Segurança em Automação - Como garantir a segurança em redes de automação e TI

Advisor

Análises independentes de tendências tecnológicas

para profissionais de TIC

Análisis independientes de tendencias tecnológicas

para profesionales de TIC

Segurança em

automação

Como garantir a

disponibilidade das

redes de automação

integradas à TI

Como garantizar la disponibilidad de las redes de

automatización integradas a TI

Seguridad en automatización

Foco | Foco

Tecnologias de

automação

Tecnologías de automatización

Tecnologia | Tecnología

Redes, segurança

Redes, Seguridad

Setor | Sector

Corporativo, Utilities

Corporativo, Utilities

Geografia | Geografía

América Latina

Latinoamérica

03 ...

Introdução

Introducción

04 ...

Contexto

Contexto

06 ...

Cenário

Escenario

11 ...

Desafios da segurança

El desafío de la seguridad

14 ...

O que fazer

Qué hacer

17 ...

Conclusão

Conclusión Outubro | Octubre 2014

Sumário | Sumario

Introdução

Atualmente as estruturas de tecnologia da informação (TI) e de tecnologia da automação (TA) convivem em ambientes paralelos, como áreas que não se falam e com orçamentos separados. Mas a evolução tecnológica e as exigências cada vez maiores por eficiência, inovação e controle dos processos estão, aos poucos e de forma inevitável, transformando essa realidade. A integração e a convergência das estruturas de TI e TA torna-se crucial para os negócios.

O processo de migração das redes de automação para um ambiente de protocolos abertos tende a ganhar importância à medida que os setores industriais e de utilities avancem em seus planos de investimento para ganhos de produtividade e busca de novas possibilidades de negócios e operacionais que poderão surgir com a convergência de TI e TA.

Com isso, surgem novos desafios para as empresas que precisam transformar suas redes sem criar

vulnerabilidades. A preocupação é real, como mostra uma pesquisa realizada pela PromonLogicalis no início deste ano com grandes empresas públicas e privadas. Os dados mostram que 71% das companhias já contam com uma política de segurança para as redes de automação.

Nesse movimento, a segurança não pode ser deixada de lado, já que se torna extremamente relevante em um ambiente de protocolo aberto, como o IP; abrindo brechas em ambientes de missão crítica e que, muitas vezes, controlam serviços fundamentais para a sociedade. Daí a importância de um planejamento claro de medidas que assegurem a disponibilidade dos sistemas para possibilitar, com segurança, a operação de equipamentos que controlam linhas de produção e toda infraestrutura de transporte, saneamento, abastecimento de energia e água.

Introducción

Actualmente, las estructuras de tecnología de la información (TI) y de tecnología de la automatización (TA) conviven en ambientes paralelos, como áreas que no interactúan y tienen presupuestos separados. Pero la evolución tecnológica y la exigencia cada vez más alta de eficiencia, innovación y control de los procesos están transformando esa realidad de manera gradual e inevitable. La integración y la convergencia de las estructuras de TI y TA se han vuelto esenciales para los negocios.

El proceso de migración de las redes de automatización a un ambiente de protocolos abiertos tiende a ser más importante a medida que los sectores industriales y de utilities avanzan en sus planes de inversión para ganar productividad y buscar nuevas posibilidades de negocios y operaciones que podrán surgir con la convergencia de TI y TA.

Con esto, surgen nuevos desafíos para las empresas, que necesitan transformar sus redes sin crear vulnerabilidades. La preocupación es real, como muestra una encuesta realizada por PromonLogicalis a principios de este año con grandes empresas públicas y privadas. Los datos muestran que el 71% de las empresas ya cuenta con una política de seguridad para las redes de automatización. En ese movimiento, no se puede dejar a un lado la seguridad, que se vuelve sumamente relevante en un ambiente de protocolo abierto, como el IP; eso abriría brechas en ambientes de misión crítica que, muchas veces, controlan servicios fundamentales para la sociedad. De ahí la importancia de una planificación clara de medidas que aseguren la disponibilidad de los sistemas para posibilitar, con seguridad, la operación de equipos que controlan líneas de producción y toda la infraestructura de transporte, saneamiento, suministro de energía y agua.

Contexto

O setor de automação industrial brasileiro vem se destacando na aplicação de tecnologias inovadoras. O movimento nesta direção, embora recente, é robusto. Dados das entidades setoriais apontam para um crescimento de 9% no faturamento desse mercado em 2014, cujo montante deve atingir R$ 4,3 bilhões. Segundo levantamento da Confederação Nacional da Indústria (CNI), os setores que mais contratam projetos nessa área são os de siderurgia, mineração, borracha e plástico, máquinas e equipamentos, eletrônico, automotivo e petróleo e gás. No total, eles representam 7,9% do Produto Interno Bruto (PIB) do país.

É importante destacar o setor de utilities, no qual as iniciativas para dar mais “inteligência” ao ambiente de produção vêm crescendo significativamente – e transformando os modelos de negócio. Um dos exemplos mais populares é o Smart Grid, conceito que, ao levar o IP para as redes elétricas, garante maior controle operacional e permite a criação de uma série de novos serviços ao consumidor.

Os avanços da TI nas últimas décadas fizeram com que os computadores (assim como os robôs) se tornassem protagonistas no ambiente industrial, transformando a realidade do chão de fábrica. A utilização de redes IP, interconectando toda a estrutura produtiva, faz com que os sistemas sejam ativos e coletem dados em tempo real para análise e conhecimento das áreas técnicas e gerenciais. Com isso é possível reduzir custos de manutenção, programar ações preventivas e aumentar a eficiência e a produtividade.

Contexto

El sector de automatización industrial brasileño está emergiendo en la aplicación de tecnologías innovadoras. El movimiento en esta dirección es reciente, pero sólido. Los datos de las entidades sectoriales muestran un crecimiento de 9% en la facturación de ese mercado en el 2014, con un monto que debe llegar a los R$ 4,3 mil millones. Según la encuesta de la Confederación Nacional de la Industria (CNI), los que más contratan proyectos en esa área son los sectores siderúrgico, minero, industria del caucho y plástico, máquinas y equipos, electrónico, automotriz y de petróleo y gas. En total, representan 7,9% del Producto Bruto Interno (PBI) del país.

Es importante resaltar el sector de utilities, donde las iniciativas para brindarle más “inteligencia” al ambiente de producción están creciendo significativamente – y transformando los modelos de negocio. Uno de los ejemplos más populares es el Smart Grid, un concepto que, como lleva el IP a las redes eléctricas, garantiza más control operativo y permite la creación de una serie de nuevos servicios al consumidor.

Los avances de la TI en las últimas décadas hicieron que las computadoras (al igual que los robots) se convirtieran en protagonistas en el ambiente industrial, transformando la realidad del piso de producción. La utilización de redes IP, interconectando toda la estructura productiva, hace que los sistemas sean activos y recopilen datos en tiempo real para análisis y conocimiento de las áreas técnicas y de gestión. Gracias a esto, es posible reducir costos de mantenimiento, programar acciones de prevención y aumentar la eficiencia y la productividad.

Os

avanços da TI

fizeram com que os

computadores se tornassem protagonistas

no ambiente industrial,

transformando a

realidade do chão de fábrica

Los avances de la TI hicieron que las computadoras se convirtieran en protagonistas

en el ambiente industrial, transformando la realidad del piso de producción.

Entre as vantagens trazidas pelos novos sistemas – baseados em padrões abertos e com maior "inteligência" embarcada – destacam-se o monitoramento detalhado e em tempo real das operações, possibilidade de antecipar necessidades de manutenção, menor tempo de produção e redução do consumo energético.

Na área de geração ou distribuição de energia, por exemplo, as redes inteligentes (smart grid), melhoram a eficiência do fornecimento, diminuem custos e dão mais confiabilidade ao serviço. As concessionárias que operam no Brasil já estão investindo na implantação de novos modelos de consumo a partir de produtos resultantes da smart grid. Existem exemplos bem sucedidos na Europa e Estados Unidos, que logo chegarão ao Brasil, de consumo pré-pago, tarifas diferenciadas de acordo com o horário, acionamento e desligamento remoto da energia pelo próprio consumidor, inclusive. Na Alemanha, as redes inteligentes de energia combinada à utilização massiva de energia solar na zona rural permitiu a criação de uma nova fonte de renda para os clientes, que passaram a atuar também com revendedores de energia.

A tecnologia das redes inteligentes permite identificar falhas com mais rapidez e isolar áreas atingidas, minimizando o impacto aos clientes. Trata-se de um ambiente em que a integração entre as redes corporativas e de automação é fundamental para o gerenciamento e o controle do processo produtivo em tempo real. O mesmo conceito se aplica e começa a ser praticado nas áreas de fornecimento de água, produção e distribuição de alimentos, sistemas de transportes etc.

Entre las ventajas ofrecidas por los nuevos sistemas – basados en estándares abiertos y con más “inteligencia” integrada – están el monitoreo detallado y en tiempo real de las operaciones, la posibilidad de anticipar necesidades de mantenimiento, un menor tiempo de producción y la reducción del consumo de energía.

En el área de generación o distribución de energía, por ejemplo, las redes inteligentes (Smart Grid) mejoran la eficiencia del suministro, disminuyen costos y le brindan más confiabilidad al servicio. Los servicios públicos que operan en Brasil ya están invirtiendo en la implementación de nuevos modelos de consumo a partir de productos resultantes de la Smart Grid. Existen ejemplos exitosos en Europa y Estados Unidos, que pronto llegarán a Brasil, de consumo pagado por anticipado, con tarifas diferentes según el horario, e incluso la posibilidad de que el mismo consumidor encienda o apague el suministro de electricidad de manera remota. En Alemania, las redes inteligentes de energía combinadas a la utilización masiva de energía solar en la zona rural permitieron crear una nueva fuente de ingresos para los clientes, que pasaron a actuar también con revendedores de energía.

La tecnología de las redes inteligentes permite identificar fallas con mayor rapidez y aislar las áreas afectadas, minimizando el impacto a los clientes. Se trata de un ambiente donde la integración entre las redes corporativas y de automatización es fundamental para la gestión y el control del proceso productivo en tiempo real. El mismo concepto se aplica y empieza a practicarse en las áreas de suministro de agua, producción y distribución de alimentos, sistemas de transportes etc.

Cenário

Depois de grandes investimentos feitos pelas indústrias automobilística, química e agora pelo setor de petróleo e gás, com a descoberta do pré-sal, a infraestrutura de tecnologia da automação (TA) do País passa por um processo de transformação significativa. As redes proprietárias, baseadas nos sistemas SCADA (supervisory control and data

acquisition), e o isolamento físico que ainda predominam começam a dar lugar às redes mistas ou até baseadas em protocolos abertos, a exemplo do IP - o mesmo utilizado nas redes de computadores das empresas, em nossos lares e principalmente no acesso a internet.

Uma pesquisa realizada com 51 gestores de redes de automação de grandes empresas públicas e privadas revela que essas organizações, em sua maioria, dispõem de redes de automação (TA) operando de forma separada fisicamente e logicamente das redes corporativas (TI). Isso é reflexo não só da preocupação constante com a segurança do ambiente de TA, mas também do histórico de desenvolvimento de produtos para esses ambientes, normalmente focado em protocolos proprietários. Há, no entanto, uma clara disposição dos gestores em realizar a integração das estruturas – 78% são favoráveis –, desde que sejam utilizados equipamentos de redes e segurança homologados pelos fabricantes dos sistemas de automação – 65% dos gestores manifestaram essa preferência.

Escenario

Después de las grandes inversiones hechas por las industrias automovilística, química y ahora por el sector de petróleo y gas, con la descubierta del “pre-sal”, la infraestructura de tecnología de la automatización (TA) del País ha pasado por un proceso de transformación significativa. Las redes propietarias, basadas en los sistemas SCADA (Supervisory Control and Data Acquisition), y el aislamiento físico, que todavía predominan, empiezan a darle lugar a las redes mixtas o incluso basadas en protocolos abiertos, como IP - el mismo utilizado en las redes de computadoras de las empresas, en nuestras casas y principalmente en el acceso a internet.

Una encuesta hecha con 51 gestores de redes de automatización de grandes empresas públicas y privadas revela que esas organizaciones, en su mayoría, disponen de redes de automatización (TA) operando de forma separada físicamente y lógicamente de las redes corporativas (TI). Eso refleja no sólo la preocupación constante con la seguridad del ambiente de TA, sino también el historial de desarrollo de productos para esos ambientes, normalmente enfocado en protocolos propietarios. Hay, sin embargo, una clara disposición de los gestores para realizar la integración de las estructuras – 78% son favorables –, desde que se utilicen equipos de redes y seguridad aprobados por los fabricantes de los sistemas de automatización – 65% de los gestores declararon esa preferencia.

A prioridade para sistemas de TI é a

confidencialidade

, enquanto que para sistemas

de TA é a

disponibilidade

La prioridad para los sistemas de TI es la confidencialidad, mientras que para los

sistemas de TA es la disponibilidad.

As organizações, em sua maioria, possuem a rede de automação (TA)

separada fisicamente e logicamente

das redes corporativas (TI)

Las organizaciones, en su mayoría, poseen una red de automatización (TA) separada física

y lógicamente de las redes corporativas (TI)

Na sua organização, as redes de automação (TA) são atualmente isoladas fisicamente das demais redes corporativas (TI)?

Na sua organização, as redes de automação (TA) são atualmente isoladas logicamente das demais redes corporativas (TI)?

¿En su organización, las redes de automatización (TA) son separadas actualmente físicamente de las demás redes corporativas (TI)?

¿En su organización, las redes de automatización (TA) son separadas actualmente lógicamente de las demás redes corporativas (TI)?

Cenário da Tecnologia de Automação

Escenario de Tecnología de Automatización

TA isolada

fisicamente

da TI

TA aislada físicamente de TI

TA isolada

logicamente

da TI

TA separada lógicamente de TI

Source: Pesquisa PromonLogicalis – Abril 2014

49% 45% 6% Sim Si Não No Não respondeu No responde 47% 33% 4% 16%

Sim, Fisicamente e Logicamente

Si, Físicamente y Lógicamente Sim, LogicamenteSi, Lógicamente

Não

78% 14% 2% _6% Interesse crescente Creciente interés Nenhum interesse Ningún interés Interesse decrescente Interés decreciente Não respondeu No responde

Porém, há grande interesse em realizar a

integração das redes de TA com

a de TI

utilizando equipamentos de redes e segurança homologados

pelos fabricantes dos sistemas de automação

Sin embargo, poseen un gran interés en realizar la integración de redes de TA con las de TI, utilizando equipamientos de redes y seguridad homologados por los fabricantes de sistemas de automatización

Sua empresa tem interesse na integração da

comunicação de dados entre as redes de automação (TA) e as redes corporativas (TI)?

¿Tiene su empresa interés en la integración de comunicación de datos entre las redes de automatización (TA) y las redes corporativas (TI)?

Cenário da Tecnologia de Automação

Escenario de la Tecnología de Automatización

Integração

TI / TA

Integración TI / TA

Source: Pesquisa PromonLogicalis – Abril 2014

O levantamento indica uma nítida tendência de migração para o protocolo IP – a intenção é declarada por 71% dos gestores. Quase metade das redes de automação das empresas pesquisadas (47%) ainda não estão conectadas à internet, mas 45% já possuem conexão. A criação de uma diretriz interna para segurança em automação

La encuesta indica una tendencia evidente de migración al protocolo IP – el 71% de los gestores declara esa intención. Casi la mitad de las redes de automatización de las empresas encuestadas (47%) todavía no está conectada a internet, pero el 45% ya posee conexión. La creación de una directriz interna para seguridad en automatización

vem acompanhada de uma demanda por referências externas. As empresas que seguem alguma referência de mercado para estruturação de segurança das redes de automação, como por exemplo, ANSI/ISA99-IEC62433, NIST, NERC CIP, somam 47%. Todos esses padrões foram desenvolvidos nos últimos anos visando a suprir a demanda do mercado por melhores práticas de segurança aplicadas aos ambientes industriais.

viene acompañada de una demanda de referencias externas. Las empresas que siguen alguna referencia de mercado para estructuración de seguridad de las redes de automatización, como por ejemplo ANSI/ISA99-IEC62433, NIST y NERC CIP, suman 47%. Todos esos estándares fueron desarrollados en los últimos años con el objetivo de satisfacer la demanda del mercado de mejores prácticas de seguridad aplicadas a los ambientes industriales.

Existe um movimento para estruturar as redes de automação segundo

referências de mercado e para aplicar

políticas de segurança

às redes de TA

Existe un movimiento para estructurar las redes de automatización según alguna referencia de mercado y para aplicar Políticas de Seguridad a las redes de TA

Tecnologias de Segurança em Automação

Tecnologías de Seguridad en Automatización

Source: Pesquisa PromonLogicalis – Abril 2014

Referência de

mercado

Referencia de mercado

A sua organização segue alguma referência de mercado para estruturação da segurança das redes de automação (i.e. ANSI/ISA99 – IEC62433, NIST, NERC CIP)?

¿Sigue su organización alguna referencia de mercado para la estructuración de seguridad de redes de automatización (por ej. ANSI/ISA99 - IEC62433, NIST, NERC, CIP)? 38% 15% 17% 15% 6% 7% 2% Sim, Todos Sí, todos Não No Não respondeu No responde

Sim, Não especificado

Sí, no especificado

Sim, ANSI/ISA99-IEC62433

Sí, ANSI/ISA99-IEC62433

Sim, NIST

Sí, NIST

Sim, NERC CIP

Apenas 27% dos gestores relataram a ocorrência de incidentes de segurança nas redes de automação. É importante observar que a falta de ferramentas de monitoração de segurança nesses ambientes pode permitir que muitos incidentes passem despercebidos. Mesmo assim, 59% confirmaram ter realizado

mapeamentos de riscos nas suas empresas em relação à conectividade das redes de automação e ao estudo de soluções de segurança da rede de TA. Entre as soluções de rede apresentadas como opção na pesquisa, o acesso remoto seguro (VPN) obteve 71% das respostas, seguido por firewalls de perímetro de rede (67%) e controle de acesso aos equipamentos (senha, tokens), este com 61%.

Solamente el 27% de los gestores mencionó incidentes de seguridad en las redes de automatización. Es importante observar que la falta de herramientas de monitoreo de seguridad en esos ambientes puede permitir que muchos incidentes pasen desapercibidos. Aun así, el 59% confirmó haber realizado mapeos de riesgos en sus empresas en relación a la conectividad de las redes de automatización y al estudio de soluciones de seguridad de la red de TA. Entre las soluciones de red presentadas como opción en la encuesta, el acceso remoto seguro (VPN) obtuvo el 71% de las respuestas, seguido por firewalls de perímetro de red (67%) y control de acceso a los equipos (contraseña, tokens), con 61%.

59% _33%

8%

Sim

Si NãoNo Não respondeuNo responde

Source: Pesquisa PromonLogicalis – Abril 2014

Apesar de haver poucos incidentes de segurança na rede de automação,

é possível observar algumas iniciativas, como a realização de

mapeamentos de riscos em relação à conectividade das redes

de automação e ao estudo de soluções de

segurança de rede de TA

A pesar de haber pocos incidentes de seguridad en las redes de automatización, es posible observar la iniciativa de algunas acciones de organizaciones, como la realización de mapeos de riesgos en relación a la conectividad de redes

de automatización y el estudio de soluciones de seguridad de redes de TA

Tecnologias de Segurança em Automação

Tecnologías de Seguridad en Automatización

Sua organização já mapeou os riscos que a conectividade IP traz às redes de automação?

¿Su organización ya mapeó los riesgos que la conectividad IP trae a las redes de automatización?

Riscos da conectividade IP nas

redes de automação

O Desafio Da Segurança

A guerra cibernética emerge nesta década como uma ameaça inquietante para governos e empresas. Trava-se uma luta feroz contra um inimigo invisível e poderoso que assombra todas as áreas críticas indistintamente. Por essa razão, a política de acesso às informações é um ponto relevante.

Os sistemas de automação não podem ser desligados de uma hora para outra, em razão de algum problema, ao contrário do que ocorre com sistemas de TI que são menos sensíveis. Os prejuízos são enormes assim como o impacto na vida de usuários de serviços públicos. Quando consideramos a conhecida tríade de segurança da informação: confidencialidade, integridade e disponibilidade (CID), podemos dizer que a prioridade para sistemas de TI é a confidencialidade, enquanto que para sistemas de TA é a disponibilidade.

A tecnologia de automação (TA) suporta as atividades típicas das áreas industriais, baseadas em controle de malhas de automação (PLCs, sensores e atuadores), monitoração dos processos e sistemas de missão crítica totalmente especializados, com protocolos e redes proprietários, baseados nos sistemas SCADA (supervisory control and data acquisition).

Os sistemas de automação

não podem ser

desligados de uma hora para outra

,

ao contrário do que ocorre com

sistemas de TI

Los sistemas de automatización no pueden ser desconectados de un momento a otro,

a diferencia de lo que ocurre con los sistemas de TI

El desafío de la seguridad

La guerra cibernética en esta década es una amenaza inquietante para los gobiernos y las empresas. Es una lucha feroz contra un enemigo invisible y poderoso que asombra a todas las áreas críticas indistintamente. Por esa razón, la política de acceso a la información es un punto relevante.

Los sistemas de automatización no se pueden desconectar de repente si ocurre algún problema, a diferencia de lo que ocurre con sistemas de TI, que son menos sensibles. Los daños son enormes, al igual que el impacto en la vida de los usuarios de servicios públicos. Considerando la conocida tríada de seguridad de la información – confidencialidad, integridad y disponibilidad (CID) –, podemos decir que la prioridad para los sistemas de TI es la confidencialidad, mientras que para los sistemas de TA es la disponibilidad.

La tecnología de automatización (TA) soporta las actividades típicas de las áreas industriales, basadas en el control de la plataforma de automatización (PLCs, sensores y actuadores) y en el monitoreo de los procesos y sistemas de misión crítica totalmente especializados, con protocolos y redes propietarias, basados en los sistemas SCADA (Supervisory Control and Data Acquisition).

A garantia de proteção

dos sistemas

relacionados a serviços críticos é um aspecto

que ganha cada vez mais relevância nos

contratos de

concessões públicas

La garantía de protección de los sistemas relacionados a servicios críticos es un

aspecto que tiene cada vez más relevancia en los contratos de concesiones públicas.

A prática mostra que o fator humano é elo mais fraco na cadeia de segurança digital. O primeiro ataque largamente divulgado de um worm, denominado Stuxnet, cujo alvo foi uma infraestrutura industrial, ocorreu em 2010. A invasão ocorreu com utilização de um pen drive contaminado na porta USB de um dos computadores instalados na infraestrutura de TA de uma usina de refino de combustível nuclear no Irã. Mesmo com os computadores sem acesso à internet, esse tipo de ataque foi possível.

De lá para cá já surgiram e foram identificados outros vírus semelhantes (como Duqu e Flame) cujos efeitos também são devastadores. São capazes de interromper e danificar serviços críticos bem como capturar informações confidenciais. No caso do Stuxnet, o alvo do ataque eram as centrífugas de enriquecimento de urânio do Irã. O vírus tinha a função de reprogramar os controladores lógicos programáveis (PLC - Programmable logic controller) e esconder as suas respectivas mudanças (perda de gerenciamento e monitoramento), danificando a produção das instalações nucleares iranianas.

La práctica muestra que el factor humano es el eslabón más débil en la cadena de seguridad digital. El primer ataque ampliamente difundido de un worm, denominado Stuxnet, cuyo blanco fue una infraestructura industrial, ocurrió en el 2010. La invasión ocurrió con la utilización de una memoria flash contaminada en la puerta USB de una de las computadoras instaladas en la infraestructura de TA de una refinería de combustible nuclear en Irán. Aunque las computadoras no tenían acceso a internet, ese tipo de ataque fue posible.

Desde ese entonces han aparecido y se han identificado otros virus semejantes (como Duqu y Flame), cuyos efectos también son devastadores. Son capaces de interrumpir y dañar servicios críticos, además de capturar información confidencial. En el caso del Stuxnet, el blanco del ataque eran las centrífugas de enriquecimiento de uranio en Irán. El virus tenía la función de reprogramar los controladores lógicos programables (PLC – Programmable Logic Controller) y esconder sus respectivos cambios (pérdida de gestión y monitoreo), dañando la producción de las instalaciones nucleares iraníes.

Decididos a minimizar as ameaças, os profissionais das áreas industriais passaram a adotar as normas específicas criadas pela ISA (International Society of Automation) e pelo NIST (National Institute of Standards and Technology), que são conjunto de boas práticas para diminuir o risco de redes de sistemas de controle sofrerem ataques cibernéticos. Essas normas fornecem métodos para avaliação e auditoria de tecnologias de segurança cibernética, métodos para mitigação e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais de invasões e ataques. Principalmente a ISA 99, que possui um framework para o desenvolvimento de um programa/ plano de segurança para sistemas de controle.

A garantia de proteção dos sistemas relacionados a serviços críticos é um aspecto que ganha cada vez mais relevância nos contratos de concessões públicas. Especialistas que tratam do tema defendem a atuação direta dos órgãos reguladores na cobrança de investimentos para esse tipo de proteção. O desafio também é estabelecer uma cultura dentro das empresas para que o tema ganhe total prioridade.

Los profesionales de las áreas industriales, decididos a minimizar las amenazas, pasaron a adoptar las normas específicas creadas por ISA (International Society of Automation) y por NIST (National Institute of Standards and Technology), que son el conjunto de buenas

prácticas para disminuir el riesgo de ataques cibernéticos sufridos por las redes de sistemas de control. Esas normas dan métodos para evaluación y auditoría de tecnologías de seguridad cibernética, métodos para mitigación y herramientas que se pueden aplicar para proteger los sistemas de control de automatización industriales contra invasiones y ataques. En particular, ISA 99 posee un marco para el desarrollo de un programa/plan de seguridad para sistemas de control. La garantía de protección de los sistemas relacionados a servicios críticos es un aspecto que tiene cada vez más relevancia en los contratos de concesiones públicas. Los expertos que tratan el tema defienden la actuación directa de los organismos reguladores para pedir inversiones en ese tipo de protección. El desafío también es establecer una cultura dentro de las empresas para que el tema tenga total prioridad.

O Que Fazer

O ponto de partida é a elaboração de uma política de segurança em TA, cuja base inicial é a análise dos riscos na arquitetura SCADA, cujos resultados possibilitarão selecionar e priorizar as ações adequadas, como a segmentação efetiva da rede por meio do mapeamento de zonas, isolando os ativos realmente críticos de não-críticos.

Uma analogia para a estruturação da segurança em redes de automação é a forma pela qual eram construídas as cidades medievais da Europa, onde a defesa é feita por camadas. Assim como nos castelos europeus, a segurança deve ser estruturada de fora para dentro, criando diferentes níveis de proteção que vão aumentando até o que é considerado mais importante.

As ações devem incluir

ferramentas de

segurança comuns nas redes de TI

, mas

raramente integradas aos sistemas de

automação

Las acciones deben incluir herramientas de seguridad comunes en las redes de TI,

pero que raramente son integradas a los sistemas de automatización.

Qué hacer

El punto de partida es elaborar una política de seguridad en TA a través de un análisis de los riesgos en la arquitectura SCADA, cuyo resultado posibilitará seleccionar y priorizar las acciones adecuadas, como la segmentación efectiva de la red mediante el mapeo de zonas, aislando los activos realmente críticos de los no críticos.

Una analogía para la estructuración de la seguridad en redes de automatización es la forma como se construían las ciudades medievales en Europa, donde la defensa se hacía en capas. Así como en los castillos europeos, la seguridad se debe estructurar desde afuera hacia adentro, creando diferentes niveles de protección que van aumentando hasta llegar al que es considerado el más importante.

A tendência de convergência dos domínios de TI a Automação introduz novos

desafios na gestão de segurança

La tendencia de convergencia de los dominios de TI a automatización introducen nuevos desafíos en la gestión de seguridad

Infra TI

Infra TA

Infra TI

Infra TA

Infrastrutura

integrada TI + TA

Infraestructura integrada TI + TA Passado . _{Redes proprietárias} . _{Isolamento físico} . Requisitos específicos para cada

tipo de rede

Pasado

. _{Redes propietarias} . Separación física

. Requisitos específicos para cada tipo de red

Presente . _{Redes mistas} (proprietárias e abertas) . _{Isolamento lógico e alguns}

casos, físico. . Requisitos mesclados de redes Presente . _{Redes mixtas} (propietarias y abiertas) . _{Separación lógica, y en}

algunos casos, física.

. _{Requisitos mezclados}

de redes

Futuro . _{Rede única e livre de} protocolos proprietários . _{Isolamento lógico} . Requisitos unificados

Futuro

. _{Red única y libre de}

protocolos propietarios

. _{Separación lógica} . Requisitos unificados

Riscos de segurança de informação

Riesgos de Seguridad de Información

As ações devem incluir ferramentas de segurança comuns nas redes de TI, mas raramente integradas aos sistemas de automação. Entre elas estão sistemas que dão visibilidade em tempo real de eventos de segurança nas diversas camadas da rede e proteção conta aplicativos indesejáveis. Os típicos firewalls fazem o controle do acesso lógico entre os hosts e redes, e os IPS/IDS que inspecionam o tráfego de rede contra os códigos maliciosos.

A proteção dos computadores conectados às redes de automação pode ser feita por meio da instalação de software antimalware. Todas essas medidas podem ser combinadas para a criação de um Centro de Operações de Segurança (SOC – Security Operations Center) para áreas industriais – cujo objetivo é dispor de uma infraestrutura de processos, ferramentas e pessoas capacitadas visando a um monitoramento constante de possíveis ameaças no ambiente de TA.

Las acciones deben incluir herramientas de seguridad comunes en las redes de TI, pero que raramente son integradas a los sistemas de automatización. Entre ellas, están los sistemas que le dan visibilidad en tiempo real a los eventos de seguridad en las diversas capas de la red y protección contra aplicaciones indeseadas. Los típicos firewalls controlan el acceso lógico entre los hosts y las redes, y los IPS/IDS inspeccionan el tráfico de red contra los códigos maliciosos.

La protección de las computadoras conectadas a las redes de automatización se puede hacer a través de la instalación de software anti-malware. Todas estas medidas se pueden combinar para crear un Centro de Operaciones de Seguridad (SOC – Security Operations Center) para las áreas industriales – con el objetivo de disponer de una infraestructura de procesos, herramientas y personas capacitadas para tener un monitoreo constante de posibles amenazas en el ambiente de TA.

É decisivo incluir as definições de segurança

desde o início dos planos de

integração entre

redes

de TI e TA

Es decisivo incluir las definiciones de

seguridad desde el inicio de los planos de

Conclusão

Conforme a adoção do protocolo IP nas redes de automação ganha força e se torna um caminho natural, a tendência é que as diferenças em relação a requisitos, abordagem de contratação e percepção de valor que hoje existem entre as áreas de TI e TA sejam reduzidas e haja uma aproximação em função de objetivos comuns. Se hoje operam isoladas uma da outra, deverão forçosamente conversar mais e atuar de forma mais integrada.

Nesse contexto, é decisivo incluir as definições de segurança nos planos de migração desde o início, fazendo com que a questão deixe de ser um fator impeditivo para, de forma efetiva, contribuir com a eficácia do processo.

Conclusión

A medida que la adopción del protocolo IP en las redes de automatización gana fuerza y se convierte en un camino natural, la tendencia es que las diferencias en relación a requisitos, enfoque de contratación y percepción de valor que hoy existen entre las áreas de TI y TA disminuyan y haya un acercamiento en función de objetivos comunes. Si hoy operan aisladas, deberán obligatoriamente interactuar más y funcionar de manera más integrada.

En este contexto, es decisivo incluir las definiciones de seguridad en los planes de migración desde el principio, para que la cuestión deje de ser un factor impeditivo y contribuya con la eficacia del proceso de forma efectiva.

Luís Minoru Shibata Director of Consulting

luis.minoru@br.promonlogicalis.com +55 (11) 3573-7335

Com mais de quinze anos de experiência em TIC, atuou como Diretor Executivo da Ipsos e como Managing Director do Yankee Group na América Latina. MBA em Conhecimento, Tecnologia e Informação pela FIA (FEA/USP).

Con más de 15 años de experiencia en TIC, actuó como Director Ejecutivo de Ipsos y como Managing Director de Yankee Group en Latinoamérica. MBA en Conocimiento, Tecnología e Información por FIA (FEA USP).

Advisor

É publicado pela PromonLogicalis. Este documento contém informações de propriedade ou posse da PromonLogicalis, suas subsidiárias ou afiliadas e é protegido pela legislação em vigor. A reprodução total ou parcial deste trabalho só pode ser feita com a aprovação prévia da PromonLogicalis.

As informações contidas nesta publicação são baseadas em conceitos testados empregados no desenvolvimento de projetos específicos e estão sujeitas a alterações de acordo com o cenário de mercado e os objetivos de cada projeto.

Advisor es una publicación de PromonLogicalis. Este

documento contiene informaciones de titularidad o posesión de PromonLogicalis, de sus controladas o asociadas, y son protegidas por la legislación vigente. La reproducción total o parcial de esta obra sólo puede realizarse con la previa autorización de PromonLogicalis. Las informaciones contenidas en esta publicación se basan en conceptos testeados y empleados en el desarrollo de proyectos específicos y están sujetas a alteraciones de acuerdo al escenario de mercado y a los objetivos de cada proyecto.

Leia mais

Entre em contato conosco para saber o que podemos fazer pela sua empresa. E-mail

advisor@br.logicalis.com

Para saber más

Contáctenos para saber lo que podemos hacer por su empresa.

E-mail info@la.logicalis.com Alexandre Murakami Security Manager alexandre.murakami@br.promonlogicalis.com +55 (11) 3573-7335

Com 10 anos de experiência em segurança da informação, é graduado em Ciências da Computação pela UNESP e Pós- Graduado em Administração de Empresas pela ESAN, e é Professor no Grupo Veris Educacional.

Con 10 años de experiencia en seguridad de información, graduado en Ciencias de la Computación por la UNESP y con un Posgrado en Administración de Empresas por la ESAN. También se desempeña como profesor en Grupo Veris Educacional.

Leandro Malandrin Consultant

leandro.malandrin@br.promonlogicalis.com +55 (11) 3573-8928

Graduado em Engenharia da omputação pela POLI-USP e especializado na UIUC (Illinois, EUA), atuou em pesquisas relacionadas à criptografia, protocolos de segurança e análise de malwares.

Graduado en Ingeniería de Computación por la POLI – USP y especializado en UIUC (Illinois, EUA), participó en investigaciones relacionadas a criptografía, protocolos de seguridad y análisis de malwares.

PromonLogicalis

Com mais de trinta anos de experiência, a

PromonLogicalis oferece serviços de consultoria que têm auxiliado grandes corporações a entender como alavancar o negócio por meio da adoção de soluções de TIC.

A PromonLogicalis é um provedor de serviços e soluções de tecnologia da informação e comunicação que atua com os principais fornecedores do mercado para cada solução, abrangendo desde o core e a infraestrutura de redes de acesso, passando por redes, colaboração, data centers e segurança da informação, até sua operação e gerenciamento.

PromonLogicalis

Con más de treinta años de experiencia, PromonLogicalis ofrece servicios de consultoría que han ayudado a grandes corporaciones a entender cómo impulsar el negocio a través de la adopción de soluciones de TIC.

PromonLogicalis es un integrador que actúa con los principales vendores del mercado para cada solución, abarcando desde el core y la infraestructura de redes de acceso, pasando por redes, colaboración, data centers y seguridad de la información, hasta su operación y gestión.

www.

br.promonlogicalis

.com

Argentina

Bolívia

Brasil

Chile

Colômbia

Equador

México

Paraguai

Peru

Uruguai