Redes de Automação Industrial – Defesa em profundidade
A segurança das redes industriais de automação é um conjunto de atividades que abrange tecnologias de hardware e softwares para impedir a ação da variedade de ameaças à integridade das redes, seus dados, ambientes e usuários. Com isso dispositivos e softwares são usados como barreiras confiáveis utilizando-se de funções de segurança embarcadas e que definem a função destas ferramentas. Devemos explorar todos os produtos com controles de segurança, principalmente NGFirewall, IDS, Antimalware incluindo os dispositivos de redes industriais que já incluem funções de segurança que muitas vezes precisam ser habilitadas.
O uso efetivo e correto das funções de segurança nos dispositivos das redes industriais é importante em diversas fases da existência do ativo, desde o projeto destes dispositivos e também do projeto de engenharia do ativo. Essas funcionalidades bem aplicadas também atendem como contramedidas muito eficazes na mitigação de riscos de segurança cibernética industrial pois têm uma abordagem de defesa em profundidade. É importante estar atento em todas essas fases de aplicação dos dispositivos, sendo no projeto dos mesmos, na especificação, na aquisição, na implantação, na manutenção e na atualização.
Para o desenvolvimento de produtos e sistemas seguros, são estabelecidos diversos requisitos. Deve-se sempre considerar esses requisitos no momento de elaboração de especificação técnica para aquisição, numa avaliação técnica de propostas de fornecedores, no momento de configuração, instalação, testes e quando operativos, manter uma avaliação periódica, sua atualização e correção.
Requerimentos de componentes são avaliados de acordo com diversos fatores que indicarão as corretas funções para aquele tipo de dispositivo ou software, como:
Aplicação do software, ou host ex.: Estação de Operação, Historiador de Dados
Dispositivo incorporado ou de rede, ex.: PLC, IED, Switch, terminal VPN
Importante também considerar a aplicação dos dispositivos de redes de forma integrada, ou seja, no contexto funcional que se encontra, o objetivo de sua aplicação, os cenários possíveis na operação normal do processo ou em caso de emergências ou ocorrência de incidentes cibernéticos. Considerar também os perfis de usuários e operadores, as configurações adequadas para determinada aplicação e também o seu ciclo de vida, a degradação do equipamento ou obsolescência.
Os requisitos fundamentais para avaliação do nível de segurança e aplicação de contramedidas:
1. Controle de Identificação e Autenticação
2. Controle do Uso
3. Integridade do Sistema
4. Fluxo de Dados Restritos
5. Tempo de Resposta aos Eventos
6. Disponibilidade de Recurso
Os requisitos fundamentais englobam diversos princípios do sistema e seus níveis de aplicação avaliando o sistema em consideração, considerando e não se limitando a:
- Identificação e autenticação de usuários;
- Identificação e autenticação de dispositivos e softwares;
- Gestão de contas, identificação, autenticação e acesso wireless, de dispositivos portáteis e móveis;
- Notificação do uso do sistema;
- Acesso via redes não confiáveis;
- Eventos auditáveis e resposta às falhas;
- Proteção contra códigos maliciosos;
- Uso de criptografia;
- Segmentação de redes e proteção de borda;
- Monitoramento contínuo;
- Backup e restabelecimento do sistema.
Fonte: ANSI/ISA-62443-3-3 – Security for industrial automation and control systems – System security requirements and security levels
A conformidade com normas técnicas de segurança e a certificação de produtos e softwares é uma verificação importante para a utilização de dispositivos e aplicações seguras que garantem a segurança dos ativos de nossos clientes e de seus negócios como um todo.
Os serviços de cibersegurança da Snef estão ancorados nos três pilares da segurança cibernética industrial: Integridade / Disponibilidade / Confidencialidade, que sustentam as práticas e políticas nesta área. A Snef também está alinhada às exigências do ONS e aplica em seus projetos de engenharia, no centro de operações próprio e de seus clientes todas as diretrizes relacionadas à política de segurança cibernética.