Segurança cibernética: 10 coisas que você precisa saber
Por que a segurança cibernética industrial é importante: uma série
Nas semanas seguintes, revelaremos 10 perguntas que as empresas industriais costumam fazer quando abordam o tema da segurança cibernética, não apenas em relação às suas redes de Tecnologia da Informação (TI), mas também às suas infraestruturas de Tecnologia Operacional (OT). Essas são questões importantes que devem ser respondidas. Só assim a transformação digital pode ser alcançada de uma forma que não ameace gravemente o negócio, seus dados intelectuais e a viabilidade de suas operações.
Questão 1: Até que ponto os gerentes de fábrica devem se preocupar com a segurança cibernética?
O trabalho de qualquer gerente de fábrica é garantir a continuidade da produção de acordo com o plano de negócios da empresa e evitar tempo de inatividade não planejado a todo custo. Para fazer isso, os gerentes de fábrica não devem apenas ter uma estratégia eficaz da gestão de desempenho dos ativos, mas devem implementar um plano de segurança cibernética industrial confiável para apoiá-lo e protegê-lo.
Conforme as fábricas e locais industriais continuam a se transformar e se tornar mais digitalizados, cada vez mais seus ativos e infraestruturas críticos estão se conectando à Industrial Internet of Things (IIoT). Como resultado, a segurança de sua Tecnologia Operacional (OT) está se tornando cada vez mais importante e cada vez mais em risco ao mesmo tempo. O gerenciamento da planta deve evitar a abordagem de “segurança por obscuridade” para colher os benefícios da visibilidade digital sem sucumbir às ameaças e riscos. Hoje, os gerentes devem se perguntar não apenas se suas fábricas serão atacadas, mas quando.
Questão 2: Se um hacker pudesse acessar a rede ou as máquinas de uma planta industrial, o que poderia acontecer?
Assim que entram, os hackers podem fazer várias coisas diferentes para causar estragos ou interromper a produção. Um hacker pode simular que uma máquina está funcionando corretamente quando não está, por exemplo. Sem intervenção, isso pode levar a problemas de saúde da máquina devido ao excesso de trabalho e, em última análise, a danos à máquina ou a uma paralisação completa da linha de produção.
Alternativamente, um hacker pode simular que uma máquina precisa de manutenção quando não precisa, levando você a perder tempo e dinheiro para interromper a produção para atividades de manutenção não planejadas (e desnecessárias).
Um hacker também pode tentar acessar e modificar o firmware do controlador lógico programável (PLC), danificando o produto e a qualidade da produção como resultado, e levando a perdas financeiras, tempo excessivo e custos de material para configurar uma nova produção e atrasos na entrega.
O acesso remoto pode ser comprometido por hackers.
Finalmente, um hacker pode tentar acessar um roteador, um PLC, um sensor de Internet of Things (IoT) ou um PC industrial para navegar de sua rede industrial para sua rede de TI corporativa. Redes de plantas não seguras fornecem aos hackers uma maneira de entrar, para que eles possam buscar dados confidenciais da empresa, como informações de propriedade intelectual, dados de clientes, balanços financeiros e assim por diante.
Em outras palavras, a cibersegurança não deve ser deixada de lado para a digitalização de fábrica. Se os sistemas e ativos de sua fábrica não estão sendo monitorados e gerenciados de forma segura, você está brincando com fogo.
Questão 3: Quem deve ser o responsável pela segurança cibernética em uma planta industrial – o pessoal de Tecnologia da Informação (TI) ou Tecnologia Operacional (OT)?
Isso varia de empresa para empresa. A resposta correta é altamente dependente de uma série de fatores diferentes - em particular o tamanho da organização, a amplitude de seus ecossistemas digitais e a relação entre a fabricação e o gerenciamento de TI.
Historicamente, a segurança cibernética tem sido considerada uma função do departamento de TI. Os dados são armazenados em sistemas de computador, então a liderança de TI é responsável por protegê-los. À medida que uma organização industrial cresce e se digitaliza, no entanto, segue-se naturalmente que a complexidade e o volume de sua infraestrutura de TO e ativos conectados também aumentam. Nesses casos, é muito arriscado não ter pessoal qualificado dedicado a supervisionar e garantir a segurança cibernética da OT, embora sempre em alinhamento e comunicação com a liderança de TI e de negócios. Na verdade, vimos grandes organizações de fabricação criarem comitês diretores completos dedicados à segurança cibernética dos sistemas de controle industrial da empresa. Esses comitês são normalmente compostos de automação de fábrica, gerenciamento de risco e pessoal de TI, com o grupo de automação assumindo a liderança. As maiores organizações, por outro lado, colocam a segurança cibernética da TO nas mãos de um Chief Information Security Officer (CISO) dedicado.
Uma nota final! A segurança cibernética é responsabilidade de todos. O fato é que as pessoas representam o maior risco para a segurança de seus sistemas e ativos. Não hackers, mas funcionários. Os ataques modernos agora ocorrem em vários níveis - e não são mais puramente técnicos. Se você não investir em educar e preparar todo o pessoal conectado às suas redes digitais sobre o assunto, os criminosos cibernéticos podem e vão usar seus funcionários contra você - embora a maioria dessas pessoas não tenha ideia de que está fazendo algo errado.
Questão 4: Por onde as empresas industriais devem começar ao avaliar o nível de segurança cibernética em uma fábrica?
Onde começa a jornada de segurança cibernética da OT industrial? Em primeiro lugar, e antes das soluções, a administração precisa verificar se suas fábricas e sua empresa estão em conformidade com os regulamentos de segurança cibernética do governo e do setor. A conformidade com os regulamentos é o primeiro passo para a segurança, porque obriga as empresas a auditar e compreender seus próprios processos internos. Na maioria das vezes, esse empreendimento abre os olhos para comportamentos e procedimentos arriscados dos quais eles provavelmente desconheciam.
Alguns regulamentos no escopo desta avaliação devem ser:
- Estrutura de segurança cibernética do NIST (National Institute of Standard and Technology);
- NIS (National Intelligence Strategy) para Cyber Threat Intelligence;
- Padrão ISA/99 IEC 62443 para cibersegurança de redes industriais.
Como o conhecimento profundo dessas normas e regulamentações raramente está presente internamente nas empresas industriais, os fabricantes devem começar com uma avaliação apoiada por especialistas certificados pelo ISA/99 IEC 62443. Esta é a única maneira de garantir uma análise abrangente, completa e precisa que identifica todos os maiores riscos e vulnerabilidades que ameaçam sua tecnologia operacional hoje. Assista ao nosso webinar para saber mais.
Questão 5: Quais são os principais pontos fracos da segurança cibernética em uma instalação industrial?
Uma planta pode ter muitas vulnerabilidades. Por exemplo, uma versão antiga do software PLC sendo usada. Um PC com sistema operacional Windows XP instalado, mas sem patches para redução do risco de interrupção da produção. Comportamento não monitorado do pessoal externo de engenharia ou manutenção com acesso à planta. Automação. Segmentação de rede incorreta (ou pior, ausente). A lista continua.
Uma das maiores vulnerabilidades, e a mais negligenciada, é o fator humano. As pessoas representam a maior ameaça à segurança de sua planta, e muitas vezes não porque estão minando maliciosamente o protocolo, mas devido à falta de conscientização. Existe uma solução fácil para isso. Para mitigar o risco humano, a administração deve manter seus funcionários informados e instruídos sobre os processos de segurança esperados no local de trabalho, e fazê-lo continuamente. Eles podem criar cursos de treinamento sobre as melhores práticas e padrões de segurança cibernética. Eles podem lançar campanhas de phishing e organizar competições de segurança cibernética para envolver os funcionários. Quando você integra as pessoas com sucesso em sua estrutura de segurança cibernética, em vez de mantê-las fora dela, a vulnerabilidade da planta é bastante reduzida.
Questão 6: Um gerente de fábrica precisa se preocupar com um robô ou com o centro de usinagem? O equipamento antigo precisará ser substituído para torná-lo seguro?
O primeiro elemento a ser analisado aqui é o próprio equipamento físico. Os gerentes de fábrica não precisam se preocupar com robôs e centros de usinagem conectados se estiverem atualizados com os protocolos de segurança. Equipamentos antigos não precisarão ser substituídos antes dos ciclos de vida esperados de manutenção de ativos, desde que a detecção de ameaças possa ser garantida. Muitas vulnerabilidades de máquinas nas fábricas de hoje estão relacionadas à instalação de versões antigas de software ou à falta de sistemas operacionais com suporte adequado para modelos de automação mais antigos. Essas vulnerabilidades podem ser identificadas, tratadas e mitigadas por meio de patches virtuais e outras soluções, mas isso não pode ser alcançado sem uma estratégia abrangente de gerenciamento de ativos corporativos (EAM, Enterprise Asset Management).
O segundo elemento a ser analisado aqui são todos os atores e pessoas responsáveis por projetar, fabricar, fornecer, gerenciar, manter e operar os equipamentos físicos em questão. Com a convergência de TI e TO, a segurança cibernética não é mais problema de outra pessoa. Na era conectada da Industry 4.0, é responsabilidade de todos, compartilhada por projetistas e fabricantes de robôs, integradores de sistemas, equipes de manutenção e operadores de plantas, todos os quais podem ter um impacto (bom ou ruim) no nível de segurança da tecnologia operacional. As soluções de gestão de desempenho dos ativos (APM) que garantem a rastreabilidade e a conformidade com os regulamentos do setor em todo o ciclo de vida do ativo de ponta a ponta são a chave para a segurança nesse caso, bem como o treinamento contínuo daqueles cujo comportamento pode colocá-lo em risco.
Questão 7: Qual é o papel do hardware versus software de computador na segurança cibernética? Precisaremos investir em novo hardware e/ou software?
Resposta em breve. Fique ligado!
Questão 8: E se uma planta for hackeada ou atacada? O que deveria ser feito? Como as plantas devem se preparar para essa possibilidade?
Resposta em breve. Fique ligado!
Questão 9: O que esperar do futuro? As ameaças à segurança cibernética ficarão melhores ou piores?
Resposta em breve. Fique ligado!
Questão 10: Ajuda! O que a Engineering pode oferecer em termos de soluções e suporte para segurança cibernética industrial?
Resposta em breve. Fique ligado!
Nosso especialista em segurança cibernética industrial
Maurizio Milazzo é Diretor de Segurança de Tecnologia Operacional (OT) da Industries Excellence Global e Diretor de Inovação Digital Industrial e Segurança de Tecnologia de Operações da Cybertech, uma divisão da Engineering Group.
