Cibersegurança OT e backup em 5 unidades produtivas

Grupo industrial com cinco unidades produtivas na península, cada uma com a sua própria rede OT, implementada ao longo dos últimos vinte anos por diferentes integradores. PLCs Siemens e Schneider ligados à mesma VLAN que as impressoras do escritório, SCADAs acessíveis a partir da rede corporativa sem autenticação e sistemas de controlo com Windows XP, impossíveis de atualizar por incompatibilidade com o equipamento de fábrica.

Com a entrada em vigor da diretiva NIS2 e um incidente de ransomware num concorrente do setor que parou uma linha durante 11 dias, a direção decidiu agir. O requisito era claro: isolar e proteger sem alterar a operação, sem paragens planeadas e mantendo a disponibilidade acima de 99,9%.

Implementámos o projeto em três fases coordenadas com a produção:

• Diagnóstico e mapeamento OT. Inventário completo de ativos industriais, unidade a unidade, identificação dos protocolos em uso (Modbus, Profinet, OPC-UA) e mapeamento das comunicações reais entre dispositivos.
• Segmentação com Fortinet. Desdobramento de FortiGate em cada unidade para criar zonas IT/OT separadas, seguindo o modelo Purdue. Regras explícitas por protocolo industrial, monitorização com FortiAnalyzer e bloqueio por defeito de qualquer comunicação não registada.
• Continuidade e backup imutável. Backup Veeam com repositório imutável fora da unidade e plano de recuperação testado para os sistemas SCADA críticos. Documentação operacional preparada para auditoria NIS2.

Cada unidade foi intervencionada em janelas de mudança coordenadas com o responsável de produção. O desdobramento foi realizado sem parar qualquer linha.

Após a implementação, mantemos o contrato de serviços geridos com equipas em regime 24/7 para os ambientes OT críticos e revisão trimestral da postura de segurança.