Edição 231 - Controle & Instrumentação

Revista Controle & Instrumentação – Edição nº 231 – 2017

¤ Cover Page

Temperatura e pressão: especififi cação, tendências e mercado

Assunto do momento, a Indústria 4.0 só será possível porque o seu próprio conceito é a evolução natural da aplicação das tecnologias para aumentar produtividade de maneira efi ciente e conectada, de forma customizada. Mas a maioria das ferramentas que nos levarão até lá já estão há anos nas indústrias que, de uma forma ou de outra, vem buscando aumentar a velocidade de processamento dos dados.

	“Em essência, a automação nas indústrias permite elevar os níveis de continuidade e de controle global do processo com maior eficiência, aproximar ao máximo a produção real à capacidade nominal da planta, ao reduzir ao mínimo possível as horas paradas, de manutenção corretiva e a falta de matéria-prima. Quanto mais informação, melhor uma planta pode ser operada e mais lucrativa pode ser. A informação digital e os sistemas verdadeiramente abertos permitem que se colete informações dos mais diversos tipos e finalidades de uma planta, de uma forma interoperável como ninguém jamais imaginou e neste sentido, com as tecnologias se pode transformar preciosos bits e bytes em um relacionamento lucrativo e obter também um ganho qualitativo do sistema como um todo”, pontua o engenheiro Mario Sergio Corcioli, consultor sênior em automação com 40 anos em automação na Petrobras que ressalta que o mero uso de equipamentos inteligentes por si só não garante absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. “Além disso, deve-se ter em mente toda a questão do ciclo de vida de um SIS. Deve-se evitar fazer uso de dispositivos inteligentes certificados cuja tecnologia não se conhece, bem como acreditar cegamente em todos os relatórios de certificação, sem considerar quem é o organismo de certificação. Some-se às tradicionais preocupações de segurança, as novas ameaças cibernéticas que colocam em risco pessoas, propriedades, meio ambiente e continuidade de negócios”.
O que se começa a perceber é que esse mar de sensores, softwares, instrumentos inteligentes e browsers abrem as portas a visitantes indesejáveis – vírus, malwares, hackers. A maior conectividade pede uma abordagem nova, segura. Porque a indústria é o alvo agora. O aumento da incidência de ataques cibernéticos e ameaças à segurança das redes gerou crescimento dos investimentos relacionados às tecnologias inteligentes, segurança dos sistemas de controle industrial (ICS) – que ajudam no monitoramento de processos industriais, como o petróleo e gás, energia nuclear, transmissão de energia e distribuição, fabricação, química e outras indústrias. O assunto é tão importante que o relatório Industrial Control System Security Market (2017-2023), da Research and Markets, estima que o mercado atingiria os US$ 13 bilhões até 2023, crescendo a uma taxa de 6,1% a.a. nesse período.



É assunto diário na esfera pública e privada. Documento do Comitê Gestor de Segurança da Informação traça o diagnóstico e as metas da segurança digital no Brasil entre 2015 e 2018. E, se estamos atrasados – também – nas políticas integradas de cybersegurança, 2017 mostrou para as empresas e sociedade a relevância do assunto. A preocupação institucional começou, de fato, no início dos anos 2000, quando se instituiu o que seria o CGSI – Comitê Gestor de Segurança da Informação, atrelado ao Conselho de Defesa. O “Mapa Estratégico da Segurança da Informação e da Cybersegurança 2015-2018” detalha as atribuições específicas dos vários órgãos de Estado envolvidos na questão de segurança digital e descreve os mecanismos disponíveis para a participação da sociedade – empresas, universidades, cidadão e órgãos da comunidade – na elaboração dessas políticas. O Mapa também ressalta a importância de fortalecer o conhecimento acadêmico e o know-how industrial, além da adoção pelo Estado de redes privativas de comunicação digital para as comunicações mais sensíveis. E mostra que o Brasil precisa agilizar os esforços para tornar realidade a cybersegurança. O documento utiliza dados segundo os quais 80% das redes dos órgãos públicos e empresas estatais apresentam falhas em mecanismos de continuidade dos negócios, 70% tem falhas no controle de acesso, 75% na gestão de incidentes e 85% tem falhas na gestão de riscos. E ainda, apenas 50% tem um responsável pela segurança da informação e 54% dispõe de normas internas para backup de dados. E como anda a iniciativa privada?

Ronaldo Ribeiro, gerente de TI e Telecom da Cenibra, lembra que não existe um órgão especificamente para tratar de segurança em sistemas industriais, apenas o CERT – Centro de Estudos, Resposta e Tratamento de Incidente de Segurança no Brasil, que trata da segurança da internet brasileira de maneira geral. O ICS-CERT trabalha em parceria com o US-CERT, o equivalente ao CERT.br no Brasil.

“O CERT.br é um grupo para responder aos incidentes de segurança da Internet brasileira, mantido pelo NIC. br – Núcleo de Informação e Coordenação do Ponto br, do Comitê Gestor da Internet no Brasil (CGI). É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira. É um ponto central para notificações de incidentes de segurança no Brasil, provendo a coordenação e o apoio no processo de resposta a incidentes e, quando necessário, colocando as partes envolvidas em contato. Também atua através do trabalho de conscientização sobre os problemas de segurança, da análise de tendências e correlação entre eventos na Internet brasileira, e do auxílio ao estabelecimento de novos CSIRTs no Brasil”, explica Ronaldo.

As atividades conduzidas pelo CERT.br fazem parte das atribuições do CGI.br de estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil; promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para a segurança das redes e serviços de Internet, bem como para a sua crescente e adequada utilização pela sociedade; ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet.

“Encontra-se em processo de aprovação a ‘Política Nacional de Segurança Cibernética (Cybersegurança)’, elaborada pelo Gabinete de Segurança Institucional da Presidência da República, que deve ser sancionada no primeiro semestre de 2018, e que define inclusive a criação de uma agência nacional de cybersegurança. A iniciativa é para suprir a necessidade de integração e de coordenação das ações de segurança da informação no país”, acrescenta Ronaldo.

Alexandre Peixoto, Cybersecurity Evangelist for Industrial Control Systems, Networking Solutions da Emerson, lembra do Centro de Defesa Cibernética (CDCiber), vinculado ao Ministério da Defesa do Exército Brasileiro, o Serviço de Repressão a Crimes Cibernéticos (SRCC), vinculado à Polícia Federal do Brasil, e também o Serviço Federal de Processamento de Dados (Serpro), que atuam nesse setor, mas em questões gerais de cybersegurança. “O Brasil ainda carece de regulamentações específicas para cibersegurança, em especial relacionadas a empresas consideradas críticas, como as de infraestrutura nacional. Importante lembrar que, apesar da barreira da língua, o time de respostas emergenciais aos eventos cibernéticos relacionados a sistemas de controle industrial (da sigla em inglês: ICS-CERT) fornece auxílio à comunidade de automação em nível global através do site https://ics-cert. us-cert.gov/, que diariamente reporta vulnerabilidades específicas a sistemas de controle oriundas dos próprios fornecedores, ou mesmo de pesquisadores, com o intuito de torná-las de conhecimento público, incluindo a maneira de mitigar as deficiências dos produtos. Isso tudo ajuda a proteger ainda mais as plantas industriais que são hoje controladas por estes mesmos sistemas de controles industriais”.

André Nadais, gerente de marketing da Endress+Hauser, conta que “além das organizações de segurança tradicionais, como o TÜV e o IEC, alinhamos nosso desenvolvimento com associações como a Profibus International, a ODVA e a FieldCom, que definem os padrões industriais para aumentar a segurança e interoperabilidade da tecnologia.”

Giovane Pucci, gerente de contas industriais estratégicas (KICS) da Karpesky, ressalta que o CERT atende qualquer rede brasileira conectada à Internet e costuma registrar os incidentes reportados a eles. Além disso, órgãos governamentais, como o CDCIBER, costumam registrar, catalogar e responder por incidentes dentro da rede do governo brasileiro. “A troca de experiências existe e é sempre válida, especialmente entre fabricantes de segurança. E ganha importância na medida em que, atualmente, temos uma colisão do mundo TA (Tecnologia de Automação) com o mundo TI (Tecnologia da Informação) e os novos stakeholders compõem por CxO + TA + TI”.

Paulo Argolo, gerente da Yokogawa, reflete que a fusão da TO – Tecnologia Operacional, e da TI – Tecnologia da Informação, trouxe grandes benefícios para as operações da planta, mas, ao mesmo tempo, ataques cibernéticos em redes de plantas apresentam uma das ameaças mais prementes para uma organização. “Com a crescente utilização das tecnologias da informação e comunicação na área industrial, essa é uma realidade a ser enfrentada pelo governo, empresas e indústrias no país”.

“Segurança deve estar presente em todos os níveis, começando com a definição de guias e regras, o adequado nível de treinamento das pessoas em contato com a informação, a implementação de um sistema físico que proteja a rede e os equipamentos, a segregação de áreas restritas. É responsabilidade de todos”, diz Nadais.

Corciolli conta que os fornecedores disponibilizam segurança por criptografia avançada baseada em padrões, bem como autenticação, verificação, gerenciamento de chaves e técnicas anti-jamming. Os fornecedores indicam a necessidade de criar um plano de cybersegurança de forma a bloquear acesso, monitorar serviços, corrigir ameaças, contingenciar falhas e auditar mudanças. Entretanto, as preocupações e desafios para implantação desse plano são enormes. Mas não se pode parar por aí. “Esse novo cenário reforça a necessidade de elaborar um bom sistema de gestão de segurança com camadas de proteção para evitar falhas. Muitos recomendam uma plataforma de segurança independente das plataformas do sistema de controle de processo, porque o uso de diferentes tecnologias aumenta significativamente o esforço necessário de invasão ou falha – e facilita a manutenção”.

Marcílio Pongitori, presidente da ISA seção Campinas, conta que se verifica hoje em dia que algumas empresas estão tomando iniciativas sobre cybersegurança sem a criação de departamentos que incluam a área industrial. “Salvo raras exceções, quando abordamos este assunto, o primeiro pensamento está associado a TI; quando enfocamos a necessidade dessa atenção na parte de automação, quase sempre não encontramos interlocutores com conhecimento sobre o assunto”.

“Apesar de ser necessária uma área específica para conceber e implementar o programa de cybersegurança na empresa, ela é responsabilidade de todos. A responsabilidade não pode ficar concentrada apenas nos mantenedores da infraestrutura, pois a cadeia de pessoas envolvidas nos processos corporativos cria diversos elos de vulnerabilidade que, apenas se fortalecidos, podem garantir a proteção dos ambientes internos”, Renata Valente de Araújo, executiva de Segurança da Informação Industrial e Tecnologia da Automação da Braskem, destaca, ainda, que, para garantir cybersegurança em plantas greenfield devem existir políticas e padrões previamente definidos, para que o projeto seja concebido desde as primeiras etapas com sólidos controles de cybersegurança. No caso dos sistemas legados, podem ser adotadas medidas paliativas que melhorem o nível de proteção, até que seja possível realizar investimentos em atualização dos sistemas, contemplando os requisitos de segurança desejados. No contexto atual de ameaças cibernéticas, uma análise de risco completa deve sempre contemplar considerações em cybersegurança, inclusive estudos como LOPA e HAZOP, ferramentas mais efetivas para a priorização de controles e direcionamento de investimentos em cybersegurança no ambiente industrial.

Ronaldo concorda: “a cyberbersegurança em plantas greenfield deve fazer parte do escopo global do projeto, e ser incorporada logo no início aos sistemas de automação e controle, de forma alinhada com os fornecedores dos sistemas digitais, pois, vários não são compatíveis com a grande maioria dos antimalwares. Então, é necessário desenvolver em conjunto com os fornecedores um projeto que atenda aos requisitos de segurança, com visão em ferramentas modernas, assim exigir dos fornecedores que tenham homologadas ferramentas modernas de cybersegurança.

Com a necessidade de ter todo o parque industrial conectado, os riscos à cybersegurança aumentaram. Então, os sistemas legados precisam compor o planejamento de escalabilidade de forma a estarem incluídos nos novos projetos de aumento de parque industrial, embora isto não seja tarefa fácil para os fabricantes de sistemas de controle.

Giovane lembra que sempre os projetos devem se basear em normas como ISA-99, NIST, NERC CIP, IEC 62351, etc. “Além disso, a contração de uma empresa para prestação de consultoria tem um valor essencial neste processo. Passos básicos que devem ser seguidos são criar um plano de segurança, separar as redes, realizar a proteção de perímetro, segmentar as redes, fazer a proteção de dispositivos, manter tudo monitorado e atualizado.”

Renata conta que a proteção de sistemas legados pode ser provida por soluções de contorno que vão depender mais da arquitetura de rede do sistema do que propriamente do seu fornecedor. “A proteção em profundidade provida pelo modelo de defesa em camadas, onde são inseridas barreiras de tráfego entre as camadas de rede segmentadas conforme o modelo IEC 62443, é um bom exemplo deste tipo de medida. Atualmente, os fornecedores investem cada vez mais em soluções próprias de cybersegurança para seus sistemas. No entanto, ainda estamos aquém dos controles existentes no mercado de TI. E a indústria precisa conhecer suas principais vulnerabilidades para atestar a efetividade dessas soluções e aderência ao ambiente”.

Também a evolução dos sistemas elétricos para o formato “smat grid” (SG) trouxe a preocupação com a cyberbersegurança, pois os ataques cibernéticos podem trazer prejuízos incalculáveis para todo o sistema elétrico de uma indústria, cidade ou até mesmo país. E se as redes de distribuição não foram projetadas para atender os requisitos além do fornecimento de energia, então, são necessárias alterações para melhorar a segurança e dar mais tranquilidade aos usuários – industriais ou residenciais.

A experiência mostra que a cyberbersegurança pode mudar de marca para marca, pois cada sistema possui maior ou menor compatibilidade com os softwares antimalwares, até mesmo pelo encapsulamento das camadas do modelo OSI trazidos por cada fabricante. Esta dificuldade dos fabricantes de sistemas de controle em serem totalmente compatíveis com os softwares atimalwares gera uma vulnerabilidade nas redes industriais; então, cabe uma parceria com o departamento de TI para encontrar o modelo mais seguro.

Como a cybersegurança é responsabilidade de todos, inclui o fornecedor de sistema de controle especificamente sobre o desenvolvimento do produto de maneira segura; há a responsabilidade do integrador ou entidade que fornece serviços para implementar sistemas de controle – que deve seguir as boas práticas de segurança alinhadas à visão de cybersegurança estipulada pelo usuário; e, claro, a responsabilidade do usuário em exigir que as boas práticas de segurança sejam atendidas – pelo pessoal de dentro de fora de sua planta – e também mantidas durante a vida útil do sistema de controle.

Peixoto afirma que cybersegurança é uma atividade contínua e que a Emerson ajuda os clientes a definirem a visão de cybersegurança aplicada a sistemas de controle para que, sobre essa base, sejam estipulados os procedimentos e políticas de segurança que serão seguidos e mantidos ao longo do ciclo de manutenção da planta industrial em questão. “A estratégia e táticas para alcançar a visão são parte fundamental do processo, que é sempre discutido com os clientes durante a execução de projetos de automação. Nesse ponto, vale destacar que os clientes devem solicitar cybersegurança nos projetos. A estratégia é baseada em defesa por camadas, há várias soluções disponíveis (táticas) que devem ser implementadas com o objetivo de aumentar a cybersegurança dos sistemas, e não somente primar pela conveniência dos processos”.

“Há alguns anos, os processos industriais eram administrados de maneira isolada, sem conexão com a rede corporativa dos clientes; atualmente, a necessidade de disponibilização de dados para o nível gerencial, bem como o acesso às informações de diversas plantas, vêm se tornando uma prática frequente e trouxe essa necessidade de interligação da rede de controle com a rede corporativa dos nossos clientes. Como consequência, temos uma grande preocupação com a cybersegurança. Devido a esse cenário, as empresas de automação industrial estão desenvolvendo cada vez mais soluções para mitigar este risco. A Yokogawa fechou uma parceria com a McAfee para o desenvolvimento de um antivírus dedicado e homologado a trabalhar com nossos sistemas, e possui profissionais certificados pelo GICSP – Global Industrial Cyber Security Professional, que trabalham com a homologação de antivírus e patches de atualização, bem como a homologação dos patches de segurança da Microsoft”, conta Argolo.

“Em uma planta, a partir do zero, temos a oportunidade de adotar tecnologias com estrutura de cybersegurança, lembrando que hoje a maioria dos sistemas industriais não são pensados ou têm em sua filosofia construtiva arquiteturas voltadas para isso. Ainda hoje, quando falamos de insumos de automação industrial, estes são considerados ilhas sem comunicação com redes industriais; este quadro está mudando rapidamente, devido aos novos conceitos de IIoT e Indústria 4.0”, reflete Marcílio.

“Tenho o sentimento que, em boa parte das plantas industriais, a inclusão da cybersegurança nos estudos de risco ainda é um caminho a ser percorrido. Os sistemas de automação possuem vários pontos de vulnerabilidade que precisam ser mitigados. No mundo da TA, a questão da segurança de dados é relativamente nova, mas podemos afirmar que a segurança da informação, em qualquer nível da automação, já é uma barreira para a implantação e o crescimento dos sistemas para a Indústria 4.0”, reflete Corciolli.

As principais diferenças encontradas entre TI e TA

Tanto em novas plantas ou expansões/migrações de sistemas existentes, o primeiro passo é a definição da visão corporativa de cybersegurança que regerá os processos e políticas de segurança que serão aplicados também aos sistemas de controle. Em plantas novas, é importante incluir os requerimentos de cybersegurança nas solicitações de projeto, para que as proteções não se tornem aditivos extras que dificilmente são aprovados durante sua execução – componentes de cybersegurança devem fazer parte das especificações, desde as fases preliminares dos projetos de automação. Nos casos de sistemas existentes, há uma forte resistência às mudanças, mas a abordagem parcial, focando as deficiências latentes, pode ajudar com a implementação da visão de cybersegurança no médio e longo prazos.

“Nós acreditamos que a cybersegurança depende das soluções oferecidas pelos fornecedores, e que são validadas para manter a performance dos sistemas de controle – afinal, o foco é manter o processo industrial em pleno funcionamento e não somente implementar sistemas de cybersegurança –, e também depende da adoção dessas soluções pelos clientes. Não há validade em soluções que não são implementadas pelos usuários, porém, é fundamental que essas soluções estejam disponíveis e que possuam uma maneira adequada de serem implementadas com sucesso pelos clientes e com total apoio dos fornecedores. Cybersegurança é um tema que sempre fez parte do desenvolvimento dos produtos fornecidos pela Emerson, e que, em cada uma das novas versões, integra mais funcionalidades e características que permitem ao usuário expandir as proteções contra os ataques cibernéticos”, afirma Peixoto. “Mas ainda existe muita discussão sobre cybersegurança na área de automação, e a Emerson oferece treinamentos e ministra palestras para esclarecer esse tema da melhor forma possível, e com enfoque nas soluções que fornece ao mercado de automação e controle. Também participamos nos comitês que definem os padrões e modelos de certificação que estão entrando em vigor em nível internacional (ISA, IEC, etc.). Além de participar das definições de novos padrões, a Emerson implementa novas funcionalidades e desenvolve novos produtos para atender a novos requisitos, muitas vezes excedendo as expectativas de mercado. E mantemos atualizadas soluções para atender aos mais variados requisitos de cibersegurança para as linhas de sistemas de controle, como o DeltaV e o Ovation”.

Todos os fornecedores têm se preocupado e proporcionam vacinas, bloqueadores de portas e acessos, entre outros. Entretanto, cada fornecedor dispõe de soluções diferenciadas para seus clientes em relação aos sistemas antivírus através de parcerias mundiais.

Alexandre B. Corrêa, diretor de desenvolvimento da Elipse, conta que a empresa trabalha estas e outras questões de cybersegurança em conjunto com o ICCS na resolução de problemas reportados. “A partir do momento do envio de uma nova falha de segurança em um de nossos produtos, nossa equipe começa a trabalhar na solução. Somente após a correção e disponibilização dela, o ICCS publica o relatório da falha. Por isso, é tão importante que os clientes mantenham seus produtos atualizados”.

“A Yokogawa dispõe de uma solução de Softwares de Antivírus própria (AV11000), com atualização mensal fornecida pela McAfee, e homologada pelo Laboratório de Competência da Yokogawa, em Singapura. E vimos alertando nossos clientes quanto à preocupação e necessidade de proteção dos dados dos sistemas industriais, através de soluções específicas, como a implementação de antivírus e bloqueio de portas USB (físico e lógico), e também o monitoramento da rede como um todo, mitigando a possibilidade de invasão de um malware ou identificando qualquer comunicação anormal na rede dos clientes. Quando na ocorrência do primeiro grande cyberataque através do vírus ‘WannaCry’, a Yokogawa foi uma das primeiras empresas a homologar o patch de segurança desenvolvido pela Microsoft, e liberar para os clientes essa solução. Foram enviadas cartas de alerta para toda a base instalada no Brasil”, conta Leonardo Colantonio, coordenador de vendas na Yokogawa Service.

“Segurança faz parte da base de desenvolvimento da Endress+Hauser, seja para inovação em instrumentos mais seguros (safety) ou para proteção de dados (security). Com o crescimento de protocolos baseados em Ethernet e redes sem fio, o assunto de cybersegurança é cada vez mais relevante em instrumentação. Com o lançamento do Proline 300, trouxemos o primeiro medidor de vazão com WLAN integrada, e para isso foi necessária a adequada camada de segurança para proteção de dados e criptografia de acesso. Seguir normas como a IEC62443 e a IEC61508 é regra no desenvolvimento de instrumentação e aplicações para instrumentos. Equipamentos com Bluetooth 4.0 habilitado conversando com apps em smartphones também já estão disponíveis pela Endress+Hauser, já com criptografia adicional, incluindo um broadcast de dados criptografados e cuidados, como o de que a senha de acesso do usuário não seja armazenada no celular”, conta Nadais.

O executivo da Karpersky já viu a cibersegurança ter de mudar por tipo de arquitetura e fabricante de automação, e ressalta que, para cada setor industrial, ela é diferente, pois, o processo de uma indústria farmacêutica é diferente do de uma indústria de óleo e gás, por exemplo. “Já para a Instrumentação (Nível 0) não muda, já que os grandes pontos de vulnerabilidades dentro do ambiente industrial estão nas camadas 1 e 2 (SCADAs e PLCs)”.

O Kaspersky Lab tem soluções justamente para estas camadas (1 e 2), o Kaspersky Industrial CyberSecurity for Nodes – projetado para abordar especificamente ameaças no nível do operador em ambientes ICS, protegendo os servidores ICS / SCADA, as IHM e as estações de trabalho de engenharia dos vários tipos de ataques cibernéticos que podem resultar de fatores humanos, malware genérico, ataques direcionados ou sabotagem – e o Kaspersky Industrial CyberSecurity for Networks – que opera na camada de protocolo de comunicação industrial (Modbus, IEC stack, ISO, etc.), analisando o tráfego industrial para anomalias por meio da tecnologia avançada DPI (Deep Packet inspection).

De maneira geral, os mesmos controles e tecnologias podem ser aplicados para sistemas de controle, instrumentação e sistemas elétricos. “A abordagem pode ser diferente, a depender dos requisitos de proteção de cada sistema. Sistemas elétricos, por exemplo, são fisicamente distribuídos; portanto, potencialmente mais vulneráveis que os sistemas de instrumentação e controle – que usualmente estão alocados nas dependências da planta industrial. No entanto, o impacto de uma invasão mal-intencionada em um sistema de controle pode ter consequências mais catastróficas. Sendo assim, a engenharia envolvida neste tipo de projeto é uma equação entre os dispositivos de segurança disponíveis, a probabilidade de realização dos riscos envolvidos e a abrangência dos possíveis impactos”, pontua Renata.

“Dependendo do contexto – sistema de controle de processo básico, sistema instrumentado de segurança, instrumentação, sistemas elétricos, etc.–, as camadas de proteção podem, sim, ser diferentes, em virtude dos meios de comunicação que cada componente utiliza. O meio de comunicação e a localização na planta onde cada componente é instalado, e também como esse componente é manuseado, também influem diretamente nas soluções de cybersegurança a serem consideradas”, afirma Peixoto.

Para Argolo, em qualquer situação, o cliente deve considerar as medidas de cybersegurança no contexto da gestão de riscos em curso, ao invés de contramedidas isoladas, para ajudar a garantir a continuidade das empresas e das operações, e precisam de parceiros que possuam conhecimentos de domínio apropriados de TI e de TO, estabelecer um sólido plano de gerenciamento de informações, e promover um investimento em fase e implantação de tecnologia, com base nos requisitos e escala de negócios da empresa. “Investimentos apropriados na cybersegurança podem ajudar a mudar o risco para um custo de oportunidade”.

Boas práticas de cybersegurança são similares independentemente do contexto, mas fatores governamentais e de regulamentações locais podem aumentar ou diminuir as exigências que os usuários devem seguir com relação às proteções adotadas.

Então, um programa de cybersegurança básico deve ser baseado em três pilares: prevenção, antecipação e reação. “A prevenção e a antecipação otimizam o processo de detecção e, consequentemente, de reação. Por exemplo, o monitoramento contínuo das redes pode fornecer um nível de visibilidade das ameaças, além de gerar dados que promovam a inteligência dos mecanismos de proteção”, afirma Renata.

Uma petroquímica árabe levou nove meses para perceber que estava “contaminada” e seis meses para se limpar. Isso pode indicar que a resolução do problema se baseou apenas na reação, o que pode ter alongado o processo de correção. Segundo Giovane, dependendo do vírus, isso pode acontecer porque existem ataques do tipo Zero Day, cujo objetivo é o de permanecer o maior tempo possível na rede, de forma silenciosa. “Em geral, ataques desse tipo demoram vários meses para serem identificados. Não temos como prever o tempo normal, pois, cada caso é um caso, existem redes mais complexas e outras mais simples. A orientação é sempre realizar uma análise de risco no ambiente industrial, capacitar todos os colaboradores e instalar softwares de proteções para ambiente SCADAS, PLCs e rede industrial”.

Marcilio é incisivo: “As empresas precisam se conscientizar de que a avaliação das áreas de risco passa também pela cybersegurança, pois, hoje, os possíveis ataques são mais sofisticados que a mera ação de um hacker isolado. A necessidade de avaliação dos possíveis erros cometidos pela equipe de funcionários da empresa e o comprometimento resultante destas ações é que vai levar à tomada de ações e avaliação de Hazop, Lopa, etc.”

Na Cenibra, a cyberbersegurança é feita com ferramentas de segurança de perímetro com provedores externos e clientes. No corporativo, possuímos os firewalls e antimalwares convencionais; na rede industrial, possuímos as ferramentas homologados pelos fornecedores dos sistemas de automação.

O programa de cybersegurança industrial da Braskem é baseado em três pilares de atuação: “pessoas”, “tecnologias e infraestrutura” e “políticas e padrões internos”. A consolidação de padrões possibilita que, mesmo com sistemas heterogêneos, exista um nível de padronização de infraestrutura até um determinado nível. Além disso, o investimento na conscientização e treinamento dos integrantes, aliado às tecnologias disponíveis possibilitam o fortalecimento da nossa política de proteção.

Corciolli ainda reflete que, “com o crescimento do uso de instrumentação inteligente, é de extrema importância aos profissionais envolvidos em projetos ou no dia-a-dia que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurança; que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se encontram dentro de limites aceitáveis; ou seja, que compreendam o processo antes de estabelecer o SIS. É preciso um olhar mais amplo”.

E, por mais que se converse e atualize, é uma área onde sempre se está um passo atrás da ameaça. A McAfee divulgou relatório de previsões de ameaças para 2018 que identifica tendências para acompanhar, com foco na transição do ransomware dos aplicativos tradicionais para novos aplicativos, as implicações dos aplicativos sem servidor para a cybersegurança, as implicações para a privacidade do consumidor decorrentes do monitoramento dos consumidores em suas próprias casas por parte das empresas, as implicações de longo prazo da coleta de conteúdo gerado por crianças por parte das empresas e o surgimento de uma corrida de inovação em aprendizado de máquina entre defensores e adversários.