet de la red corporativa hacía que la integración directa no fuera segura.
Era fundamental mantener aislados los sistemas de operaciones (OT), ya que cualquier vía de acceso al entorno de control podía constituir una vía de ataque. Al mismo tiempo, mantener aislados los sistemas de registro de datos limitaba la capacidad de la organización para compartir información entre las distintas sedes y mejorar la eficiencia. El reto consistía en alcanzar ambos objetivos: mantener una separación estricta y, al mismo tiempo, permitir la visibilidad en tiempo real.
Los cortafuegos y otras herramientas de software no eran suficientes. No podían garantizar una comunicación unidireccional, requerían un mantenimiento continuo y seguían dejando los activos críticos expuestos a riesgos. Por ello, la organización necesitaba una solución que garantizara el aislamiento físico y, al mismo tiempo, permitiera la salida de los datos esenciales.
Creación de una Secure para los datos en tiempo real
La empresa de servicios públicos recurrió a OPSWAT implementó MetaDefender Optical Diode Fend) junto con la plataforma de software eRIS. eRIS es una herramienta de gestión de datos y generación de informes muy utilizada en el sector del agua para traducir y transmitir datos de Historian de forma segura, lo que la convierte en la opción ideal para esta implementación.
MetaDefender Optical Diode Fend) es un dispositivo de ciberseguridad basado en hardware que utiliza aislamiento óptico para garantizar una comunicación unidireccional. Por su diseño, bloquea físicamente cualquier tráfico entrante para impedir el acceso remoto o la infiltración de malware, y sus protecciones integradas contra denegación de servicio, manipulación y fluctuaciones de tensión ayudan a garantizar que los datos del Historian sigan fluyendo de forma fiable incluso en condiciones de estrés.
Así es como se llevó a cabo la implementación:
- Instalación de eRIS: el software eRIS se instaló como un servicio de Windows en el servidor OT AVEVA existente, lo que permitió convertir los datos de Historian a un formato unidireccional.
- Aislamiento óptico: A continuación, los datos se transmitían de forma segura a través delOptical Diode MetaDefender Optical Diode Fend), que garantizaba una transferencia unidireccional mediante aislamiento óptico a nivel de hardware.
- Compatibilidad con protocolos: El dispositivo es compatible de forma nativa tanto con protocolos informáticos estándar, como FTP, SFTP, TCP y UDP, como con protocolos industriales, como Modbus y BACnet, lo que lo hace ideal para la transferencia de datos a sistemas de registro histórico.
- Conversión empresarial: En el ámbito empresarial, el eRIS Hub volvió a convertir la información al formato AVEVA y la preparó para su importación al sistema de registro de datos de nivel 1.
De los retrasos manuales a la información instantánea
Con la nueva arquitectura implantada, la empresa de servicios públicos ya no tuvo que elegir entre visibilidad y seguridad. Los operadores de la planta de tratamiento podían ver cómo los datos aparecían en el sistema de registro histórico de la empresa casi al instante, con la seguridad de que nada podría filtrarse nunca al entorno de control. Lo que antes requería soluciones provisionales minuciosas (recopilación manual, informes diferidos) ahora se realizaba de forma automática, lo que proporcionaba a los equipos de operaciones y de la empresa confianza en la información que utilizaban a diario.
Ventajas principales
Ahorro de tiempo en las operaciones diarias: en lugar de esperar a que los datos se recopilen y compartan manualmente, el personal podría contar con un flujo constante de información lista para su análisis.
Tranquilidad para los equipos de seguridad: gracias a la transferencia unidireccional garantizada por el hardware, incluso si la red de la empresa se veía comprometida, los sistemas de tecnología operativa (OT) permanecían a salvo.
Mayor visibilidad en toda la organización: los equipos de la empresa obtuvieron la visibilidad que necesitaban sin perturbar ni sobrecargar al personal de las instalaciones.
Fácil de replicar en otras instalaciones: gracias a una implementación sencilla y de bajo mantenimiento, la empresa de servicios públicos podría replicar el mismo modelo en otras instalaciones siempre que fuera necesario.
Por primera vez, la organización pudo tener una visión completa de sus operaciones en tiempo real, sabiendo al mismo tiempo que sus sistemas más críticos seguían protegidos por un auténtico aislamiento físico.
Construyendo un futuro con operaciones de Secure
Ahora que se han implantado transferencias seguras de datos del sistema de registro histórico, la empresa de servicios públicos está en condiciones de ampliar ese mismo modelo a otras áreas de sus operaciones. Se pueden integrar en la red corporativa nuevas instalaciones de tratamiento, estaciones de bombeo y sistemas de monitorización sin exponer los entornos de tecnología operativa a amenazas externas.
Esta implementación sienta además las bases para la adopción de nuevas prácticas de análisis y cumplimiento normativo. Los equipos de las empresas pueden aprovechar flujos de datos fiables y en tiempo real para mejorar la elaboración de informes, facilitar el mantenimiento predictivo y responder con mayor rapidez a los cambios operativos. Al mismo tiempo, los sistemas de tecnología operativa (OT) siguen estando protegidos por un aislamiento garantizado por el hardware, lo que protege los servicios esenciales frente al tipo de ciberataques que han afectado a las instalaciones de agua y aguas residuales en todo Estados Unidos.
Al combinar la visibilidad en tiempo real con una seguridad sin concesiones, la empresa de servicios públicos ha creado un enfoque que no solo satisface las necesidades actuales, sino que también está preparado para las futuras exigencias en materia de protección de infraestructuras críticas.
Descubre cómo MetaDefender Optical Diode Fend) puede proteger tus instalaciones y, al mismo tiempo, mantener los sistemas esenciales aislados de forma segura.
