Revista Controle & Instrumentação Edição nº 239 2018
|
|
¤
Cover Page
|
|
|
|
|
|
|
|
A conectividade da cadeia produtiva tirou as redes
industriais do ambiente restrito e controlado do
chão-de-fábrica. Hoje, elas fazem parte de redes
corporativas abrangentes, que alcançam até terceiros.
Com a digitalização dos dados fabris, geram informação
crítica para tomada de decisões em tempo real. Toda essa
mudança tem agregado competitividade às empresas, e
inteligência ao ambiente industrial em geral. Mas, o outro
lado da moeda é que a indústria se tornou alvo de ciberataques,
direcionados a seus sistemas automatizados de
controle de processos.
Analisando dados da CERT.br, relativos aos últimos
20 anos, constata-se que o número de incidentes relacionados
à cibersegurança no Brasil cresceu mais de
27.000% (tabela 1). Esse crescimento dos ataques é um
fenômeno global, com números igualmente impressionantes.
Isso deixa claro que o ambiente cibernético é
o “playground” de criminosos altamente “produtivos”,
que, diariamente, direcionam milhares de programas
maliciosos com os mais diversos fins a governos, empresas
e pessoas.
Entre as recentes amostras do grau de perigo que um
ataque cibernético pode representar, está o episódio de
julho de 2017, quando um grupo de hackers autodenominados
Dragonfly/Energetic Bear atacou instalações de
utilidades e de infraestrutura nos Estados Unidos. Os ataques
cibernéticos já são uma ameaça real e significativa
no meio industrial, especialmente para o segmento de
indústrias de processos contínuos e de fornecimento de
insumos de infraestrutura, como energia e abastecimento
de água. De acordo com a agência de classificação de riscos
S&P Global, o setor energético, por exemplo, enfrenta
uma avalanche de ataques cibernéticos diariamente,
de centenas de malwares conhecidos e, pelo menos, com
um novo malware por dia.
Segundo análises da Kaspersky, baseada em dados
do primeiro semestre de 2017, de usuários industriais
protegidos por produtos da companhia, os computadores
atacados compunham a infraestrutura industrial
das empresas nas seguintes funções: servidores SCADA
e de historiadores, OPC, interfaces homem-máquina
e estações de trabalho (fixas e móveis) de operadores
e engenheiros. E o ransomware WannaCry (maio de
2017) liderou o ranking, com 13,4% de todos os computadores
de ICS atacados. Na maioria dos casos, o
Wannacry acessou os sistemas de automação industrial
a partir de redes corporativas locais e conexões VPN, e
a internet foi a principal fonte de infecção dos computadores
que fazem parte da infraestrutura industrial (tabela2).
No ano, cerca de 26% dos alvos de ransomware
foi de usuários corporativos, afirma o relatório da
empresa. (https://securelist.com/ksb-story-of-the-year-
2017/83290/). |
|
|
“O Wannacry afetou muitas indústrias, no entanto,
Cibersegurança:
crescente
desafifi o na
indústria
Marcia Maia e Teresinha Freire
Foto: Emerson
Controle & Instrumentação Nº 239 | 2018 39
não tivemos notícias de catástrofes do ataque. Como
esse ataque foi feito utilizando uma vulnerabilidade
com solução conhecida, trata-se apenas de um teste de
superfície, ou seja, saber quais são os alvos prováveis e
o quanto as empresas estão despreparadas. Os novos
ataques que já temos notícias na DeepWeb usam mais
de sete vulnerabilidades zero day, ou
seja, vulnerabilidades que não tem
solução conhecida. Esses novos
ataques devem ser muito mais
contundentes e podem provocar
grandes perdas financeiras,
catástrofes com perda de
vidas e desastres ambientais
sem precedentes”, comenta
Guilherme Neves, especialista
da ISA RJ. |
|
|
|
“O ataque cibernético não necessariamente ocorre
através das redes de controle ou de gestão, mas pode ocorrer
pelo uso de equipamentos de armazenamento de dados,
como, por exemplo, um pendrive. As consequências podem
ser variadas, desde o desligamento de monitores de vídeo e
perda de dados históricos, até uma falha de controle, causando
a perda operacional, ou um acidente mais sério com
danos em equipamentos, ambiental ou perda humana. O
Wannacry não causou um grande impacto sobre os nossos
usuários, pois, temos uma grande cobertura de contratos
de manutenção nas nossas bases instaladas, com atualizações
periódicas de vacinas de antivírus.
Entretanto, aquelas que não estavam
ainda cobertas pelo nosso
contrato de manutenção e sofreram
algum impacto, mesmo
que indiretamente, iniciaram
processos internos para viabilizar
alguma forma de proteção,”
afirma Paulo Argolo, Gerente
de Vendas da Yokogawa Service. |
|
|
|
|
|
|
|
|
|
“Enquanto, no exterior, os efeitos do WannaCry foram
sentidos principalmente em grandes empresas e hospitais
e clínicas [Serviço Nacional de Saúde do Reino Unido
(National Health Service – NHS), a Telefonica da Espanha,
a americana FedEx e a alemã Deustche Bahn, o impacto
do WannaCry no Brasil foi sentido principalmente
em órgãos públicos (Tribunal de Justiça de São Paulo (TJSP),
Tribunal Regional do Trabalho de São Paulo (TRT-SP),
Ministério Público de São Paulo (MPSP),
INSS, Agências da Caixa Econômica Federal).
No entanto, de acordo com
a empresa de antivirus ESET, o impacto
real dessa ameaça na América
Latina e, no Brasil, foi menor
que na Europa, onde a ameaça se
propagou primeiro,” conta Milton
Rafael Silva, Pesquisador e Mestre
em Engenharia Elétrica pela UNIFEI e
Engenheiro de Controle e Automação na
IMBEL-FI Indústria de Material Bélico do Brasil - Fábrica
de Itajubá. |
|
|
O Brasil é o país latino-americano mais afetado pelos
ransomwares que se propagaram em 2017, dentre
eles o WannaCry, NotPetya e o HDD Cryptor. O país sofreu
55% do total de ataques com esse tipo de vírus este ano, quase o dobro da soma de México (23%) e Colômbia
(5%). Os ataques de ransomwares na América Latina
registraram crescimento anual de 30%, entre 2016
e 2017, com 57 mil detecções em 2016 e 24 mil em
2017. Os dados foram revelados pela empresa de antivirus
Kaspersky Lab durante a 7ª Cúpula Latino Americana
de Analistas de Segurança da empresa, que aconteceu
em setembro de 2017, em Buenos Aires, Argentina.
“Pode-se perceber que muitos órgãos do governo
não veem a segurança da informação como algo crítico,
pois, é grande a quantidade de sites do governo que
costumam ser invadidos ou infectados com malware.
De acordo com dados da Kapersky, o Brasil foi o sexto
país mais afetado pelo WannaCry. Também segundo a
Kaspersky, o Brasil foi o segundo país mais afetado por
ransomwares, entre janeiro e março de 2017. O motivo
para o alto índice de infecções é o uso de versões piratas
do Windows. Outro fator que facilita a disseminação
desses tipos de ataques no Brasil são os sistemas legados,
máquinas antigas e defasadas, que não recebem
atualizações ou sistemas operacionais mais recentes, e
que ainda estão em operação. Dentre as lições aprendidas,
torna-se necessário incutir a cultura da segurança
da informação em todos os usuários de redes corporativas,”
pontua Milton. |
|
|
“Não houve relatos oficiais de clientes que sofreram
indisponibilidade de sistemas industriais decorrentes do
ransomware Wannacry. Seja nos ambientes industriais ou
residenciais, sistemas desprotegidos e desatualizados estão
cada vez mais conectados à Internet de forma direta ou indireta,
tornando tais sistemas alvos relativamente fáceis para
os atacantes. Os ataques de ransomware em geral possibilitam
que os atacantes ganhem dinheiro e recursos, em grande
escala, por meio de seus ataques. No passado, ataques
cibernéticos tinham como objetivo final a destruição e indisponbilização
em massa dos sistemas atacados. Hoje, visam
ao sequestro de sistemas, seja para fins
de extorsão, ou mesmo para expropriação
de poder computacional,
para ser utilizado em ataques de
larga escala no futuro,” afirma
Marcio Santos, Technical Consultant
Factory Automation da
Siemens no Brasil. |
|
|
Seja qual for o intuito dessas
ameaças – ganhar dinheiro, desestabilizar
governos ou desafiar empresas
–, é cada vez mais crítico estar prepa- rado
– o que, nesse caso, significa ter uma estratégia de defesa
que previna a maior parte dos ataques, reduza riscos e
permita uma recuperação rápida em caso de invasão.
Devido à altíssima necessidade de conectividade dos
sistemas industriais e nuvem a níveis corporativos, decorrentes
do processo de transformação digital, é possível afirmar
que ataques de ransomware se tornarão cada vez mais comuns.
Não se discute mais SE isso vai acontecer novamente,
mas QUANDO um novo ataque global desse tipo acontecerá.
Diante disso, a Indústria não tem outra opção, que não
seja elevar e aplicar em larga escala medidas e camadas de
proteção de segurança, que impeçam e/ou minimizem as
possibilidades e consequências de ataques dessa natureza.
Da mesma forma que o empresariado discute a adoção de
tecnologias digitais no processo de transformação digital das
empresas, a adoção de proteção cibernética deve fazer parte
da agenda de todo e qualquer projeto de transformação
digital, independente da sua grandiosidade. |
|
|
|
|
|
|
|
|
Antes de “puxar o gatilho” que dispara o ataque,
os cibercriminosos investem tempo e esforços estudanControle
& Instrumentação Nº 239 | 2018 41
do, planejando, obtendo informações e desenvolvendo
a estratégia de ataque. E tudo isso para quê? Se, por um
lado, os ataques a indivíduos (via smartphones e computadores
pessoais, por exemplo), ao sistema financeiro
e a estruturas de TI objetivam o desvio de dinheiro e a
coleta de dados de clientes, por outro lado, no ambiente
fabril, as motivações são bem mais complexas, e incluem
espionagem industrial e desestabilização
de processos produtivos
e de mercados. Paulo Pironti,
Gerente de Desenvolvimento
de Negócios, Sistemas Industriais
de Segurança Cibernética
da Kaspersky Lab para
América Latina, afirma que
“muitos ataques, hoje, são parte
de uma ciberguerra entre estados
soberanos”. Segundo ele, o que era
tema de ficção já é realidade, e exemplifica
citando ataques dirigidos a países, “como foi o caso da Estônia,
em 2007, o ataque às usinas nucleares do Irã (2010)
e à cidade de Atlanta (EUA), paralisada (em março deste
ano) por um ransomware, o que custou milhões aos cofres
públicos e afetou mais de 6 milhões de cidadãos.” |
|
|
|
|
Guilherme Neves ressalta que, “além do crime organizado,
hoje os países desenvolvidos detêm conhecimento,
meios e pessoal para fazer esse tipo de ataques. Segundo o
The WallStreet Journal (https://www.wsj.com/articles/cataloging-
the-worlds-cyberforces-1444610710 ), existem 29
países com forças armadas dedicadas à guerra cibernética
, 49 países desenvolvem suas próprias armas cibernéticas,
e 63 países que utilizam ferramentas de espionagem cibernética.
Portanto estamos lidando também com interesses
econômicos de países. O último Fórum Econômico mundial
elegeu o segundo maior risco para o mundo depois
dos desastres naturais os ataques cibernéticos”.
Sofisticação e custos
Estudo de 2018, do ICS-CERT dos Estados Unidos,
concluiu que a perda financeira média de uma empresa
vítima de ataque foi de cerca de US$ 348 mil. Em companhias
com mais de 500 funcionários, as perdas médias
ultrapassaram US$ 497 mil. E 71% das empresas admitiu
ter sofrido de 2 a 5 ataques cibernéticos nos 12 meses
anteriores ao estudo. |
|
|
“O cibercrime está sempre evoluindo,
com invasores que constantemente desenvolvem
tecnologia e habilidades
avançadas para comprometer dados
e sistemas”, destaca Henrique
Monferrari, arquiteto de soluções
para indústria da Schneider Electric
Brasil. Essa sofisticação dos
cibercrimes também desponta
no relatório do McAfee Labs sobre
ameaças (www.mcafee.com/
enterprise/pt-br/assets/reports/rp-quarterlythreats-jun-2018.pdf). Diz o relatório que, “no primeiro trimestre
de 2018, houve desenvolvimentos técnicos notáveis
entre malfeitores, tentando aperfeiçoar as táticas e tecnologias
bem-sucedidas mais recentes para contornar as defesas
de seus alvos”. O relatório aponta, também, uma queda no
1º trimestre de 2018: de cinco novas amostras de malware
por segundo, em média, para 8 amostras por segundo, no
4º trimestre de 2017. A quantidade caiu, na comparação
entre esses dois períodos, mas isso não significa que os hackers
estejam menos atuantes. O que se pode dizer, sim, é
que eles não se cansam de aprimorar suas habilidades. |
|
|
|
|
|
A quantidade de ataques cibernéticos é muito alta e,
mesmo com muitas plantas ainda desprotegidas, “a grande
maioria dos ataques ainda não chega ao
sistema de controle, ou não são detectados
pela falta de sistemas de detecção
em plantas industriais”, afirma
Alexandre Peixoto, especialista de
cibersegurança da Emerson”. E,
quando se fala em exposição de
sistemas de controle, ele considera
o evento Wannacry, em maio de
2017, como um “divisor de águas”. |
|
|
Foi numa sexta feira, fim de tarde em
Austin, Texas, onde Peixoto trabalha. O telefo- n e
começou a tocar em sequência. “Canais de vendas, clientes,
todos perguntavam as mesmas coisas: o que fazer? qual o próximo passo?”. Peixoto destaca que a problemática do Wannacry
e do igualmente devastador NotPetya era o Windows XP.
“A Microsoft já havia emitido aviso informando que cessaria
o suporte ao Windows XP, ainda utilizado em boa parte da
base instalada industrial. Um ‘curativo’ lançado tardiamente
pela Microsoft para o Windows XP foi interpretado por muitos
como uma atualização abrangente do já descontinuado sistema
operacional – o que não era verdade. Além disso, muitos
não detectaram um ataque anterior, meses antes, que roubou
senhas de acesso. Quem ficou por um longo tempo sem mudar
senhas ainda estava vulnerável”. É elementar como uma
coisa simples, como mudanças constantes de senha, pode
fazer toda a diferença num ataque cibernético. “Pessoas demitidas
e com ímpeto de vingança, funcionários que informam
dados sensíveis ao cair em golpes telefônicos e por e-mail, por
incrível que pareça, isso ainda acontece com frequência”, afirma
Peixoto.
Um levantamento feito durante 18 meses pela Cyber
X Labs (Global ICS & IIoT Risk Report – October 2017),
corrobora o executivo da Emerson destacando que:
|
• Um terço das plantas industriais estão conectadas na Internet
– tornando-as acessíveis para hackers e para explorações
de suas vulnerabilidades, através de malwares
e de configurações incorretas, acabando com o mito
de que redes industriais não precisam ser monitoradas
ou corrigidas, porque elas estão “isoladas” da Internet.
• Cerca de 75% das plantas industriais têm sistemas obsoletos
do Windows como Windows XP ou Windows
2000. Desde que a Microsoft não desenvolve mais
correções de segurança para sistemas legados, eles
podem ser facilmente comprometidos por malwares
destrutivos tais como o WannaCry, NotPetya, Trojans
como Black Energy, e novas formas de ransomware.
• Aproximadamente 60% das plantas industriais têm senhas
de texto simples rodando em suas redes de controle,
o que pode ser detectado por invasores que estão
desenvolvendo um reconhecimento cibernético, para
então comprometer dispositivos industriais críticos.
• Metade das plantas industriais não estão rodando nenhuma
proteção de antivírus, aumentando o risco de
infecções silenciosas por malwares.
• 20% das empresas têm pontos de acesso wireless, que
podem ser utilizados pelos hackers como pontos de
entrada, além de poder comprometer os WAPs (Wireless
Application Protocols) através de configurações
incorretas e outras vulnerabilidades.
• Em média, aproximadamente um terço de todos os
dispositivos (28%) em cada planta está vulnerável.
• 82% das plantas industriais está rodando protocolos
de gerenciamento remotos, como RDP, VNC e SSH.
Uma vez que os hackers comprometeram uma rede
industrial, isso torna fácil conhecer como o equipamento
está configurado e, eventualmente, como se
poderá manipulá-lo.
“Grande parte das redes industriais foram implementadas
anos atrás, muito antes da proliferação da conectividade
com a Internet e a necessidade de inteligência. As principais
prioridades características das redes industriais eram desempenho
e confiabilidade, ao invés de segurança. Assumiu-se
que as redes industriais eram seguras, porque elas estavam
fisicamente separadas da Internet e das redes de TI corporativas.
No entanto, os ransomwares WannaCry e NotPetya mostraram
como é fácil para os adversários penetrarem em redes
industriais e interromperem a produção – causando milhões
de dólares em perdas – enquanto a rede elétrica da Ucrânia
atacada pelos hackers mostrou como os ataques direcionados
podem interromper a infraestrutura crítica e impactar
grandes porções da população civil,” ressalta Milton.
Guilherme neves lembra que não é possível criar uma
defesa 100%; no entanto, é possível criar mecanismos de
segurança e alerta que podem auxiliar muito na prevenção,
detecção e tratamento de incidentes. “A metodologia
da ISA99 / IEC62443 acaba de lançar o quinto documento
que trata de segurança de componentes, e abrange procedimentos
nos diversos níveis da organização para mitigar
os riscos. O grande desafio das empresas é tratar o legado,
que muitas vezes não tem substituto, ou não é economicamente
viável; existem hoje soluções técnicas, como o
proxy de aplicação, que faz o meio de campo entre o sistema
legado inseguro e o ambiente do operador, criando
uma camada de segurança, possibilitando a sobrevida do
sistema legado. Outro grande desafio para a segurança são
os dispositivos IoT cada vez mais presentes – a tendência é
termos 30 bilhões de dispositivos conectados até 2030, 7
bilhões só na indústria. Na sua maioria, esses dispositivos
não têm nenhuma certificação de segurança, mas existe
uma iniciativa da ISA para certificar os dispositivos de automação,
inclusive IoT e Wifi, porém, ainda são poucos os
fabricantes que aderiram”.
Neves faz parte de um comitê sobre a ISA 62443 nos
EUA que, semanalmente, se reúne e pede atenção para a
lista de normas a serem seguidas:
ANSI/ISA-62443-1-1 (99.01.01)-2007, Security for Industrial
Automation and Control Systems Part 1-1: Terminology,
Concepts, and Models
ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial
Automation and Control Systems Part 2-1: Establishing
an Industrial Automation and Control Systems
Security Program
ISA-TR62443-2-3-2015, Security for industrial automation
and control systems Part 2-3: Patch management in
the IACS environment
ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for industrial
automation and control systems Part 3-3: System security
requirements and security levels
ANSI/ISA-62443-4-1-2018, Security for industrial automation
and control systems Part 4-1: Product security development
life-cycle requirements
ANSI/ISA-62443-4-2-2018, Security for industrial automation
and control systems Part 4-2: Technical security
requirements for IACS components
“Segurança cibernética é um processo de aprimoraControle
& Instrumentação Nº 239 | 2018 43
mento contínuo, uma vez que modernas técnicas de invasão
são desenvolvidas a cada momento; na mesma medida, os
sistemas de proteção também precisam ser constantemente
avaliados e atualizados, de forma a acompanhar a velocidade
de desenvolvimento dos ataques em si. Seguimos modelos
internacionais de sistemas de proteção baseados em defesa
em profundidade, no qual diversas camadas de segurança
são aplicadas no intuito de proteger sistemas industriais. Em
termos de ransomware, recomendamos fortemente que sistemas
computacionais e industriais sejam constantemente
atualizados, uma vez que é prática comum dos ransomwares
terem como alvo sistemas desatualizados e vulneráveis. No
caso de sistemas legados ou que não podem ser atualizados
constantemente, recomendamos o uso de softwares Whitelisting,
que impedem a execução de softwares e aplicativos não
homologados e cadastrados na lista de softwares confiáveis.
Outra recomendação é a adoção de práticas da IEC62443, a
qual versa sobre sistemas de segurança aplicados no ambiente
industrial. Recentemente, nossa fábrica de componentes
de automação em Amberg, na Alemanha, recebeu da TUV,
a certificação TUV IEC62443 na categoria fornecedor, dando
origem ao conceito Secure By Design”, conta Marcio.
|
|
Bloqueando ataques |
|
|
É preciso admitir: as ciberameaças ao ambiente industrial
são um efeito colateral do fenômeno global, denominado
Indústria 4.0. Seu crescimento contínuo e, com ele,
a adoção de sistemas IoT (Internet das Coisas), como câmeras,
termostatos, dispositivos de chão-de-fábrica, entre
diversos outros, aumenta os riscos de invasões cibernéticas,
opinam Pironti, da Kaspersky, e Alexandre Peixoto, especialista
em cibersegurança da Emerson. E isso pode, sim, atrasar
um pouco a modernização do parque industrial
brasileiro, avalia Peixoto. “Empresários, CEOs
e gerentes podem escolher aprender antes,
estabelecer um plano de cibersegurança,
modificar suas redes e, só então, partir
para a adoção de novas tecnologias”. Já
Ana Rodrigues, vice-presidente da ISA e
à frente do Distrito 4 (Brasil), já avalia que
“a questão da cibersegurança pode ser um
motivador para a modernização do parque
industrial brasileiro a modernização traz mais
segurança às indústrias”. |
|
|
Para Pironti, “investir em segurança industrial não implica
em custo – até porque o custo de paralisação de uma
empresa ou de sua cadeia de suprimentos é imensurável.
Além da perda de faturamento, existem os custos de danos
à marca, reputação e com outras empresas da cadeia de
suprimentos.” Ele acredita que os investimentos em segurança
industrial devem ser feitos da forma correta, o que
vai muito além de adotar soluções de segurança cibernética.
“Há grande preocupação com ataques externos,
porém, grande parte das contaminações está dentro de
casa. Celulares, pen-drives, discos externos, conexões com
internet são considerados os principais vetores de ataque
no ambiente industrial. Computadores de terceiros, que
são conectados à rede para a realização de serviços, são
outros fatores de risco. Procedimentos internos de segurança,
conscientização e treinamento para os funcionários
são necessários, aumentam a segurança consideravelmente,
e devem estar aliados as ferramentas de proteção para
as estações e as redes de comunicação”, detalha Pironti.
É totalmente possível prevenir ou minimizar os ataques
cibernéticos. Paulo Pironti, da Kaspersky, lembra
que é possível barrar os ataques, tomando decisões em
tempo real para evitar que ocorram. “Existem ferramentas
que alertam o gestor de Segurança ou o próprio pessoal
de operação a tomar ações, com base na análise de dados
que trafegam na rede de comunicação dos Controladores
Lógicos Programáveis (CLPs) e estações servidoras e de trabalho.
A proteção blinda essas estações contra malware
e ações de criptografia, bloqueia ataques direcionados,
evita que uma ou mais estações sejam conectadas a redes
Wi-Fi desconhecidas, impede a conexão de qualquer
dispositivo (pendrive, celulares, discos externos), cria lista
branca de aplicativos. No caso das redes industriais, soluções
que utilizam tecnologia de Inteligência Artificial e
Machine Learning monitoram e ´aprendem´ como a rede
funciona e o que trafega por ela. Quando algo diferente
aparece, o gestor de Segurança, ou mesmo o operador,
recebe um aviso para tomar as devidas providências, pois,
foi detectada invasão, controles mal-intencionados, novos
dispositivos que entraram na rede e não estavam ali previstos”,
detalha. |
|
Manual em português
“Muitas empresas começaram a usar normas de TI no
mundo de TA, e descobriram rapidamente que elas não
se aplicavam. As demandas desses ambientes são
bem diferentes, em termos de disponibilidade e
de recuperação de dados. Regras de segurança
cibernética diferem muito nesses mundos. Em
automação industrial não se pode, por exemplo,
ter paradas de sistemas”, ressalta Ana Rodrigues.
A norma ISA99 foi criada em 2002, especificamente
voltada à segurança de sistemas de
controle e automação industrial. Mais tarde, ela
foi o ponto de partida para a elaboração da norma
IEC62443. Em 2010, essas normas passaram a ser conhecidas
como ISA/IEC 62443, e suas boas práticas são
utilizadas globalmente por indústrias diversas. No entanto,
sua versão oficial continua sendo a originalmente publicada
no idioma inglês. Inúmeras empresas no Brasil a
adotam, e esse número só tende a aumentar. Ainda que
muitos profissionais tenham conhecimentos de inglês,
um material em português facilitaria o entendimento e a
adoção das normas no país. A boa notícia é que a elaboração
desse material já está em fase avançada. Chamado
de Manual de Utilização e Aplicação da ISA/IEC62443, o
material está sendo desenvolvido pelo grupo de trabalho coordenado pelo engenheiro Guilherme Neves,
da ISA/RJ. |
|
|
João Bassa, Diretor de Normas da ISA
D-4, explica que esse Manual “tem por
objetivo ajudar a disseminar amplamente
todo o conhecimento contido nas normas
ISA/IEC62443 e, com isso, vai facilitar o
acesso de todo o pessoal técnico e de engenharia
às melhores práticas reconhecidas
pelo mercado mundial”. Bassa destaca, ainda,
que “estão se formando grupos na ABNT para tradução
das normas IEC62443, no sentido de que se tornem
uma NBR, e o Manual que estamos preparando também
poderá contribuir grandemente com esse trabalho”. Na
opinião de Bassa, “os executivos das grandes empresas
entendem que a utilização de normas traz diversos benefícios
para toda a sua cadeia de fornecimento. Em última
instância, reduzem-se custos, e o Manual de Utilização e
Aplicação da ISA/IEC62443 em português vai democratizar
esse conteúdo entre empresas nacionais”. |
|
|
A ISA D-4 já oferece ao mercado uma série de capacitações
técnicas e certificações de profissionais com base
na norma ISA/IEC62443. “Estamos capacitando instrutores
brasileiros para que esse treinamento seja em português”,
explica Rodrigues.
“Orientamos a todas as nossas bases instaladas a disponibilizar
um tempo de seus profissionais de Automação e TI
para reuniões sobre o tema – entre si e conosco –, para uma
análise em conjunto das condições atuais de cada sistema
de controle”, comenta Argolo, executivo da Yokogawa.
Lição de casa
Diversas indústrias já se deram conta de que os ataques
cibernéticos devem ser objeto de planos emergenciais,
como os que existem, na maioria das fábricas, para
eventos como quedas de energia e incêndios. As empresas
de automação industrial vêm oferecendo a seus
clientes um portfólio crescente de serviços, incluindo os
relacionados à segurança. Adotar a postura que o mercado
vem chamando de ciber-higiene – conceito relativo às
boas práticas de segurança no ambiente de internet – inclui
mais do que uma defesa em profundidade.
Trata-se de atualizar sistemas de forma sistemática,
periódica e correta, de mapear além
dos equipamentos e sistemas, identificando
e entendendo todo o campo das vulnerabilidades
do ambiente industrial. Fazer avaliações
de risco com regularidade é uma das
atividades de ciber-higiene, recomendadas
por Peixoto, da Emerson: “Todo usuário deveria
realizar avaliações de cibersegurança em seus
sistemas de controles e redes periféricas frequentemente,
para saber exatamente em que ponto a planta está
em termos de segurança.” Para ele, em termos de sistemas
de controle, há muita “lição de casa” que ainda precisa
ser feita, antes de pensar num software sofisticado para
gerenciamento de rede e de senhas. “Há ações de baixo
ou nenhum custo que são óbvias, simples e podem ser
feitas imediatamente, e que muitos não pensam em fazer”,
destaca. Ele se refere, por exemplo, ao cumprimento estrito
das políticas de acesso físico, sem se deixar dobrar
pela conveniência de desabilitar uma ou outra proteção
já estabelecida. Atualizar regularmente o plano de respostas
a ciberincidentes, adotar um programa de backup
e recuperação, estabelecer critérios rigorosos que limitem
os acessos remotos, trocar senhas com a frequência exigida,
entre outras, também fazem parte dessas ações.
Milton, da Imbel – FI, sugere uma blindagem contra
ataques que inclui implementar uma defesa de múltiplas
camadas com monitoração contínua – monitoramento
contínuo e detecção de anomalias, Defesa Cibernética
Ativa: identificação de ativos e monitoramento seguro
da rede; resposta a incidentes; e tratamento de ameaças
e vulnerabilidades. Também se devem identificar as
vulnerabilidades mais críticas do sistema e desenvolver
um modelo de ameaças automatizado, para localizar e
detectar os passos mais prováveis para a execução de um
ataque cibernético. E, principalmente, educar os empregados
da planta e reforçar as regras de segurança corporativa
e integrar a equipe operacional com a equipe de TI
das empresas, buscando a segurança da informação e das
operações em toda a companhia. |
|
De quem é a responsabilidade?
Muito além de software e de hardware, a cibersegurança
é uma questão comportamental, e Alexandre
Peixoto, especialista em cibersegurança da Emerson,
destaca que a responsabilidade por ela se distribui por
três níveis:
1º) O fabricante – deve ter a segurança no alicerce do
desenvolvimento de seus produtos e escrever códigos
seguindo boas práticas de segurança;
2º) O integrador – deve entender perfeitamente o sistema
e seguir boas práticas. “O produto é muito bom e
seguro, mas, é preciso saber entregá-lo e configurá-lo
corretamente, seguindo as recomendações do fabricante”,
destaca Peixoto;
3º) O usuário – o sistema de controle é ótimo, quem entregou
fez tudo certo, porém, é essencial a adesão total do
usuário às medidas de segurança intrínsecas. “O usuário
quer compartilhar arquivo, quer senhas curtas, etc.
e, para isso, desabilita funções e desabilita as proteções
desenvolvidas pelo fabricante e entregues pelo integrador.
Há muitos itens que são realmente inconvenientes,
como mudanças constantes de senha, por exemplo, porém,
eles são necessários”, afirma Peixoto. |
|
|
|
|
|
|
|
|
|
LEIA MAIS
NA EDIÇÃO IMPRESSA |
|
DESEJANDO
MAIS INFORMAÇÕES: redacao@editoravalete.com.br
|
|
|
Clique na capa da revista para
ler a edição na íntegra |
|
|