mai. 28, 2020
Cibersegurança para a fábrica de montagem de hoje
À medida que as montadoras se tornam mais conectadas, a segurança cibernética se torna mais importante.
Por John Sprovieri, ASSEMBLY Magazine,15 de maio de 2020
Clique aqui para ler o recurso completo.
12 de maio de 2017, os hackers lançaram um ataque cibernético de “ransomware” que acabaria infectando 300.000 máquinas em 150 países em um período de três dias. O ransomware, conhecido como WannaCry, bloqueou computadores e bloqueou o acesso aos arquivos. As vítimas foram obrigadas a pagar um resgate de US $ 300 para recuperar seus dados. Os países mais afetados pelo ransomware foram Rússia, Taiwan, Ucrânia e Índia, mas o ataque também atingiu empresas americanas, notadamente a FedEx. As vítimas incluíram universidades, empresas de petróleo, provedores de telecomunicações e sistemas de trem.
O vírus atingiu computadores que executam versões mais antigas de softwares da Microsoft que não tinham sido atualizados recentemente. A Microsoft lançou patches em abril e novamente durante o ataque para consertar uma vulnerabilidade que permitiu ao worm se espalhar pelas redes. Os computadores dos fabricantes e hospitais, que podem ser difíceis de corrigir sem interromper as operações, são particularmente vulneráveis. Na verdade, o ataque cibernético desacelerou ou interrompeu a produção em cinco montadoras administradas pela Renault-Nissan, incluindo a enorme fábrica da montadora em Sunderland, no Reino Unido.
A empresa de modelagem de risco cibernético Cyence estima que as perdas econômicas do ataque cibernético podem chegar a US $ 4 bilhões.
Um mês depois, em 27 de junho de 2017, um segundo grande ataque cibernético de ransomware ocorreu em todo o mundo. O ransomware, conhecido como “NotPetya”, inicialmente tinha como alvo instituições na Ucrânia - especialistas acreditam que foi um ataque com motivação política originário da Rússia - mas acabou se espalhando pela França, Alemanha, Itália, Polônia, Reino Unido e Estados Unidos.
No início, o ataque teve como alvo empresas de energia, rede elétrica, estações de ônibus, postos de gasolina, aeroportos e bancos. Mas, como antes, os fabricantes também foram afetados, incluindo a empresa farmacêutica Merck & Co., a empresa de bens de consumo Reckitt Benckiser, a empresa de cuidados pessoais Beiersdorf e a empresa de alimentos Mondelez International.
Uma avaliação da Casa Branca estimou os danos totais causados por NotPetya em mais de US $ 10 bilhões, tornando-o o ataque cibernético mais destrutivo de todos os tempos.
Os ataques de ransomware WannaCry e NotPetya ressaltam a importância da segurança cibernética hoje, mesmo para instalações, como montadoras, que são alvos aparentemente menos desejáveis para hackers do que, digamos, bancos, varejistas e seguradoras. No entanto, à medida que as montadoras se tornam mais conectadas digitalmente a fornecedores e clientes, a ameaça potencial representada por ataques cibernéticos só vai piorar.
Ameaças cibernéticas em plantas de manufatura
“O trabalho do gerenciamento da fábrica é garantir a produção de acordo com o plano de negócios e evitar tempo de inatividade não planejado. Para fazer isso, eles devem ter não apenas uma estratégia de gestão de desempenho de ativos, mas também um plano de cibersegurança industrial sólido,” diz Maurizio Milazzo, Diretor de Industrial Digital Innovation and Operations Technology Security na Cybertech, uma divisão da empresa global de software Engineering Group. “Eles devem evitar a abordagem de "segurança por obscuridade". Hoje, os gerentes devem se perguntar não se a fábrica será atacada, mas quando.”
As ciberameaças às montadoras são reais e as consequências podem ser graves. Além de travar computadores host ou manter dados críticos como reféns, os hackers podem, por exemplo, simular que uma máquina está funcionando corretamente quando não está. Como resultado, a máquina pode produzir produtos com defeito ou ter uma pane catastrófica.
Foi o que aconteceu em 2010, quando o vírus de computador Stuxnet infectou os sistemas PLC do programa nuclear do Irã, fazendo com que as centrífugas girassem fora de controle sem disparar alarmes. Antes de ser capturado, o ataque foi capaz de destruir até um quinto das centrífugas nucleares do país e atrasar seu programa nuclear em uma década.
Por outro lado, um hacker pode simular que uma máquina precisa de manutenção, quando não precisa. O acesso remoto a equipamentos ou redes da empresa também pode ser comprometido. “Um hacker pode acessar um roteador, um PLC, um sensor IoT ou um PC industrial para navegar da rede industrial para a rede de TI e, assim, obter acesso a dados confidenciais relativos à produção, propriedade intelectual, dados do cliente ou dados do balanço”, diz Milazzo.
Evitar ataques com cibersegurança
A prevenção de ataques cibernéticos exige um esforço conjunto entre as equipes de tecnologia de operações (OT) e tecnologia da informação (TI). Para algumas montadoras, essa será uma nova maneira de fazer as coisas. Tradicionalmente, as funções nas montadoras são distintas. A equipe de operações administrou e manteve o equipamento de produção. A equipe de TI era responsável pela segurança da rede corporativa.
“Esse é um dos motivos pelos quais a segurança cibernética em fábricas de montagem é tão difícil”, diz Eddie Chang, vice-presidente de Cyber Risk Management na The Travelers Companies Inc. “Uma vez que o chão de fábrica se torna mais integrado à Internet, as funções se tornam menos definidas. As empresas precisam pensar no futuro e determinar quais são as linhas de responsabilidade. Em última análise, deve ser uma abordagem de equipe.”
Bindu Sundaresan, Diretor da AT&T Cybersecurity, concorda. “Os fabricantes hoje estão adotando uma abordagem baseada no risco para a segurança cibernética”, diz ela. “Não é mais responsabilidade apenas do departamento de TI. Os fabricantes estão percebendo que um ataque à infraestrutura de tecnologia de operações pode ter amplas implicações para os negócios, então eles estão olhando mais para ativos de rede, como servidores de estação de trabalho, HMIs e PLCs.”
Muitas empresas maiores têm um centro de operações de segurança da informação - um site dedicado onde os sistemas de informação empresarial (sites, aplicativos, bancos de dados, centros de dados e servidores, redes, desktops e outros endpoints) são monitorados, avaliados e defendidos. No entanto, como acontece com outros tipos de mão de obra qualificada, os fabricantes têm dificuldade em encontrar ajuda qualificada. De acordo com uma pesquisa de 2020 feita pela Information Systems Audit and Control Association, 69 por cento das empresas disseram que suas equipes de cibersegurança têm falta de pessoal, 58 por cento não ocuparam cargos de cibersegurança e 32 por cento disseram que gastam seis meses para preencher empregos de cibersegurança.
“A maioria das montadoras não tem nenhum conhecimento para lidar com a segurança da tecnologia de operações, então elas apenas delegam a responsabilidade pela segurança cibernética a seus fornecedores de automação”, disse Milazzo. “Mas, essa é uma boa política?” Com todos na mesma página, a próxima etapa é conduzir uma avaliação básica da segurança cibernética na instalação. A avaliação deve abranger a segurança da informação e a segurança operacional.
“A segurança da informação trata de identificar e proteger suas informações, sejam elas quais forem”, diz Jeff Williams, Program Manager for Cybersecurity do Michigan Manufacturing Technology Center, afiliada da Manufacturing Extension Partnership (MEP) de Michigan. “Que informação eu tenho? Por que isso é importante? O que devo fazer com isso? O que aconteceria com minha empresa se algo acontecesse com ela? Todos que tocam nessas informações realmente precisam tocar essas informações? Ou estou compartilhando muitas informações no chão de fábrica, quando eles realmente só precisam de uma pequena parte delas para produzir meu widget? A segurança operacional trata das operações comerciais básicas. Se esta máquina CNC crítica falhasse, o que isso faria para o meu negócio em geral? Posso restaurar essa máquina para uma posição onde eu possa continuar trabalhando? Eu sei o que fazer ou quem contatar? Se meu equipamento estiver funcionando em um computador, há uma maneira de recuperá-lo e restaurá-lo facilmente?”
Essas avaliações costumam ser experiências reveladoras para os gerentes. Williams se lembra de ter pedido a um gerente para fazer um inventário de todos os computadores de sua fábrica. Ao concluir a tarefa, o gerente percebeu que três quartos dos computadores de sua fábrica estavam executando sistemas operacionais desatualizados.
Equipamentos com controladores ou softwares proprietários são outra bandeira vermelha, avisa Williams. “Um de nossos clientes tinha uma máquina proprietária que falhou”, lembra ele. “A empresa não tinha software de recuperação para restaurar o controlador e o fabricante da máquina estava fora do mercado. Por fim, a empresa conseguiu rastrear o software, mas, a essa altura, a máquina estava parada há mais de um mês. Assim que a empresa obteve o software, a máquina voltou a funcionar em 30 minutos. Se a empresa tivesse o software com antecedência, poderia ter economizado muito tempo de inatividade.”
Assim como os engenheiros criam mapas de fluxo de valor para implementar a produção enxuta, os gerentes devem criar mapas de fluxo de dados para aprimorar a segurança cibernética. “Comece com o fluxo de dados”, diz Sundaresan. “E que tipo de dados você está rastreando? Que dados estão chegando? Que dados estão saindo? Onde estão as interfaces?”
À medida que os montadores tiram proveito da Industrial Internet of Things, os engenheiros devem tomar decisões sábias sobre a tecnologia. “Antes de ir até a Best Buy (loja de eletrônicos) e comprar algum dispositivo habilitado para internet, pense no impacto geral que esse dispositivo pode ter em sua operação”, avisa Williams. “Você conseguirá manter o dispositivo a longo prazo? É de uma marca confiável ou de uma empresa que estará fora do mercado em seis meses? Pode ser atualizado facilmente? Você será capaz de dizer se o dispositivo foi comprometido?”
Felizmente, uma variedade de recursos está disponível para ajudar os fabricantes a navegar no admirável mundo novo da IIOT. A primeira coisa que os gerentes devem fazer é verificar se suas fábricas estão de acordo com os padrões e regulamentos nacionais e internacionais de segurança cibernética, diz Milazzo. Isso inclui a estrutura de segurança cibernética do National Institute of Standard and Technology (NIST), as recomendações de inteligência de ameaças cibernéticas da National Intelligence Strategy e o padrão ISA/99 IEC 62443 para segurança cibernética de rede industrial da International Society of Automation.
A adesão a tais padrões não é apenas útil, mas é obrigatória para montadoras que desejam negócios de contratação de defesa. O NIST também oferece padrões e orientações para fabricantes e consumidores de dispositivos IOT. No verão passado, a agência publicou a Core Cybersecurity Feature Baseline for Securable IoT Devices e, em janeiro, lançou Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline.
“Este guia ‘Core Baseline’ oferece algumas recomendações sobre o que um dispositivo IoT deve fazer e quais recursos de segurança ele deve possuir”, diz Mike Fagan, um cientista da computação do NIST e um dos autores do guia. “É voltado para um público técnico, mas esperamos ajudar tanto os consumidores quanto os fabricantes”. Os centros estaduais MEP podem oferecer ajuda inestimável aos fabricantes, assim como os provedores de serviços de Internet (ISPs), como a AT&T. Os ISPs podem fornecer avaliações baseadas em risco, digitalização de TI e OT e outros serviços para aprimorar a segurança cibernética. “Muitos fabricantes não sabem seu nível básico de tráfego da Internet”, diz Sundaresan. “Mas, se você souber como é o normal, será capaz de detectar tráfego anômalo.”
O software também pode ajudar. Entre outras coisas, o software de segurança cibernética pode rastrear ativos e versões de software; detectar anomalias no tráfego da Internet; proteger e segmentar redes de fábrica e fornecer controle de acesso e proteção de endpoint. Embora seja importante ter computadores, controladores e software atualizados, os montadores também precisam abordar o fator humano. “Uma das maiores vulnerabilidades da planta são as pessoas”, diz Milazzo. “Para resolver isso, os gerentes precisam criar cursos de treinamento em padrões de segurança cibernética e conduzir testes de phishing e outros jogos que visam a conscientização dos funcionários sobre a segurança cibernética.”
Planejar para o pior e estar preparado
Esperançosamente, sua fábrica de montagem nunca será vítima de um ataque cibernético. Mas, na produção, como na vida, os engenheiros devem esperar o melhor e se preparar para o pior. Os fabricantes podem tomar medidas para mitigar os efeitos de um ataque cibernético.
O mais importante é ter um plano de recuperação em vigor. “É definitivamente melhor estar preparado para um ataque do que estar no modo reativo. Você não quer se esforçar para descobrir o que fazer a seguir”, diz Sundaresan. “Você deve ter um plano de resposta a incidentes e deve testar esse plano contra ameaças potenciais tanto do lado de TI quanto do lado de OT. Quanto mais rápido você for capaz de responder a uma violação, mais poderá limitar seu impacto e colocar sua operação em funcionamento novamente.”
Fazer backup de dados críticos é outra medida de recuperação fácil e óbvia - se for feito da maneira certa. Williams se lembra de ter ajudado um fabricante que havia sido vítima de um ataque de ransomware. O ataque, embora pesado, não deveria ter sido desastroso, porque a empresa fazia backups regulares de seus dados. No entanto, quando a empresa tentou restaurar os dados perdidos, descobriu que o sistema de backup não estava funcionando corretamente. “A empresa nunca validou os dados dos quais fazia backup”, diz ele. “Isso é particularmente importante hoje, com tantas pessoas trabalhando em casa.”
Embora garantir a segurança cibernética exija algum investimento de capital, as despesas podem não ser tão ruins quanto os gerentes temem. E, normalmente, custam menos do que um ataque cibernético. “Os investimentos em infraestrutura de TI e OT podem se pagar rapidamente apenas em termos de melhorias no processo geral de negócios”, diz Williams. “E, uma vez que os gerentes identificam onde estão suas necessidades críticas, eles podem começar a fazer o orçamento para esses investimentos ao longo do tempo.”
