10 minute read
Atual Situação da Cibersegurança para Sistemas de Tecnologia Operacional
Alexandre Peixoto Diretor de Negócios de Cibersegurança, Process Systems & Solutions, Emerson Automation Solutions
Antes de entrar no mérito de como proteger ecossistemas de controle e automação, precisamos entender que não há como resolver todos os problemas de cibersegurança com uma única e simples solução. Inclusive, na grande maioria dos casos, há necessidade de envolvimento de mais de uma empresa fornecedora de soluções e serviços de segurança, para diminuir a probabilidade de um ataque cibernético.
Estamos em 2022, e, por vários anos, os evangelistas de cibersegurança já mencionavam que, em breve, a situação estaria bem crítica para sistemas de tecnologia operacional. Nunca foi necessário ter alto nível de QI para prever o que estamos vivenciando atualmente. Ainda hoje, usam-se sistemas obsoletos, sem suporte de fabricante e com mínima cobertura de ferramentas de proteção e/ou monitoramento dos sistemas de controle. Infelizmente é fato que a maior parte das plantas industriais hoje ainda roda com sistemas de controle que utilizam abordagem “airgap”, como método de proteção contra ataques relacionados a cibersegurança.
Dados os repetidos ataques com uso de ransomware, seguidos das divulgações mais recentes de ferramentas hacker, com alvo no uso legítimo de tecnologias como OPC UA, entre outros, temos que algumas empresas no setor industrial iniciaram a abordar o tema de cibersegurança com maior prioridade. Entretanto, ainda é comum se deparar com verticais, como área farmacêutica em que cibersegurança é tema da Tecnologia de Informação (TI), que define as estratégias e táticas de cibersegurança, com base em ferramentas que não são compatíveis com sistemas de controle, atualmente. Os setores de Óleo & Gás, Químico & Petroquímico, entre outros, são mais conservadores, e focam em cibersegurança com intuito de proteção, não conveniência. O maior problema que vejo é que, apesar da movimentação dentro de alguns setores de mercado, ainda acredito que (1) a movimentação não é significante ainda; e (2) cibersegurança ainda não é uma prioridade para os clientes do setor de automação industrial.
O fato importante nessa discussão é entender que uma implementação levará tempo para iniciar e ser concluída, exige investimento, que pode até parecer com conversas sobre seguro patrimonial, e se o cliente acha que pode economizar com ferramentas que “resolvem rapidamente” as deficiências de cibersegurança que o sistema em questão possui. Nossa resposta para tais indagações sempre estarão alinhadas com as estratégias e definições do cliente – desde que a conversa seja a favor do uso de software suportado, e com garantia do fornecedor. O foco em cibersegurança para a tecnologia operacional tem alimentado o mercado de provedores de serviços, e soluções diversas para plantas industriais. Fornecedores de sistemas de automação estabelecem parcerias com empresas de cibersegurança, mas não na mesma proporção em que os operadores de plantas industriais utilizam as diversas ferramentas disponíveis no mercado. A dificuldade, em geral, é entender até onde vale a pena utilizar ferramentas não suportadas pelos fornecedores de automação (priorizando as funcionalidades e benefícios das soluções de cibersegurança), ou utilizar soluções suportadas pelos fornecedores de automação (priorizando a rapidez e eficácia do suporte às soluções que podem não estar alinhadas com as estratégias dos departamentos de TI das empresas usuárias de automação e cibersegurança).
Dado o exposto, é comum ver operadores industriais utilizando normas internacionais, como a série ISA/IEC 62443, de maneira unilateral, ou seja, fazer uso destas normas de maneira prescritiva, ou até mesmo para sustentar decisões de como arquiteturas ou ferramentas de cibersegurança devem ser fornecidas por empresas de automação, para sistemas de controle industriais. A verdade é que as normas internacionais, apesar
de excelentes ferramentas para ajudar na definição de políticas de cibersegurança, não são prescritivas, e também não cobrem aspectos de arquitetura de maneira unilateral – na grande maioria as arquiteturas listadas nas normas, são bem superficiais, e cobrem todos usos de caso, para que justamente não exista uma polarização ou preferência dada em nome dos usuários – operadores são os principais responsáveis em definir, implementar e manter as estratégias de cibersegurança que serão utilizadas no nível de controle (usualmente Níveis 0, 1 e 2, do modelo Perdue, ou ISA95). A recomendação aqui é sempre usar normas internacionais aceitas no mercado, porém, como guia do que deve ser feito. Vista a superficialidade das normas, apenas mencionar em solicitações de proposta que “...o sistema de controle deve atender as normas IEC 62443...” realmente não agrega muito para a discussão – uma melhor abordagem desse tema seria: “...sistemas de controle devem atender os requerimentos da norma IEC 62443-3-3 relativos ao nível de segurança 1...” ou ainda “...empresas de engenharia responsáveis pela implementação dos sistemas de controle com cibersegurança devem ser certificados conforme normas IEC 62443-2-4...”, ou mesmo “...fornecedores de sistemas de controle industriais devem ter seus processos de desenvolvimento tecnológico certificados conforme norma IEC 62443-4-1...”.
Em relação às soluções de cibersegurança para tecnologia operacional, apesar da complexidade de opções, temos de focar no básico, primeiramente. A maior parte das plantas industriais ainda tem muito o que melhorar nas estratégias de proteção, monitoramento, e manutenção de sistemas de controle. De maneira geral, operadores têm dificuldade para garantir investimentos para manter sistemas de controle atualizados, implementar as corretas tecnologias de proteção, e lentamente chegam a tocar no tema de monitoramento. Existem diversas justificativas para não atualizar sistemas, mas manter sistemas de controle em funcionamento, utilizando sistemas operacionais obsoletos, não vai ajudar em nada com a proteção de cibersegurança. Recomendação prioritária é mudar a política de atualização de sistemas de controle, para sempre estarem em nível suportável, para que atualizações recorrentes estejam disponíveis, e, além disso, estas atualizações devem ser implementadas invariavelmente, já que hackers vão tentar utilizar vulnerabilidades de sistemas operacionais para iniciar um potencial ataque.
Além das atualizações, o segundo tema de cibersegurança é sobre o uso de ferramentas e soluções que protegem os sistemas de controle. Infelizmente, ainda se vê no mercado o uso simplificado de alguns firewalls e antivírus. Pouco se fala sobre uso mais aprofundado de firewalls, uso combinado de antivírus com ferramentas whitelisting (ou mesmo uso de antivírus de nova geração com funcionalidades avançadas). Nota-se rapidamente que, se os sistemas de controle estão baseados em software desatualizado e/ou não suportados, e, além disso, não existem ferramentas de proteção bem implementadas, a exposição a um potencial ataque cibernético é exponencialmente maior.
Finalmente, temos o tema #3, e não menos importante, que tem a ver com o monitoramento de sistema de controle, com enfoque em cibersegurança. Não é difícil perceber que, se investimentos em cibersegurança não podem ser facilmente assegurados, então, soluções mais avançadas de monitoramento, também não serão consideradas. Além da cópia backup de arquivos de sistemas de controle para recuperação de sistemas, em caso de falha ou ataque cibernético, o armazenamento de registros históricos é importantíssimo, para ajudar a entender qual foi a raiz do ataque, e melhorar as proteções para evitar um segundo ataque, com as mesmas causas raiz. Monitoramento não é algo simples, e, antes de investir em ferramentas que correlacionam dados de sistemas de controle, as operadoras precisam definir quem, na hierarquia dos funcionários, vai ser responsável por verificar os registros e alertas periodicamente. Em caso de falta de uma equipe responsável para revisão de registros e alertas, recomenda-se a terceirização destas funções: alguns fornecedores de sistemas de automação podem ajudar com serviços, que cobrem a escassez de recursos por parte dos seus clientes, como um exemplo.
Fornecedores de sistemas de automação são normalmente atribuídos às funções de garantir que os arquivos e software provejam a funcionalidade dos sistemas de maneira segura, para que os usuários industriais tenham tranquilidade de que as ferramentas usadas dia a dia não estejam comprometidas do ponto de vista cibernético. Apesar da atribuição, e de maior responsabilidade na garantia de que estas mencionadas ferramentas estejam realmente “seguras”, quando disponibilidades eletronicamente, existe uma cadeia de tarefas que devem ser distribuídas, não somente aos fornecedores. A famosa frase popularizada mundialmente por Ronald Reagan “Confie, mas verifique” (do inglês “Trust but verify”), é uma recomendação bem atualizada, e que deve ser empregada no âmbito cibernético. Em termos práticos, concordo que fornecedores de sistemas de automação são responsáveis pelo desenvolvimento e distribuição segura de software usado em plantas industriais, porém, nem por isso, sugiro que usuários e operadores simplesmente aceitem essa premissa como válida sempre. Portanto, independentemente de quem forneça ferramentas para uso industrial e de quais promessas façam, sempre certifique-se de que arquivos executáveis possuem assinatura eletrônica comprovada e válida, utilize ferramentas antivírus e whitelisting, para checar e validar as ferramentas, antes que as mesmas sejam executadas, utilize mecanismos de transferência de arquivos com cheques contínuos de integridade de arquivos, e mantenha o monitoramento correlacionado com uso de soluções SIEM, ou de detecção de anomalias, constantemente, para que no eventual caso de um comprometimento dos sistemas, haja tempo de intervir e reduzir a abrangência do ataque cibernético.
Uma outra técnica que vem do lado de TI, e que têm se tornado mais comum para a tecnologia operacional, é a definição de políticas e procedimentos de cibersegurança para sistemas de controle, desenvolvimento de um plano de resposta a incidentes cibernéticos e a execução de programas de respostas aos
incidentes cibernéticos, com apoio dos próprios fornecedores de automação. Não é difícil de entender que, sem regras claras sobre o que deve ser feito, não há muito a ser feito, de maneira coordenada e com consistência. Os planos de respostas a incidentes cibernéticos definem como reagir, em caso de um potencial ataque cibernético, e esses planos podem ser focados aos sistemas de controle industriais, incluindo simulações para verificação dos procedimentos de maneira recorrente – isso é uma analogia ao que hoje é feito em todas as plantas industriais, com relação à segurança do patrimônio, pessoais e processos. Com base em um plano de respostas a incidentes cibernéticos (voltado aos sistemas de automação), aí sim cabe a habilitação de serviços disponíveis, para apoio em caso de potencial ataque. Assim como já mencionado anteriormente nesse artigo, o foco da contenção de um ataque cibernético é primeiramente o de controlar o impacto do problema, e retomar controle da produção industrial rapidamente, mas sem apagar os vestígios do ataque para que, durante a fase de melhoria contínua, as proteções existentes (ou não) sejam corrigidas, para que um mesmo tipo de ataque não venha a ter sucesso com a mesma instalação industrial.
Por fim, entendemos que a exposição aos problemas de cibersegurança, no meio industrial, estão relacionados diretamente com a baixa proteção existente nos sistemas de controle instalados nas plantas industriais, por todo o mundo. É óbvio que plantas industriais caracterizadas como infraestrutura crítica, como, por exemplo, o mercado de Óleo & Gás, se tornam alvos importantes de iniciativas criminosas, que focam o impacto comercial, pessoal e até mesmo político, visto que estes trazem maior ganho financeiro por parte dos hackers.
Isso posto, é fundamental sair do estado de negação (que isso não vai acontecer aqui comigo), e começar a abordar o tema de cibersegurança para os sistemas de tecnologia operacional de maneira séria. A busca por investimentos, para garantir que sistemas de controle estejam sempre atualizados, e utilizando soluções de proteção e monitoramento, é imprescindível, na situação em que vivenciamos atualmente.
A abordagem de cibersegurança não é simples, mas ficar parado não ajuda. Realize auditorias de cibersegurança, para entender o estado dos processos, tecnologias e pessoas envolvidas na cibersegurança das plantas industriais. Com base nos resultados das investigações iniciais, defina planos de retenção, para controlar o problema em estágios de curto e longo prazo. Execute o plano, para que, em alguns anos, a conversa sobre cibersegurança para sistemas de controle seja completamente diferente para você! No plano de curto prazo, inclua soluções que ajudem com reparos rápidos, suporte de fornecedores de confiança, e serviços de resposta a incidentes, já que não há como controlar o que pode acontecer, até que o plano de longo prazo esteja totalmente em prática. Os riscos de um potencial ataque cibernético a plantas industriais não é mais uma hipótese remota, mas sim uma questão de tempo. Basta aos responsáveis por estes sistemas de controle colocarem em execução o plano, para que quando o problema ocorrer, o impacto seja mínimo.
