Sistemas de Controle e Cibersegurança

A cibersegurança relacionada com a confidencialidade dos dados e informações tem sido, ao longo de décadas, uma questão de interesse, preocupação e atividade dos profissionais de TI em todo o mundo. Hoje em dia consome enormes recursos em investigação, desenvolvimento, contramedidas, firewalls e políticas.

As arquiteturas abertas e a aproximação com as tecnologias de informação também tornaram a segurança do IACS (Industrial Automation and Control Systems) uma busca de conhecimento, principalmente em infraestruturas críticas como a indústria de óleo e gás e produção e distribuição de energia elétrica. Na maioria dos casos a segurança privilegia a disponibilidade e integralidade do sistema de controle e dos parâmetros de processo, mais do que a confidencialidade. Um set point errado pode causar danos na infraestrutura física, no meio-ambiente e até na saúde humana.

A norma relativamente recente IEC 62443 aborda a segurança dos sistemas de controle de automação e visa atingir os profissionais da engenharia de automação, operação, manutenção e segurança. É também essencial para os fabricantes de sistemas de controle, de telecomunicações e de redes industriais, bem como para os organismos governamentais.

Do ponto de vista dos sistemas de controle, esta norma abrange pelo menos três camadas:

1.

O próprio sistema de controle, como um SDCD ou um CLP. A rede industrial destes sistemas, ligada ou não a outras redes (por exemplo: empresarial ou Internet) pode apresentar vulnerabilidades que comprometam a segurança e a proteção.

2.

Sistemas complementares como otimizadores em linha, sintonizadores, arquivadores históricos ligados ao sistema de controle principal (aquele que interfere diretamente no processo) também apresentam brechas a um mau funcionamento acidental ou malicioso.

3.

As interfaces humana e empresarial com o sistema de controle podem, da mesma forma, ser vulneráveis e apresentar preocupações com a cibersegurança.

A arquitetura e o ambiente do sistema de controle devem ser analisados dentro do contexto do negócio em si, a fim de determinar a implementação do sistema de cibersegurança, as tecnologias a utilizar e os procedimentos de gestão a seguir e sua permanente manutenção. Essa implementação torna-se necessária visto que os ciberataques são reais e a quantidade destes incidentes aumentam cada vez mais. A norma é um bom começo para se fazer uma avaliação exaustiva em qualquer sistema de controle.