Brasília, julho de 2014
Painel SCADA 2014
Rede Nacional de Segurança da Informação e Criptografia
Centro de Defesa Cibernética do Exército Brasileiro – CDCiber
Relatório 2 – Segurança em Sistemas de Controle e Automação
Industrial das Infraestruturas Críticas: Plano de ações para o
Brasília, julho de 2014
Sumário
Sumário Executivo ...3
1. Introdução...5
2. Desenvolvimento de mapa de rota para segurança SCADA ...7
3. Plano de capacitação...8
4. Normatização e aspectos regulatórios, aspectos de certificação e homologação...9
5. Iniciativas de P&D ... 11
6. Criação de um ICS-CERT Nacional ... 12
Brasília, julho de 2014
Sumário Executivo
O principal conceito de segurança e proteção da Infraestrutura Crítica Brasileira está diretamente relacionado com a capacidade de atuar com a prevenção, detecção e resposta aos graves incidentes que a atingem.
Existem diversos investimentos em planos estratégicos para gerenciar riscos e executar as ações necessárias para retomar a normalidade após uma situação de emergência provocada por catástrofe natural (como terremoto, furacão e inundação) ou ainda intencional (terrorismo, ataques cibernéticos, por exemplo). Porém, devido às peculiaridades de cada planta industrial, esses planos precisam ser adaptados para as necessidades e requisitos específicos. O grande desafio consiste assim, em formular e executar uma estratégia de segurança e proteção da Infraestrutura Crítica nacional sintonizada com as principais normas de segurança e que utilizem equipamentos e práticas testadas e certific adas.
Assim, uma estratégia de segurança e proteção da Infraestrutura Crítica deve permitir a criação de planos para agir de forma preventiva e também para minimizar o impacto provocado por incidentes, incluindo os consequentes transtornos na demora do restabelecimento dos serviços.
Para tratar das questões acima colocadas, realizou-se, nos dias 30 e 31/07/2014, o 1º. Painel sobre Segurança em Sistemas SCADA, nas dependências Quartel General do Exército Brasileiro. O painel foi organizado pela RENASIC Rede Nacional de Segurança da Informação e Criptografia) e teve o apoio do CPqD na sua coordenação técnica. Seguem os principais objetivos do painel:
• Construir uma visão geral do problema de segurança em sistemas de controle e automação industrial das infraestruturas críticas, a partir de apresentações de diferentes atores desta cadeia;
• Levantar quais são os principais problemas e necessidades da segurança sistemas de controle e automação industrial das infraestruturas críticas relacionados com a realidade brasileira;
• Colher um conjunto de recomendações orientadas à proteção das infraestruturas do país contra possíveis ataques, oriundos de qualquer fonte, inclusive as mais sofisticadas, com ênfase nos seus aspectos técnicos e operacionais.
Brasília, julho de 2014
Os dois primeiros itens são cobertos pelo relatório “Segurança em Sistemas de Controle e Automação Industrial das Infraestruturas Críticas: situação atual” o qual encontra-se disponível no site da RENASIC (www.renasic.org.br). O terceiro item é tratado pelo presente relatório, onde são apresentados os planos de ação associados às seguintes questões identificadas durante o painel:
Desenvolvimento de mapa de rota para segurança SCADA no Brasil;
Plano de capacitação;
Normatização e aspectos regulatórios, aspectos de certificação e homologação;
Iniciativas de P&D;
Criação de um ICS-CERT Nacional.
Tais planos de ação serão desenvolvidos por grupos de trabalho multidisciplinares que terão como objetivo comum gerar normas e boas práticas para a melhoria imediata, a curto, médio e longo prazo do nível de segurança cibernética da infraestrutura crítica nacional.
Brasília, julho de 2014
1. Introdução
Cada vez mais o tema de proteção da Infraestrutura Crítica tem se tornado um assunto de grande relevância para a soberania das nações e vem recebendo atenção crescente a ponto de alguns países e organizações terem criado entidades com funções específicas para tratar do assunto.
Embora as estratégias adotadas pelos países sejam distintas, o objetivo final é sempre o mesmo: proteger a Infraestrutura Crítica e seus elementos-chave contra ameaças e vulnerabilidades relacionadas a situações de emergência, desastres naturais e atividades terroristas e/ou espionagem. Isso pode ser alcançado com a estruturação de políticas e órgãos competentes, técnicas e mecanismos que envolvem, por exemplo, metodologias de proteção de Infraestrutura Crítica e sistemas cuja aplicação possibilite identificar, analisar, avaliar e tratar riscos incluindo a capacidade de administrar as consequências de incidentes em situações adversas.
De acordo com o Diário Oficial da União nº 27, de 11 de fevereiro de 2008, são consideradas Infraestruturas Críticas as instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico e/ou político.
As áreas prioritárias das Infraestruturas Críticas, sem prejuízo de outras que porventura vierem a ser definidas, são expressas nos incisos de I a V do art. 3º da Portaria Nº 02 do Gabinete de Segurança Institucional da Presidência da República, de 8 de fevereiro de 2008. São elas, respectivamente conforme na Portaria: Energia, Transporte, Água, Telecomunicações e Finanças.
O número crescente de incidentes provocados pela falta de segurança no mundo real ou virtual tem sido uma das grandes preocupações das nações e empresas, que estão sujeitas a riscos de intensidade cada vez maiores.
Estes incidentes podem afetar centenas de milhares de pessoas em todo mundo, pois estão relacionados diretamente a serviços essenciais e de sobrevivência da sociedade. Casos recentemente divulgados mostram que os ataques cibernéticos estão cada vez mais sofisticados e utilizam métodos e técnicas poderosas e direcionadas.
Brasília, julho de 2014
Notícias de ataques bem sucedidos como os ataques às usinas nucleares iranianas (através do malware Stuxnet) e da paralisação de mais de 30.000 computadores na empresa Saudi Aramco (através do malware Shamoon) tornam urgente e evidente a necessidade de uma estratégia de segurança e proteção da Infraestrutura Crítica englobando prevenção, detecção, resposta e gestão de crises. É perceptível que ataques às Infraestruturas Críticas podem ser usados como forma de intimidação, ou ainda, no caso mais ameno, simplesmente com o objetivo de desestabilização de um governo ou empresa para desgastar a sua imagem perante a população. Isto foi percebido claramente através da atuação de hacktivistas do grupo Anonymous durante os movimentos populares que levaram milhões de brasileiros às ruas no ano de 2013.
Além disso, a disseminação das redes de informação, a integração entre diferentes infraestruturas e a interdependência cada vez maior entre os setores resulta em consequências que não podem ser negligenciadas. Uma delas é que as vulnerabilidades em Infraestruturas Críticas tendem a crescer, o que tem tornado os problemas cada vez mais complexos. Outra consequência é que uma interrupção pode se propagar de um setor para outro, ocasionando o efeito cascata de problemas, tornando indisponíveis um ou mais serviços.
Os itens a seguir exibem nosso entendimento do que seria um planejamento inicial para a construção de um plano efetivo de implementação de segurança cibernética para a infraestrutura crítica nacional baseado nos relatórios técnicos da norma ANSI/ISA-99.
Para cada um dos itens prevê-se a constituição de grupos de trabalho focados nos respectivos temas com cronograma de trabalho e reuniões mensais. Cada grupo terá um coordenador a ser indicado pela RENASIC e a coordenação geral dos grupos ficará a cargo também da RENASIC. Segue a proposta dos grupos a serem criados:
GTT1 – Mapa de rota para a segurança cibernética da infraestrutura crítica Brasileira;
GTT2 – Normas e regras para a implantação da segurança cibernética na infraestrutura crítica brasileira e boas práticas para certificação e homologação de tecnologias;
Brasília, julho de 2014
GTT4 - Proposição de órgão nacional de tratamento e reposta aos incidentes(ICS-CERT);
GTT5 – Treinamento e Capacitação para empresas da infraestrutura crítica Brasileira.
2. Desenvolvimento de mapa de rotas para segurança SCADA
Este mapa de rotas pretende estabelecer uma série de requisitos que deverão ser realizados nos próximos anos para melhorar a segurança cibernética dos sistemas de controle e automação industrial.
Entendemos por segurança cibernética industrial o conjunto de práticas, processos e tecnologias desenvolvidas para fazer a gestão do risco proveniente do ciberespaço derivado do uso, processamento, armazenamento e transmissão da informação utilizados pelas organizações e infraestruturas industriais, utilizando as perspectivas de pessoas, processos e tecnologias.
Objetivos tecnológicos, sistêmicos e organizacionais:
Melhorar as capacidades de segurança cibernética dos governos, entidades públicas, universidades, etc., com o objetivo de evoluir até alcançar o estado da arte em cibersegurança industrial;
Elevar a conscientização geral e proporcionar a formação especializada para os diferentes tipos de usuário;
Geração de ferramentas que facilitem a colaboração público-privada em todos os níveis;
Aumento das pesquisas em cibersegurança para o ambiente industrial;
Criação de estratégias em cibersegurança para a indústria
Criação de um laboratório nacional para segurança cibernética industrial;
Criação de metodologias de avalição de segurança;
Desenvolvimento de sistemas segurança voltados para proteção da infraestrutura crítica e ambiente industrial, tais como ferramentas de monitoramento (SIEM para automação) e análise de vulnerabilidade;
Divulgação de produtos e soluções para todos os autores envolvidos;
Brasília, julho de 2014
Apoio na elaboração de marcos regulatórios; Capacitação em segurança para os responsáveis pelos sistemas de automação;
Criação da cultura de segurança no ambiente de automação industrial; O mapa de rotas a ser desenvolvido deverá ter pontos de apuração de objetivos claros e estabelecidos a cada 5 anos. Em cada ponto de apuração o mapa de rotas deverá ser revisto de acordo com os resultados apurados.
Para criação do mapa de rota do cenário brasileiro recomenda-se fortemente o envolvimento de usuários de sistemas SCADA das diferentes infraestruturas críticas que compõe o modelo brasileiro, possibilitando não só a representatividade como também a aplicabilidade dos resultados para todos os setores críticos que, como sabemos, possuem características e peculiaridades bastante distintas.
3. Plano de capacitação
Treinamento e capacitação são itens fundamentais e condição preponderante para o sucesso de qualquer tipo de plano de segurança cibernética industrial que venha a ser definido. Para proteger infraestruturas críticas é necessário conhecer os riscos a que uma rede industrial e os sistemas SCADA estão submetidos, quais as principais normas de segurança disponíveis no mercado e como corretamente implementar e monitorar o CSMS (Cyber Security Management System) definido pela norma ANSI/ISA-99.
Neste sentido deverão ser desenvolvidos treinamentos em língua portuguesa com tópicos que englobem todos os domínios básicos de conhecimento preconizados pela norma ANSI/ISA-99, a saber:
Introdução às redes industriais e SCADA
Infraestruturas Críticas e Ciberterrorismo
Governança para redes industriais
Análise de Riscos em redes industriais e sistemas SCADA
Malware e Ciberarmas
Segurança de perímetro em redes de automação
Criptografia em redes industriais
Controle de Acesso em sistemas SCADA
Brasília, julho de 2014
Monitoramento contínuoAlém do treinamento, deverá ser criada uma certificação em língua portuguesa que seja capaz de determinar se um profissional possui o conhecimento adequado para assegurar corretamente uma rede industrial com sistemas SCADA. Esta certificação oferecerá aos profissionais uma medida objetiva de competência, bem como um padrão reconhecível de conhecimentos.
Deverá ser criado um plano de capacitação massiva de profissionais da infraestrutura crítica nacional com treinamentos presenciais e também em formato de EAD (Ensino à Distância) e deverão ser estabelecidas metas anuais de alunos certificados durante a implementação do mapa de rotas de segurança cibernética industrial.
4. Normatização e aspectos regulatórios, aspectos de
certificação e homologação
Recente pesquisa divulgada pela TI Safe Segurança da Informação mostrou que não existe um padrão nacional de c ontroles de segurança cibernética industrial que possa ser seguido pelas empresas a fim de garantir um nível mínimo de segurança cibernética industrial.
O mercado, as organizações industriais, prestadores de serviços e profissionais de segurança cibernétic a e automação de processos, requerem guias de referência que os ajudem a enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos anseios do governo e da sociedade brasileira.
Visando estabelecer um nível mínimo de segurança cibernética industrial, este relatório sugere a implementação de um conjunto de controles de segurança mínimo para as empresas da infraestrutura crítica nacional. A norma ANSI/ISA-99 apresenta cerca de 60 objetivos de controle (dependendo da interpretação, porque os controles não são explícitos no documento) que podem ser usados como referência para a análise de riscos uma rede de automação. Medindo sua existência e eficácia, observam-se riscos residuais e, quando trabalhado em conjunto com o guia NIST 800-82 é possível delinear o panorama completo das vulnerabilidades, os riscos decorrentes e as possíveis contramedidas.
A tabela a seguir consolida os 60 objetivos em sete áreas, compondo 30 itens de verificação.
Categoria Controles de Segurança Sugeridos Governança e
Auditoria
Uma política de segurança específica deve s er des envol vi da pa ra a rede de a utoma çã o e s i stemas SCADA. Esta política de segurança deve considerar as diferenças entre a TI e redes de a utoma çã o e s ua s cons i dera ções pa rti cul a res deta l ha da no pa drã o ANSI/ISA-99. A empresa deverá cri ar e manter um programa a nual de treinamento e conscientização s obre s egurança cibernética industrial para as áreas de a utomação da empresa.
Os regi stros (logs) de firewalls, roteadores, outros dispositivos de rede e aplicações devem ser a rma zenados e a nalisados com regularidade. O a rmazenamento centralizado e a correlação
Brasília, julho de 2014
entre eles é recomendada.
Uma política visando o uso de senhas fortes para o acesso aos s istemas SCADA deve ser i mplementada.
A s egurança dos s istemas SCADA conforme os requisitos da norma ANSI/ISA-99 deve ser levada em consideração durante os projetos de novos s istemas da empresa.
Meca nismos i nternos de auditoria devem ser i mplementados para garantir que os procedimentos de segurança de sistemas de a utomação estejam s endo cumpridos.
Segurança de Operações
Control es para limpeza de a mbientes, controle de umidade, temperatura, aerosol e partículas devem s er i mpl ementa dos pa ra evi ta r da nos em equi pa mentos .
A di vulgação e o compartilhamento de s enhas de acesso a s istemas SCADA devem s er evitados. Pl a nos de recuperação de desastres para os sis tema s SCADA da empres a ou pa ra á rea em ques tã o devem s er i mpl ementa dos , di vul ga dos e peri odi ca mente tes ta dos .
Arquitetura de Segurança
Control es para segurança de portas físicas, como USBs e COMs , devem s er i mpl ementa dos . A a rquitetura da rede de a utomação deve s er estabel eci da cons i dera ndo a s egura nça da s i nformações conforme o modelo de zonas e conduítes preconizado pel a norma ANSI/ISA-99. Componentes críti cos de equi pa mentos de rede devem pos s ui r redundâ nci a .
Controle de Acesso
Dupl o fator de autenticação para a ces s o remoto a os s i s tema s SCADA deve s er uti l i za do. O a cesso remoto a os dados e aplicativos da rede de automação deve ser s empre cri ptografado (us o de VPN).
Segurança de Comunicações
Fi rewalls com configura çã o es pecífi ca pa ra s i s tema s de control e i ndus tri a i s devem s er uti l izados, i solando o perímetro da rede de controle de forma a propriada e oferecendo a cess o s omente pa ra us uá ri os , a pl i ca ções e protocol os es pecífi cos .
Um IDPS (Intrusion Detection and Prevention System) deve s er instalado em cada s egmento de rede externa que s e conecte à rede de a utoma çã o.
Fi rewalls industriais específicos devem s er usados para proteger a s zona s de s egura nça da s redes de a utoma çã o que uti l i za m protocol os i ns eguros .
Devem s er implantados controles para evitar a taques de nega çã o de s ervi ço ( DoS - Denial of
Service) contra os a utôma tos progra má vei s da rede de a utoma çã o.
Cri ptogra fia na transmissão de dados entre os clientes e os Access Points de redes sem fio deve s er i mpl ementa da .
O trá fego de dados entre redes de a utomação dispos i ti vos deve s er s empre cri ptogra fa do.
Segurança de Aplicações
Senha s em di s pos i ti vos de rede devem s er gerenci a da s e a l tera da s regul a rmente. As s enha s de a ces s o a s i s tema s SCADA devem s er l onga s e compl exa s .
Os fornecedores devem s er periodicamente convocados para instalar versões mais recentes do s eu software proprietário e patches de segurança a ssim que eles forem lança dos , tes ta dos e a cons el ha dos em s eus s i tes .
Todos os Softwa res SCADA devem s er des envol vi dos s ob a s mel hores prá ti ca s de des envol vi mento de s egura nça . Revi s ã o de códi go e tes tes de a pl i ca ti vos devem s er cons iderados para evitar vulnerabilidades ou pa cotes ma l i ci os os . Uma metodol ogi a pa ra des envolvimento e revisão de código dos sistema s de control e e moni tora mento deve s er es ta bel eci da .
Softwa re antivírus deve s er instalado nas máquinas da rede de automação. As assinaturas dos s oftwa res de Anti vírus devem s er a tua l i za da s peri odi ca mente.
Uma pl a ta forma de tes tes e homol oga çã o deve s er i mpl ementa da pa ra ga ra nti r que a tua lizações de assinaturas a novas versões de s oftware não tra gam da nos a os s i s tema s de a utoma çã o.
Roti nas de s egurança específicas para os sistemas de automação devem s er i mpl ementa da s .
Segurança Control es de segurança física às instalações críticas dos s i s tema s de a utoma çã o devem s er i mpl ementa dos .
Brasília, julho de 2014
Física Fontes de alimentação ininterrupta (UPS ou s imilar) devem s er fornecidas para todos os pontoscríti cos e s i s tema s da rede de a utoma çã o.
A á rea onde estão os equipamentos de controle da rede de a utoma çã o deve s er protegi da contra rá di o freqüênci a e pul s os el etroma gnéti cos .
Tabela: Controles mínimos de segurança cibernética industrial sugeridos
Para realização de avanços nesta área de aspectos regulatórios, certificação e
homologação é recomendável também envolver órgãos da administração pública
brasileira que já atuam, de maneira análoga, em outras áreas e soluções, ma s que
podem agregar positivamente no estabelecimento de um eventual modelo de
certificação para soluções SCADA, que é o INMETRO. Para maiores avanços na área de
homologação de segurança para o ambiente SCADA recomenda-se fortemente o
aproveitamento de organizações que já realizam trabalhos na área de certificação,
homologação ou auditoria, em áreas correlacionadas ao ambiente SCADA.
5. Iniciativas de P&D
Sugerimos a realização das seguintes atividades de P&D (Pesquisa e Desenvolvimento) relacionadas à melhoria dos processos de segurança cibernética industrial Brasileiros:
Identificação das capacitações e projetos de P&D relacionados com o tema nas universidades, centros de P&D e ICTs brasileiras;
A partir deste levantamento, analisar a pertinência e viabilidade de criar um ou mais laboratórios, os quais deverão tratar dos seguintes assuntos:
Sistema de criação de cenários e simulação.
Estabelecimento de indicadores e métricas.
Gestão de riscos.
Prevenção, detecção e resposta a incidentes.
Gestão da Continuidade de Negócios.
Conformidade com normas, padrões e instrumentos legais.
Homologação de sistemas e produtos.
Desenvolvimento do conceito de soluções SCADA seguras, onde fabricantes já entregarão novas plantas de automação (green field) com todos os controles mínimos de segurança cibernética da norma ANSI/ISA-99 já integrados, testados e homologados.
Tais laboratórios poderão ser geridos por um grupo multidisciplinar focado em segurança cibernética e proteção de Infraestruturas Críticas envolvendo empresas, centros de P&D e academia, servindo também como suporte para pesquisadores e cursos universitários.
Os laboratórios proverão capacidade de monitoramento, de criação de cenários e de simulação que fornecerão insumos suficientes para a segurança e proteção da Infraestrutura Crítica nacional, proporcionando ainda o gerenciamento técnico dos aspectos envolvidos com a prevenção, monitoramento e resposta a incidentes, com a internalização de novos conhecimentos e competências através do
Brasília, julho de 2014
desenvolvimento de núcleos de excelência e transferência de conhecimentos nas áreas abordadas. Com isso, eles possibilitarão a capacitação dos centros de P&D, academia, empresas, agências reguladoras bem como outros órgãos governamentais, trazendo melhores condições para o desenvolvimento de tecnologias em áreas essenciais para a sociedade. Sendo assim, os laboratórios possibilitarão o mapeamento e análise situacional da Infraestrutura Crítica, permitindo a visualização e gerenciamento dos seus processos e elementos críticos, de acordo com os níveis de risco e criticidade envolvidos. Cenários de simulação poderão ser elaborados para apoiar o planejamento de estratégias de segurança e proteção das Infraestruturas Críticas.
6. Criação de um ICS-CERT Nacional
Neste grupo será analisada a pertinência e viabilidade de construção de um ICS-CERT (Industrial Control Systems – Cyber Emergency Response Team) de abrangência nacional nos aspectos políticos, econômicos, regulatórios e tecnológicos.
Algumas atribuições do ICS-CERT Brasileiro são as seguintes:
Construir uma visão comum de longo prazo onde uma gestão de risco centralizada dos sistemas de controle indsutriais possa ser realizada através de esforços coordenados;
Resposta e análise de incidentes de segurança cibernética industriale;
Análise de vulnerabilidade e de armas cibernéticas industriais (malware industrial);
Provimento de respostas a incidentes de segurança cibernética industrial em tempo real;
Coordenação da divulgação de vulnerabilidades em sistemas de controle industriais e técnicas de mitigação associadas;
Coordenação da divulgação dos incidentes de segurança cibernética industrial e respectivas informações com os governos, agências e comunidade de inteligência, setor privado, incluindo fornecedores, usuários e operadores.
7. Comentários finais
Nas organizações industriais brasileira não observa-se uma maneira definitiva para enfrentar os desafios da segurança cibernética industrial. Uma das principais causas disto é a falta de referências e padrões reconhecidos. O mercado, as organizações industriais, prestadores de serviços e profissionais de segurança cibernética e
Brasília, julho de 2014
automação de processos, requerem guias de referência que os ajudem a enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos anseios do governo e da sociedade brasileira.
Nas empresas da infraestrutura crítica brasileira a capacitação em segurança cibernética é maior nos departamentos de T.I. que no restante das áreas da empresa, o que faz com que as tecnologias de segurança comumente utilizadas em redes corporativas ainda sejam as mais utilizadas em redes de automação, quando deveriam ser as específicas para segurança de automação industrial, como firewalls industriais, gateways de segurança unidirecionais, IDPS com assinaturas específicas SCADA, dentre outras detalhadas em livro recentemente publicado pela TI Safe Segurança da Informação intitulado "Segurança de Automação Industrial e SCADA". É necessário aumentar o nível de consciência dos gestores das indústrias nacionais sobre a necessidade e as implicações da segurança cibernética industrial. No entanto, existe uma dificuldade significativa para expressar os impactos derivados dos riscos de incidentes em plantas industriais, e declará-los publicamente, como é feito em outros países, até por força legislativa, que possuem bases específicas de incidentes de segurança industrial (como por exemplo o RISI - Repository of
Industrial Security Incidents).
A maior parte dos projetos de segurança cibernética industrial atualmente desenvolvidos por empresas brasileiras são motivados por processos de melhoria contínua, resposta a auditorias internas e resposta a incidentes de segurança. As exigências do mercado não são uma parcela relevante da motivação que as empresas possuem para a execução de projetos de segurança cibernética industrial, mas sem dúvida esta tendência mudará nos próximos anos.
Buscando evoluir nas condições acima descritas, propomos a criação dos grupos de trabalho, os quais estariam sobre a coordenação geral da RENASIC. Entendemos que os próximos passos seriam:
Enviar c onvites para os partic ipantes do painel para partic iparem dos grupos de trabalho;
Marc ar uma reunião c om c ada grupo de trabalho onde seria definido um plano de trabalho, assim como a coordenação do grupo. Tais ações deverão ser validadas com a coordenação da RENASIC.
