Revista Controle & Instrumentação Edição nº 231 2017
|
|
¤
Cover Page
|
Temperatura e pressão:
especififi cação, tendências
e mercado |
|
Assunto do momento, a Indústria 4.0 só será possível porque o seu próprio conceito é a evolução natural da aplicação das tecnologias para
aumentar produtividade de maneira efi ciente e conectada, de forma customizada. Mas a maioria das ferramentas que nos levarão até lá
já estão há anos nas indústrias que, de uma forma ou de outra, vem buscando aumentar a velocidade de processamento dos dados. |
|
|
|
|
|
|
“Em essência, a automação nas indústrias permite
elevar os níveis de continuidade e de controle global do
processo com maior eficiência, aproximar ao máximo a
produção real à capacidade nominal da planta, ao reduzir
ao mínimo possível as horas paradas, de manutenção corretiva
e a falta de matéria-prima. Quanto mais informação,
melhor uma planta pode ser operada e mais lucrativa
pode ser. A informação digital e os sistemas verdadeiramente
abertos permitem que se colete informações dos
mais diversos tipos e finalidades de uma planta, de uma
forma interoperável como ninguém jamais imaginou e neste
sentido, com as tecnologias se pode transformar
preciosos bits e bytes em um relacionamento
lucrativo e obter também um ganho qualitativo
do sistema como um todo”, pontua o
engenheiro Mario Sergio Corcioli, consultor
sênior em automação com 40 anos em
automação na Petrobras que ressalta que
o mero uso de equipamentos inteligentes
por si só não garante absolutamente nenhuma
melhoria de confiabilidade e segurança de operação,
quando comparado com tecnologias tradicionais,
exceto quando o sistema é implantado com critérios
e conhecimento das vantagens e das limitações inerentes
a cada tipo de tecnologia disponível. “Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Deve-se evitar fazer uso de dispositivos inteligentes certificados
cuja tecnologia não se conhece, bem como acreditar
cegamente em todos os relatórios de certificação, sem
considerar quem é o organismo de certificação. Some-se
às tradicionais preocupações de segurança, as novas
ameaças cibernéticas que colocam em risco pessoas,
propriedades, meio ambiente e continuidade de
negócios”. |
O que se começa a perceber é que esse mar
de sensores, softwares, instrumentos inteligentes
e browsers abrem as portas a visitantes indesejáveis
– vírus, malwares, hackers. A maior
conectividade pede uma abordagem nova,
segura. Porque a indústria é o alvo agora.
O aumento da incidência de ataques
cibernéticos e ameaças à segurança das redes
gerou crescimento dos investimentos relacionados
às tecnologias inteligentes, segurança dos
sistemas de controle industrial (ICS) – que ajudam no
monitoramento de processos industriais, como o petróleo e gás, energia nuclear, transmissão de energia e distribuição,
fabricação, química e outras indústrias. O assunto é
tão importante que o relatório Industrial Control System
Security Market (2017-2023), da Research and Markets,
estima que o mercado atingiria os US$ 13 bilhões até
2023, crescendo a uma taxa de 6,1% a.a. nesse período. |
|
|
|
É assunto diário na esfera pública e privada.
Documento do Comitê Gestor de Segurança da Informação
traça o diagnóstico e as metas da segurança digital
no Brasil entre 2015 e 2018. E, se estamos atrasados
– também – nas políticas integradas de cybersegurança,
2017 mostrou para as empresas e sociedade a relevância
do assunto. A preocupação institucional começou, de
fato, no início dos anos 2000, quando se instituiu o que
seria o CGSI – Comitê Gestor de Segurança da Informação,
atrelado ao Conselho de Defesa.
O “Mapa Estratégico da Segurança da Informação e
da Cybersegurança 2015-2018” detalha as atribuições específicas
dos vários órgãos de Estado envolvidos na questão
de segurança digital e descreve os mecanismos disponíveis
para a participação da sociedade – empresas, universidades,
cidadão e órgãos da comunidade – na elaboração
dessas políticas. O Mapa também ressalta a importância
de fortalecer o conhecimento acadêmico e o know-how
industrial, além da adoção pelo Estado de redes privativas
de comunicação digital para as comunicações mais sensíveis.
E mostra que o Brasil precisa agilizar os esforços para
tornar realidade a cybersegurança.
O documento utiliza dados segundo os quais 80%
das redes dos órgãos públicos e empresas estatais apresentam
falhas em mecanismos de continuidade dos negócios,
70% tem falhas no controle de acesso, 75% na gestão de
incidentes e 85% tem falhas na gestão de riscos. E ainda,
apenas 50% tem um responsável pela segurança da
informação e 54% dispõe de normas internas
para backup de dados.
E como anda a iniciativa privada? |
|
|
|
|
Ronaldo Ribeiro, gerente de TI e Telecom
da Cenibra, lembra que não existe
um órgão especificamente para tratar de
segurança em sistemas industriais, apenas
o CERT – Centro de Estudos, Resposta e Tratamento
de Incidente de Segurança no Brasil,
que trata da segurança da internet brasileira de maneira
geral. O ICS-CERT trabalha em parceria com o US-CERT,
o equivalente ao CERT.br no Brasil.
“O CERT.br é um grupo para responder aos incidentes
de segurança da Internet brasileira, mantido pelo NIC.
br – Núcleo de Informação e Coordenação do Ponto br,
do Comitê Gestor da Internet no Brasil (CGI). É responsável
por tratar incidentes de segurança em computadores
que envolvam redes conectadas à Internet brasileira. É um
ponto central para notificações de incidentes de segurança
no Brasil, provendo a coordenação e o apoio no processo
de resposta a incidentes e, quando necessário, colocando
as partes envolvidas em contato. Também atua através do
trabalho de conscientização sobre os problemas de segurança,
da análise de tendências e correlação entre eventos
na Internet brasileira, e do auxílio ao estabelecimento de
novos CSIRTs no Brasil”, explica Ronaldo. |
|
|
As atividades conduzidas pelo CERT.br fazem parte
das atribuições do CGI.br de estabelecer diretrizes estratégicas
relacionadas ao uso e desenvolvimento da Internet
no Brasil; promover estudos e recomendar procedimentos,
normas e padrões técnicos e operacionais para a segurança
das redes e serviços de Internet, bem como para
a sua crescente e adequada utilização pela sociedade; ser
representado nos fóruns técnicos nacionais e internacionais
relativos à Internet.
“Encontra-se em processo de aprovação a ‘Política
Nacional de Segurança Cibernética (Cybersegurança)’,
elaborada pelo Gabinete de Segurança Institucional da
Presidência da República, que deve ser sancionada no primeiro
semestre de 2018, e que define inclusive a criação
de uma agência nacional de cybersegurança. A iniciativa é
para suprir a necessidade de integração e de coordenação
das ações de segurança da informação no país”, acrescenta
Ronaldo. |
|
|
Alexandre Peixoto, Cybersecurity Evangelist
for Industrial Control Systems,
Networking Solutions da Emerson,
lembra do Centro de Defesa Cibernética
(CDCiber), vinculado ao Ministério
da Defesa do Exército Brasileiro,
o Serviço de Repressão a Crimes Cibernéticos
(SRCC), vinculado à Polícia
Federal do Brasil, e também o Serviço
Federal de Processamento de Dados
(Serpro), que atuam nesse setor, mas em
questões gerais de cybersegurança. “O Brasil ainda
carece de regulamentações específicas para cibersegurança,
em especial relacionadas a empresas
consideradas críticas, como as de infraestrutura
nacional. Importante lembrar que, apesar da
barreira da língua, o time de respostas emergenciais
aos eventos cibernéticos relacionados
a sistemas de controle industrial (da sigla em inglês:
ICS-CERT) fornece auxílio à comunidade de automação em nível global através do site https://ics-cert.
us-cert.gov/, que diariamente reporta vulnerabilidades
específicas a sistemas de controle oriundas dos próprios
fornecedores, ou mesmo de pesquisadores, com o
intuito de torná-las de conhecimento público,
incluindo a maneira de mitigar as deficiências
dos produtos. Isso tudo ajuda a proteger ainda
mais as plantas industriais que são hoje
controladas por estes mesmos sistemas de
controles industriais”. |
|
|
|
André Nadais, gerente de marketing
da Endress+Hauser, conta que “além das
organizações de segurança tradicionais, como
o TÜV e o IEC, alinhamos nosso desenvolvimento
com associações como a Profibus International, a ODVA e
a FieldCom, que definem os padrões industriais para aumentar
a segurança e interoperabilidade da tecnologia.” |
|
|
|
Giovane Pucci, gerente de contas industriais
estratégicas (KICS) da Karpesky,
ressalta que o CERT atende qualquer rede
brasileira conectada à Internet e costuma
registrar os incidentes reportados a eles.
Além disso, órgãos governamentais, como o
CDCIBER, costumam registrar, catalogar e responder
por incidentes dentro da rede do governo
brasileiro. “A troca de experiências existe e é sempre
válida, especialmente entre fabricantes de segurança.
E ganha importância na medida em que, atualmente, temos
uma colisão do mundo TA (Tecnologia de Automação)
com o mundo TI (Tecnologia da Informação) e os novos
stakeholders compõem por CxO + TA + TI”. |
|
|
|
|
Paulo Argolo, gerente da Yokogawa, reflete
que a fusão da TO – Tecnologia Operacional,
e da TI – Tecnologia da Informação,
trouxe grandes benefícios para as operações
da planta, mas, ao mesmo tempo, ataques
cibernéticos em redes de plantas apresentam
uma das ameaças mais prementes para uma
organização. “Com a crescente utilização das
tecnologias da informação e comunicação na área
industrial, essa é uma realidade a ser enfrentada pelo
governo, empresas e indústrias no país”. |
|
|
“Segurança deve estar presente em todos os níveis,
começando com a definição de guias e regras, o adequado
nível de treinamento das pessoas em contato com a informação,
a implementação de um sistema físico que proteja
a rede e os equipamentos, a segregação de áreas restritas.
É responsabilidade de todos”, diz Nadais.
Corciolli conta que os fornecedores disponibilizam
segurança por criptografia avançada baseada em padrões,
bem como autenticação, verificação, gerenciamento de
chaves e técnicas anti-jamming. Os fornecedores indicam
a necessidade de criar um plano de cybersegurança
de forma a bloquear acesso, monitorar serviços, corrigir
ameaças, contingenciar falhas e auditar mudanças. Entretanto,
as preocupações e desafios para implantação
desse plano são enormes. Mas não se pode parar por
aí. “Esse novo cenário reforça a necessidade de elaborar
um bom sistema de gestão de segurança com camadas
de proteção para evitar falhas. Muitos
recomendam uma plataforma de segurança
independente das plataformas do sistema de
controle de processo, porque o uso
de diferentes tecnologias aumenta
significativamente
o esforço necessário de
invasão ou falha – e facilita
a manutenção”. |
|
|
Marcílio Pongitori, presidente
da ISA seção Campinas,
conta que se verifica hoje em dia
que algumas empresas estão
tomando iniciativas sobre cybersegurança
sem a criação de departamentos
que incluam a área industrial.
“Salvo raras exceções, quando abordamos
este assunto, o primeiro pensamento está
associado a TI; quando enfocamos a necessidade
dessa atenção na parte de automação,
quase sempre não encontramos interlocutores
com conhecimento sobre o assunto”. |
|
|
|
“Apesar de ser necessária uma área específica para
conceber e implementar o programa de cybersegurança
na empresa, ela é responsabilidade de todos. A responsabilidade
não pode ficar concentrada apenas nos mantenedores
da infraestrutura, pois a cadeia de pessoas envolvidas
nos processos corporativos cria diversos elos
de vulnerabilidade que, apenas se
fortalecidos, podem garantir
a proteção dos ambientes
internos”, Renata
Valente de Araújo,
executiva de Segurança
da Informação
Industrial e Tecnologia
da Automação da Braskem,
destaca, ainda, que, para garantir
cybersegurança em plantas greenfield devem
existir políticas e padrões previamente definidos,
para que o projeto seja concebido desde as primeiras
etapas com sólidos controles de cybersegurança. No caso
dos sistemas legados, podem ser adotadas medidas paliativas
que melhorem o nível de proteção, até que seja
possível realizar investimentos em atualização dos sistemas,
contemplando os requisitos de segurança desejados.
No contexto atual de ameaças cibernéticas, uma análise
de risco completa deve sempre contemplar considerações
em cybersegurança, inclusive estudos como LOPA e
HAZOP, ferramentas mais efetivas para a priorização de
controles e direcionamento de investimentos em cybersegurança
no ambiente industrial. |
|
|
Ronaldo concorda: “a cyberbersegurança em plantas
greenfield deve fazer parte do escopo global do projeto, e
ser incorporada logo no início aos sistemas de automação
e controle, de forma alinhada com os fornecedores dos
sistemas digitais, pois, vários não são compatíveis com a
grande maioria dos antimalwares. Então, é necessário desenvolver
em conjunto com os fornecedores um projeto
que atenda aos requisitos de segurança, com visão em
ferramentas modernas, assim exigir dos fornecedores que
tenham homologadas ferramentas modernas de cybersegurança.
Com a necessidade de ter todo o parque industrial
conectado, os riscos à cybersegurança aumentaram. Então,
os sistemas legados precisam compor o planejamento
de escalabilidade de forma a estarem incluídos nos novos
projetos de aumento de parque industrial, embora isto
não seja tarefa fácil para os fabricantes de sistemas de
controle.
Giovane lembra que sempre os projetos devem se
basear em normas como ISA-99, NIST, NERC CIP, IEC
62351, etc. “Além disso, a contração de uma empresa
para prestação de consultoria tem um valor essencial neste
processo. Passos básicos que devem ser seguidos são criar
um plano de segurança, separar as redes, realizar a proteção
de perímetro, segmentar as redes, fazer a proteção de
dispositivos, manter tudo monitorado e atualizado.”
Renata conta que a proteção de sistemas legados
pode ser provida por soluções de contorno que vão depender
mais da arquitetura de rede do sistema do que
propriamente do seu fornecedor. “A proteção em profundidade
provida pelo modelo
de defesa em camadas,
onde são inseridas barreiras
de tráfego entre as camadas
de rede segmentadas conforme
o modelo IEC 62443,
é um bom exemplo deste
tipo de medida. Atualmente,
os fornecedores investem
cada vez mais em soluções
próprias de cybersegurança
para seus sistemas. No entanto,
ainda estamos aquém
dos controles existentes no
mercado de TI. E a indústria
precisa conhecer suas principais
vulnerabilidades para
atestar a efetividade dessas
soluções e aderência ao ambiente”.
Também a evolução
dos sistemas elétricos para
o formato “smat grid” (SG)
trouxe a preocupação com
a cyberbersegurança, pois
os ataques cibernéticos podem trazer prejuízos incalculáveis
para todo o sistema elétrico de uma indústria, cidade
ou até mesmo país. E se as redes de distribuição não
foram projetadas para atender os requisitos além do fornecimento
de energia, então, são necessárias alterações
para melhorar a segurança e dar mais tranquilidade aos
usuários – industriais ou residenciais.
A experiência mostra que a cyberbersegurança pode
mudar de marca para marca, pois cada sistema possui
maior ou menor compatibilidade com os softwares antimalwares,
até mesmo pelo encapsulamento das camadas
do modelo OSI trazidos por cada fabricante. Esta dificuldade
dos fabricantes de sistemas de controle em serem
totalmente compatíveis com os softwares atimalwares
gera uma vulnerabilidade nas redes industriais; então,
cabe uma parceria com o departamento de TI para encontrar
o modelo mais seguro.
Como a cybersegurança é responsabilidade de todos,
inclui o fornecedor de sistema de controle especificamente
sobre o desenvolvimento do produto de maneira segura;
há a responsabilidade do integrador ou entidade que
fornece serviços para implementar sistemas de controle
– que deve seguir as boas práticas de segurança alinhadas
à visão de cybersegurança estipulada pelo usuário; e, claro,
a responsabilidade do usuário em exigir que as boas
práticas de segurança sejam atendidas – pelo pessoal de
dentro de fora de sua planta – e também mantidas durante
a vida útil do sistema de controle. |
|
|
|
Peixoto afirma que cybersegurança é uma atividade
contínua e que a Emerson ajuda os clientes a definirem a visão de cybersegurança aplicada a sistemas de controle
para que, sobre essa base, sejam estipulados os procedimentos
e políticas de segurança que serão seguidos e
mantidos ao longo do ciclo de manutenção da planta industrial
em questão. “A estratégia e táticas para alcançar
a visão são parte fundamental do processo, que é sempre
discutido com os clientes durante a execução de projetos
de automação. Nesse ponto, vale destacar que os clientes
devem solicitar cybersegurança nos projetos. A estratégia
é baseada em defesa por camadas, há várias soluções disponíveis
(táticas) que devem ser implementadas com o objetivo
de aumentar a cybersegurança dos sistemas, e não
somente primar pela conveniência dos processos”.
“Há alguns anos, os processos industriais eram administrados
de maneira isolada, sem conexão com a rede
corporativa dos clientes; atualmente, a necessidade de
disponibilização de dados para o nível gerencial, bem
como o acesso às informações de diversas plantas, vêm se
tornando uma prática frequente e trouxe essa necessidade
de interligação da rede de controle com a rede corporativa
dos nossos clientes. Como consequência, temos uma
grande preocupação com a cybersegurança. Devido a esse
cenário, as empresas de automação industrial estão desenvolvendo
cada vez mais soluções para mitigar este risco.
A Yokogawa fechou uma parceria com a McAfee para o
desenvolvimento de um antivírus dedicado e homologado
a trabalhar com nossos sistemas, e possui profissionais
certificados pelo GICSP – Global Industrial Cyber Security
Professional, que trabalham com a homologação de antivírus
e patches de atualização, bem como a homologação
dos patches de segurança da Microsoft”, conta Argolo.
“Em uma planta, a partir do zero, temos a oportunidade
de adotar tecnologias com estrutura de cybersegurança,
lembrando que hoje a maioria dos sistemas industriais
não são pensados ou têm em sua filosofia construtiva
arquiteturas voltadas para isso. Ainda hoje, quando falamos
de insumos de
automação industrial,
estes são considerados
ilhas sem comunicação
com redes industriais;
este quadro
está mudando rapidamente,
devido aos
novos conceitos de
IIoT e Indústria 4.0”,
reflete Marcílio.
“Tenho o sentimento
que, em boa
parte das plantas industriais,
a inclusão
da cybersegurança
nos estudos de risco
ainda é um caminho
a ser percorrido. Os
sistemas de automação possuem vários pontos de vulnerabilidade
que precisam ser mitigados. No mundo da TA,
a questão da segurança de dados é relativamente nova,
mas podemos afirmar que a segurança da informação, em
qualquer nível da automação, já é uma barreira para a
implantação e o crescimento dos sistemas para a Indústria
4.0”, reflete Corciolli.
As principais diferenças encontradas entre TI
e TA
Tanto em novas plantas ou expansões/migrações de
sistemas existentes, o primeiro passo é a definição da visão
corporativa de cybersegurança que regerá os processos
e políticas de segurança que serão aplicados também
aos sistemas de controle. Em plantas novas, é importante
incluir os requerimentos de cybersegurança nas solicitações
de projeto, para que as proteções não se tornem aditivos
extras que dificilmente são aprovados durante sua
execução – componentes de cybersegurança devem fazer
parte das especificações, desde as fases preliminares dos
projetos de automação. Nos casos de sistemas existentes,
há uma forte resistência às mudanças, mas a abordagem
parcial, focando as deficiências latentes, pode ajudar com
a implementação da visão de cybersegurança no médio
e longo prazos.
“Nós acreditamos que a cybersegurança depende das
soluções oferecidas pelos fornecedores, e que são validadas
para manter a performance dos sistemas de controle –
afinal, o foco é manter o processo industrial em pleno
funcionamento e não somente implementar sistemas de
cybersegurança –, e também depende da adoção dessas
soluções pelos clientes. Não há validade em soluções que
não são implementadas pelos usuários, porém, é fundamental
que essas soluções estejam disponíveis e que
possuam uma maneira adequada de serem implementadas
com sucesso pelos clientes e com total apoio dos fornecedores. Cybersegurança é um
tema que sempre fez parte do desenvolvimento
dos produtos fornecidos
pela Emerson, e que, em cada
uma das novas versões, integra mais
funcionalidades e características
que permitem ao usuário expandir
as proteções contra os ataques cibernéticos”,
afirma Peixoto. “Mas
ainda existe muita discussão sobre
cybersegurança na área de automação,
e a Emerson oferece treinamentos
e ministra palestras para
esclarecer esse tema da melhor forma
possível, e com enfoque nas soluções
que fornece ao mercado de
automação e controle. Também participamos nos comitês
que definem os padrões e modelos de certificação que
estão entrando em vigor em nível internacional (ISA, IEC,
etc.). Além de participar das definições de novos padrões,
a Emerson implementa novas funcionalidades e desenvolve
novos produtos para atender a novos requisitos, muitas
vezes excedendo as expectativas de mercado. E mantemos
atualizadas soluções para atender aos mais variados requisitos
de cibersegurança para as linhas de sistemas de
controle, como o DeltaV e o Ovation”. |
|
|
|
Todos os fornecedores têm se preocupado e proporcionam
vacinas, bloqueadores de portas e acessos, entre
outros. Entretanto, cada fornecedor dispõe de soluções
diferenciadas para seus clientes em relação aos sistemas
antivírus através de parcerias mundiais. |
|
|
Alexandre B. Corrêa, diretor de desenvolvimento
da Elipse, conta que a empresa
trabalha estas e outras questões de
cybersegurança em conjunto com o ICCS
na resolução de problemas reportados. “A
partir do momento do envio de uma nova
falha de segurança em um de nossos produtos,
nossa equipe começa a trabalhar na solução.
Somente após a correção e disponibilização
dela, o ICCS publica o relatório da falha. Por isso, é tão
importante que os clientes mantenham seus produtos atualizados”. |
|
|
|
“A Yokogawa dispõe de uma solução de Softwares
de Antivírus própria (AV11000), com atualização mensal
fornecida pela McAfee, e homologada pelo Laboratório de
Competência da Yokogawa, em Singapura. E vimos alertando
nossos clientes quanto à preocupação e necessidade
de proteção dos dados dos sistemas industriais, através
de soluções específicas, como a implementação de antivírus
e bloqueio de portas USB (físico e lógico), e também o
monitoramento da rede como um todo, mitigando a possibilidade
de invasão de um malware ou identificando qualquer
comunicação anormal na rede dos clientes. Quando
na ocorrência do primeiro grande cyberataque através do
vírus ‘WannaCry’, a Yokogawa foi uma das primeiras empresas
a homologar o patch de segurança desenvolvido
pela Microsoft, e liberar para os clientes
essa solução. Foram enviadas cartas
de alerta para toda a base instalada
no Brasil”, conta Leonardo
Colantonio, coordenador de
vendas na Yokogawa Service. |
|
|
|
|
“Segurança faz parte da
base de desenvolvimento da
Endress+Hauser, seja para inovação
em instrumentos mais seguros
(safety) ou para proteção de dados (security).
Com o crescimento de protocolos baseados em
Ethernet e redes sem fio, o assunto de cybersegurança é
cada vez mais relevante em instrumentação. Com
o lançamento do Proline 300, trouxemos o primeiro
medidor de vazão com WLAN integrada,
e para isso foi necessária a adequada camada
de segurança para proteção de dados e
criptografia de acesso. Seguir normas como a
IEC62443 e a IEC61508 é regra no desenvolvimento
de instrumentação e aplicações para
instrumentos. Equipamentos com Bluetooth 4.0
habilitado conversando com apps em smartphones
também já estão disponíveis pela Endress+Hauser,
já com criptografia adicional, incluindo um broadcast de
dados criptografados e cuidados, como o de que a senha
de acesso do usuário não seja armazenada no celular”,
conta Nadais.
O executivo da Karpersky já viu a cibersegurança ter
de mudar por tipo de arquitetura e fabricante de automação,
e ressalta que, para cada setor industrial, ela é
diferente, pois, o processo de uma indústria farmacêutica
é diferente do de uma indústria de óleo e gás, por exemplo.
“Já para a Instrumentação (Nível 0) não muda, já que
os grandes pontos de vulnerabilidades dentro do ambiente
industrial estão nas camadas 1 e 2 (SCADAs e PLCs)”.
O Kaspersky Lab tem soluções justamente para estas
camadas (1 e 2), o Kaspersky Industrial CyberSecurity for Nodes – projetado para abordar especificamente ameaças
no nível do operador em ambientes ICS, protegendo os
servidores ICS / SCADA, as IHM e as estações de trabalho
de engenharia dos vários tipos de ataques cibernéticos
que podem resultar de fatores humanos, malware genérico,
ataques direcionados ou sabotagem – e o Kaspersky
Industrial CyberSecurity for Networks – que opera na camada
de protocolo de comunicação industrial (Modbus,
IEC stack, ISO, etc.), analisando o tráfego industrial para
anomalias por meio da tecnologia avançada DPI (Deep
Packet inspection).
De maneira geral, os mesmos controles e tecnologias
podem ser aplicados para sistemas de controle, instrumentação
e sistemas elétricos. “A abordagem pode ser
diferente, a depender dos requisitos de proteção de cada
sistema. Sistemas elétricos, por exemplo, são fisicamente
distribuídos; portanto, potencialmente mais vulneráveis
que os sistemas de instrumentação e controle – que usualmente
estão alocados nas dependências da planta industrial.
No entanto, o impacto de uma invasão mal-intencionada
em um sistema de controle pode ter consequências
mais catastróficas. Sendo assim, a engenharia envolvida
neste tipo de projeto é uma equação entre os dispositivos
de segurança disponíveis, a probabilidade de realização
dos riscos envolvidos e a abrangência dos possíveis impactos”,
pontua Renata.
“Dependendo do contexto – sistema de controle
de processo básico, sistema instrumentado de segurança,
instrumentação, sistemas elétricos, etc.–, as camadas
de proteção podem, sim, ser diferentes, em virtude dos
meios de comunicação que cada componente utiliza. O
meio de comunicação e a localização na planta onde
cada componente é instalado, e também como esse
componente é manuseado, também influem diretamente
nas soluções de cybersegurança a serem consideradas”,
afirma Peixoto.
Para Argolo, em
qualquer situação, o
cliente deve considerar
as medidas de cybersegurança
no contexto
da gestão de riscos em
curso, ao invés de contramedidas
isoladas,
para ajudar a garantir a
continuidade das empresas
e das operações,
e precisam de parceiros
que possuam conhecimentos
de domínio
apropriados de TI e
de TO, estabelecer um
sólido plano de gerenciamento
de informações,
e promover um
investimento em fase e implantação de tecnologia, com
base nos requisitos e escala de negócios da empresa. “Investimentos
apropriados na cybersegurança podem ajudar
a mudar o risco para um custo de oportunidade”.
Boas práticas de cybersegurança são similares independentemente
do contexto, mas fatores governamentais
e de regulamentações locais podem aumentar ou diminuir
as exigências que os usuários devem seguir com relação
às proteções adotadas.
Então, um programa de cybersegurança básico deve
ser baseado em três pilares: prevenção, antecipação e reação.
“A prevenção e a antecipação otimizam o processo
de detecção e, consequentemente, de reação. Por exemplo,
o monitoramento contínuo das redes pode fornecer
um nível de visibilidade das ameaças, além de gerar dados
que promovam a inteligência dos mecanismos de proteção”,
afirma Renata. |
|
|
|
Uma petroquímica árabe levou nove meses para
perceber que estava “contaminada” e seis meses para
se limpar. Isso pode indicar que a resolução do problema
se baseou apenas na reação, o que pode ter
alongado o processo de correção. Segundo Giovane,
dependendo do vírus, isso pode acontecer porque
existem ataques do tipo Zero Day, cujo objetivo é o de
permanecer o maior tempo possível na rede, de forma
silenciosa. “Em geral, ataques desse tipo demoram vários
meses para serem identificados. Não temos como prever o tempo normal, pois, cada caso é um caso,
existem redes mais complexas e outras mais simples. A
orientação é sempre realizar uma análise de risco no
ambiente industrial, capacitar todos os colaboradores
e instalar softwares de proteções para ambiente SCADAS,
PLCs e rede industrial”.
|
|
|
|
Marcilio é incisivo: “As empresas precisam se conscientizar
de que a avaliação das áreas de risco passa
também pela cybersegurança, pois, hoje, os possíveis
ataques são mais sofisticados que a mera ação de um
hacker isolado. A necessidade de avaliação dos possíveis
erros cometidos pela equipe de funcionários da empresa
e o comprometimento resultante destas ações é que
vai levar à tomada de ações e avaliação de Hazop, Lopa,
etc.”
Na Cenibra, a cyberbersegurança é feita com ferramentas
de segurança de perímetro com provedores
externos e clientes. No corporativo, possuímos os firewalls
e antimalwares convencionais; na rede industrial,
possuímos as ferramentas homologados pelos fornecedores
dos sistemas de automação.
O programa de cybersegurança industrial da
Braskem é baseado em três pilares de atuação: “pessoas”,
“tecnologias e infraestrutura” e “políticas e padrões
internos”. A consolidação de padrões possibilita que,
mesmo com sistemas heterogêneos, exista um nível de
padronização de infraestrutura até um determinado nível.
Além disso, o investimento na conscientização e
treinamento dos integrantes, aliado às tecnologias disponíveis
possibilitam o fortalecimento da nossa política
de proteção.
Corciolli ainda reflete que, “com o crescimento do
uso de instrumentação inteligente, é de extrema importância
aos profissionais envolvidos em projetos ou no
dia-a-dia que se capacitem e adquiram o conhecimento
de como determinar a performance exigida pelos sistemas
de segurança; que tenham o domínio das ferramentas
de cálculos e as taxas de riscos que se encontram
dentro de limites aceitáveis; ou seja, que compreendam
o processo antes de estabelecer o SIS. É preciso um
olhar mais amplo”.
E, por mais que se converse e atualize, é uma
área onde sempre se está um passo atrás da ameaça.
A McAfee divulgou relatório de previsões de ameaças
para 2018 que identifica tendências para acompanhar,
com foco na transição do ransomware dos aplicativos
tradicionais para novos aplicativos, as implicações dos
aplicativos sem servidor para a cybersegurança, as implicações
para a privacidade do consumidor decorrentes
do monitoramento dos consumidores em suas próprias
casas por parte das empresas, as implicações de
longo prazo da coleta de conteúdo gerado por crianças
por parte das empresas e o surgimento de uma corrida
de inovação em aprendizado de máquina entre defensores
e adversários. |
|
|
|
|
|
|
LEIA MAIS
NA EDIÇÃO IMPRESSA |
|
DESEJANDO
MAIS INFORMAÇÕES: redacao@editoravalete.com.br
|
|
|
Clique na capa da revista para
ler a edição na íntegra |
|
|