Introdução à Segurança Cibernética Industrial

Escrito por Maximillian G. Kon, Managing Director da WisePlant e adaptado pela Aquarius Software.

A Segurança Cibernética Industrial (ICS – Industrial CyberSecurity) trata da análise dos riscos e vulnerabilidades que integram ambientes industriais e de produção, além de identificar as ações a serem implementadas para mitigar esses riscos.

A terminologia sistema de controle refere-se de forma genérica ao hardware, firmware, comunicações e softwares que se encarregam de supervisionar e controlar as funções vitais dos sistemas físicos industriais.

Neste contexto, os ataques à Segurança Cibernética Industrial são definidos como a invasão dos sistemas de controle por qualquer via de comunicação, de forma a manipular os processos controlados com a intenção de causar dano ou de interromper suas operações. Os ataques contra os sistemas de controle podem resultar na interrupção de serviços, ocasionar danos físicos, perda de vidas, prejuízos econômicos severos e/ou efeitos em cascata causando a interrupção de outros serviços.

As principais diferenças entre os sistemas de controle e as soluções de TI estão relacionadas ao fato de que a lógica de controle tem um efeito diferente sobre o mundo físico, pois pode afetar significativamente a saúde e a segurança de pessoas e de recursos naturais, bem como impactar custos por perdas de produção, reduzir produtividade e comprometer a confidencialidade de informações e a propriedade industrial.

Os sistemas de controle possuem características e requerimentos muito pouco convencionais para os profissionais de TI quanto a rendimentos, confiabilidade e aplicações. Em muitos casos, os requerimentos de confiabilidade e eficiência colidem com a segurança desde a etapa de desenho, passando pela operação e manutenção destes sistemas.

As ameaças podem ter diferentes origens. As ameaças externas podem ser originadas por hackers, concorrentes, terroristas ou empreiteiros. Entre as ameaças internas podemos relacionar empregados insatisfeitos, erros acidentais como configurações incorretas, indefinições nos procedimentos, software infectado com vírus, erros na inserção de informações nos sistemas, etc.

Segurança Cibernética Industrial

A Segurança Cibernética Industrial tem a função de analisar os riscos e vulnerabilidades existentes nos sistemas de informática e tecnologia que integram as áreas de manufatura e determinar as ações que devem ser adotadas para reduzir os níveis de risco de acordo com as políticas de segurança definidas pela empresa de forma contínua e ininterrupta.

Ainda que a necessidade de obter e garantir certos níveis pré-estabelecidos de segurança não seja novidade para as empresas, a dinâmica própria introduzida pela chegada e identificação de novos riscos e vulnerabilidades requer, em muitos casos, a implantação de uma estratégia de Segurança Cibernética Industrial.

A estratégia de Segurança Cibernética Industrial é dinâmica, assim como a estratégia de negócios e de produção. A valorização dos ativos e o interesse por parte dos hackers também são dinâmicos. Portanto, as ações de mitigação de riscos também devem ser. Dificilmente os critérios de segurança utilizados há 10 anos, mesmo que bem estabelecidos, continuam sendo suficiente­mente úteis nos dias de hoje.

Infraestrutura Crítica

A infraestrutura crítica reúne todos os elementos ou serviços básicos cujo funcionamento é indispensável; isto é, que não podem ser substituídos e não permitem soluções alternativas. Esses serviços são essenciais para a população e sua perturbação ou destruição tem um grave impacto no desenvolvimento normal da vida social de um país.

De forma geral, a infraestrutura crítica é materializada em serviços do país, como saúde, transporte, administração política, tecnologias de comunicação e de informação, e de maneira particular, os sistemas de água potável e eletricidade.

Em outras palavras, o bem-estar da população está intrinsecamente vinculado ao acesso permanente e contínuo a esses serviços fundamentais, sem os quais a integridade física da vida humana e dos bens materiais que estão associados é colocada em risco. Mais do que isso, é onde a confiança sociopolítica da população nas autoridades se instala.

É certo afirmar que existem empresas dos setores público e privado cujos Sistemas de Controle de Automação Industrial – IACS (Industrial Automation Control Systems) formam parte vital das infraestruturas críticas e por este motivo a ISA (The International Society of Automation) desenvolveu a norma ISA99, também conhecida como IEC 62443, para ser aplicada em todas as áreas industriais.  Estes conceitos serão abordados posteriormente neste documento.

Fica a critério de cada país, e de seus órgãos dedicados à segurança, definir sua Política de Segurança Cibernética e suas prioridades. De maneira geral podemos assumir que, entre outras, são Infraestruturas Críticas:

  • Administração
  • Água
  • Alimentação
  • Energia
  • Indústria Química
  • Indústria Nuclear
  • Saúde
  • Sistema Financeiro e Tributário
  • Tecnologias de informação e Comunicação (TICs)
  • Transporte

Introdução aos Sistemas Industriais de Controle, segundo a denominação da ISA99

Quando foram criados, os sistemas de controle tinham poucas similaridades com as soluções de TI. Eram sistemas isolados, com sistemas operacionais e protocolos de comunicação próprios, que utilizavam hardware e software específicos. Tradicionalmente, estes sistemas eram desenhados unicamente para garantir sua confiabilidade, robustez, disponibilidade de funcionamento, operação e segurança das pessoas e do meio ambiente. Mas não eram desenhados tendo em conta a Segurança Cibernética.

Para permitir a integração corporativa e as funcionalidades de acesso remoto, os sistemas de controle incorporaram as tecnologias e padrões de TI, incluindo sistemas operacionais e protocolos de comunicação. Esta integração oferece uma enorme quantidade de novas funcionalidades e capacidades mas, ao contrário das décadas anteriores, tem muito pouco do isolamento dos sistemas de controle no que se refere ao mundo exterior, aumentando assim a necessidade de proteção.

Os sistemas SCADA (Supervisory Control and Data Acquisition) são utilizados em grande quantidade de aplicações industriais e de Infraestruturas Críticas, tais como transmissão e distribuição de energia elétrica, supervisão de poços de extração de gás e petróleo, supervisão e operação de gasodutos e polidutos, dentre outras. Na figura 1 é possível ver um exemplo de arquitetura de um Sistema SCADA, na qual as distâncias entre as plantas 1, 2 e 3 frequentemente são significativas. Nesses casos, a infraestrutura de comunicações utilizada pelos sistemas SCADA deve ser adequada, condizente com a largura de banda disponível e o consumo energético dos equipamentos deve permitir operação ocasional com sistemas de baterias, entre outras características próprias destes sistemas.

Fig. 1 – Exemplo de arquitetura

 

Outro exemplo de arquitetura pode ser observado na Figura 2. Neste caso, são utilizadas redes do tipo LAN/WAN de velocidade muito alta, com os fluxos de dados e de informação muito maiores. É desejável que estas redes de dados tenham um comportamento determinístico, garantindo o tempo de envio e recepção das mensagens e pacotes de dados, já que nos sistemas de controle as demoras são inaceitáveis.

Esta arquitetura é utilizada em uma grande quantidade de aplicações, como por exemplo, em centrais de geração de energia elétrica (térmicas, hídricas, nucleares, etc), refinarias e destilarias de petróleo, plantas de processamento químico e petroquímico, minérios, alimentos, farmacêuticas e muitas outras.

 

Fig. 2 – Exemplo de Arquitetura

 

 

Incidentes típicos em sistemas de controle

Alguns dos incidentes mais comuns nos sistemas de controle são:

  • Fluxo de informação por meio das redes de comunicação bloqueado ou demorado, o que pode ocasionar interrupções na operação do sistema.
  • Comandos, mudanças não autorizadas em instruções ou alteração dos limites de alarmes, com potencial de causar danos, desabilitar ou apagar configurações de equipamentos.
  • Informação incorreta enviada aos operadores, tanto para autorizar mudanças não adequadas quanto para induzir o operador a tomar ações equivocadas.
  • Modificação das configurações do hardware e software, ou software infectado com vírus, com diversas consequências.
  • Interferências nos sistemas de segurança, o que pode colocar em risco a vida e os recursos naturais.

Objetivos de segurança em sistemas de controle

Os objetivos e as necessidades de proteção mais comuns em Sistemas de Controle são:

  • Restringir o acesso lógico às redes de comunicação dos sistemas de controle bem como a sua atividade.
  • Restringir o acesso físico às redes de comunicação e aos seus equipamentos e dispositivos.
  • Proteger os componentes individuais dos sistemas de controle contra exploração e uso por parte dos atacantes.
  • Manter o sistema em funcionamento, mesmo em situações adversas.

 

Ações típicas de Segurança em Sistemas de Controle

As ações de segurança sobre os sistemas de controle podem ser diversas. A listagem abaixo contém uma compilação das ações típicas que podem ser adotadas em sistemas de controle. Uma estratégia de Segurança Cibernética Industrial incorpora normalmente as seguintes atividades:

  • Analisar e compreender os riscos de Segurança Cibernética Industrial, através de uma análise de riscos, identificando e avaliando os sistemas existentes, suas características técnicas e funcionalidades, entendendo ameaças, impactos e vulnerabilidades.
  • As soluções nos Sistemas de Controle não recaem somente sobre questões técnicas, mas também sobre questões operacionais e comportamentais. Assim, é importante atentar às questões de procedimentos e controle de mudanças, definir políticas de segurança, criar material educativo, etc.
  • Manter a segurança em todo o Ciclo de Vida do Sistema de Controle, incluindo engenharia, projeto, compra, configuração, integração, manutenção, etc. Realizar testes de invasão durante as fases de TAF (Teste de Aceitação em Fábrica) e TAC (Teste de Aceitação em Campo), antes de serem instalados e lançados.
  • Implantar uma topologia de rede em múltiplas camadas, separando-as por zonas de acordo com a origem das comunicações mais críticas e colocando-as nas zonas mais protegidas.
  • Adotar arquiteturas redundantes, a prova de falhas, para os sistemas mais críticos e definir capacidades de resposta frente aos riscos.
  • Desabilitar pontos de comunicação em desuso e assegurar-se de que não possam causar impactos na segurança do Sistema de Controle. Proteger as conexões sem fio.
  • Instalar sistemas de detecção de vírus nos computadores dos sistemas de controle, de acordo com a recomendação dos fabricantes.
  • Identificar os pontos de acesso remoto aos sistemas de controle e de informação da produção. Assegurar-se de que haja uma justificativa de negócio válida para que esse acesso exista e realizar auditorias frequentes para assegurar-se de que não existem acessos não autorizados. Restringir o acesso remoto a máquinas específicas. Realizar auditorias em terceiros que possuam autorização para o acesso.
  • Restringir o acesso físico aos equipamentos e dispositivos para assegurar que não existe acesso não autorizado.
  • Restringir o acesso lógico e os direitos de acesso dos diferentes usuários dos sistemas. Implantar sistemas de autenticação de credenciais necessárias e adequadas. Revisar os direitos com regularidade e criar os procedimentos necessários para uma adequada manutenção baseada na definição de regras e responsabilidades.
  • Documentar a infraestrutura de sistemas nos ambientes industriais. Assegurar o acesso e prover as restrições adequadas.

Existem diversos tipos de segurança. Este artigo aborda a Segurança Cibernética Industrial, mas também existem Segurança Informática Comercial, Sistemas Instrumentados de Segurança, Segurança de Acesso, Segurança Ambiental, Segurança da Informação e outras questões relacionadas, não exploradas nesta análise.

Conceitos de Segurança Cibernética Industrial e ISA99

A Segurança Cibernética Industrial é responsável por analisar os riscos e vulnerabilidades nos sistemas que integram as áreas industriais e de infraestruturas críticas e determinar as ações para reduzir os níveis de riscos.

Normas de Segurança Cibernética

Em níveis metodológicos e de procedimentos foram surgindo padrões, inovações, soluções e melhores práticas para a implantação de estratégias de Segurança Cibernética Industrial mais eficientes. Neste sentido, a organização ISA avançou consideravelmente ao desenvolver a norma ISA99, no âmbito industrial. As equipes responsáveis pela Segurança Cibernética devem ser formadas por: um membro da equipe de TI da empresa, um engenheiro de controle de processos e especialistas em redes de dados e segurança, pelo menos um membro ou representante da gerência geral e um membro do departamento de segurança física e ambiental.

Ativo

Um ativo é qualquer pessoa, ambiente, instalação, material, equipamento, informação, reputação ou atividade que tem um valor positivo para o seu negócio ou do seu concorrente. Os ativos podem ser classificados em tangíveis ou intangíveis. Um dos principais objetivos da análise de um sistema de gestão de riscos consiste em identificar os ativos críticos para a empresa, que são basicamente os ativos tangíveis ou intangíveis que se encontram em risco.

Ameaça

Ameaça é qualquer circunstância ou evento com potencial de causar a perda ou dano a um ativo. Um dos principais objetivos de um sistema de administração de riscos consiste em identificar as ameaças, sejam elas externas, internas ou acidentais.

Vulnerabilidade

Vulnerabilidade é qualquer deficiência que pode ser explorada por um intruso para conseguir acesso a um ativo. Um dos principais resultados e finalidade de um sistema de gestão de riscos consiste em eliminar ou reduzir as vulnerabilidades, de forma que a empresa não fique exposta a possíveis ameaças.

Consequência

Consequência é a quantidade de perda ou dano esperado como resultado de um ataque realizado contra um ativo. As perdas podem ser monetárias, políticas, morais, de eficiência, de operação ou outras.

Risco

Risco é o potencial de perda ou dano a um ativo.


Ação de Segurança

Ação de Segurança é uma ação tomada ou uma capacidade incorporada, cujo principal propósito consiste em reduzir ou eliminar uma ou mais vulnerabilidades.

Os sistemas industriais possuem características particulares muito diferentes dos sistemas corporativos, como observamos na Tabela 1.

Temas e questões relacionadas a Segurança Cibernética Sistemas e Soluções das Tecnologias da Informação e Comunicações (TICs) Sistemas de Controle
Antivirus – Código Móvel Comum e amplamente utilizado. Pouco comum e impossível de implementar adequadamente.
Ciclo de vida e suporte da tecnologia 2 a 3 anos e suportados por múltiplas empresas, sócios e representantes. Até 20 anos e suportado unicamente pelo fabricante do sistema. Respostas disponíveis por 10 anos.
Terceirização Comum e amplamente utilizada. As operações podem ser terceirizadas, mas não é diversificada em vários operadores.
Aplicação de pacotes de correção (patches) Regular e Programada. Raro, não é programada e depende do fabricante.
Administração de mudanças Regular e Programada. Altamente gerenciada e muito complexa.
Conteúdo crítico em tempo Geralmente as demoras são aceitáveis. As demoras são inaceitáveis.
Disponibilidade Geralmente as demoras são aceitas. 24x7x365 contínuo e demoras inaceitáveis. Pode ser exigida disponibilidade de 99,999998%.
Segurança Moderada, tanto no setor público quanto no privado. Baixa, exceto na segurança física.
Auditorias e Testes de Segurança Parte de um bom programa de segurança. Testes ocasionais.
Segurança Física Ambientes Seguros (salas de computadores e servidores, etc.). Plantas remotas, diferentes e com ambientes muito agressivos para os equipamentos (temperaturas, ruídos, vibrações, gases, ácidos, etc.).

 

Tabela 1: Comparação entre Sistemas Corporativos e Sistemas Industriais

Ciclo de Vida de um Sistema de Segurança Cibernética Industrial

O ciclo de vida de um sistema de Segurança Cibernética Industrial inclui as seguintes etapas e atividades:

  • Definir os objetivos da estratégia de Segurança Cibernética.
  • Identificar e reconhecer os sistemas existentes.
  • Concluir uma análise de riscos.
  • Desenhar e/ou selecionar mecanismos de diminuição
    de riscos.
  • Implementar as ações de segurança.
  • Medir as ações de segurança.
  • Realizar testes de instalação.
  • Realizar testes de resultados pós-implementação.
  • Finalizar as medições das operações de segurança.
  • Gerar mecanismos para relatar situações.
  • Auditar periodicamente o funcionamento das medidas de segurança.
  • Reavaliar as medidas e as ações de segurança implantadas.

 

As seguintes fases ilustram os passos que devem ser adotados na gestão de serviços de segurança industrial e que fazem parte dos requisitos da norma ISA99 série CSMS (CyberSecurity Management System).

Conclusão

As ameaças à segurança das aplicações industriais são reais e não podem ser ignoradas. É imprescindível evitar tais ameaças, através da adoção das melhores práticas, baseadas em normas consolidadas, bem como adotar políticas que garantam que esse tema seja tratado com prioridade e continuidade, acompanhando a evolução tecnológica.

 

Sobre o Comitê de Segurança Cibernética ISA99

O Comitê ISA99 reúne os especialistas em Segurança Cibernética Industrial de todo o mundo para desenvolver os padrões para a Segurança Cibernética dos Sistemas de Automação Industrial e Sistemas de Controle.  O trabalho original e em progresso do comitê ISA99 está sendo utilizado pela IEC para a elaboração de multi-padrão da série IEC62443. Informações específicas do Comitê ISA99, bem como a lista dos seus membros estão disponíveis em www.isa.org/isa99/.

 

Sobre a WiseSecurity

A WiseSecurity é uma divisão independente da WisePlant, que faz parte das empresas do grupo WiseGroup. A WiseSecurity oferece serviços especializados de Segurança Cibernética a empresas líderes de tecnologia, usuários finais, organizações governamentais e integradores de sistemas.  A Empresa possui vasto conhecimento nas práticas de Segurança Cibernética Industrial. Seus fundadores, desde 2004 e 2006, já estavam certos de que os ambientes de Infraestrutura Crítica e os Sistemas de Chão-de-Fábrica iriam necessitar de atenção especializada e demandariam recursos chave no futuro. Este futuro é hoje! A WiseSecurity possui uma equipe multidisciplinar, com vasta experiência em Sistemas de Automação Industrial e também vasta experiência em Segurança Cibernética, padrões, guias e normas. Mais informações: www.wiseplant.com & www.wisesecurity.com.ar.

 

Sobre a ISA

Criada em 1945, a ISA – The International Society of Automation (www.isa.org) é uma organização global sem fins lucrativos que estabelece os padrões para a automação industrial, ajudando a mais de 300.000 membros e outros profissionais a superar dificuldades técnicas, incrementar sua liderança e desenvolver suas carreiras profissionais, por meio de educação e treinamento. A ISA publica normas, livros e artigos, além de organizar eventos e encontros técnicos. Na América do Sul é conhecida por ISA Distrito 4, com sede em São Paulo, Brasil. Mais informações em www.isadistrito4.org.br.

Comentar

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Captcha *

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>