Cibersegurança industrial: Aproximação integral num contexto de transformação digital
A acelerada digitalização dos sistemas de automatização e controlo, o uso de tecnologias inovadoras e o aumento da conectividade com outros sistemas fez com que as organizações industriais fiquem expostas a riscos de cibersegurança para os quais não estavam preparadas. Neste processo de transformação digital aposta-se em que a indústria seja mais competitiva mediante a exploração dos dados que temos na fábrica. Por exemplo, através da introdução de sistemas IoT procura-se tirar o máximo partido da informação com o objetivo final de produzir de maneira mais económica e eficiente, para que o nosso produto tenha maior penetração no mercado. Isto implica que os contextos industriais possam ficar mais expostos a novas ameaças que são críticas para a disponibilidade, a integridade e a confidencialidade.
Para nos protegermos face a esta situação é recomendável incorporar aos contextos operacionais (OT) tecnologia de proteção específica relacionada com a segmentação de redes, com a análise e gestão de eventos relacionados com a segurança, etc. Também se devem estabelecer políticas, procedimentos e instruções técnicas que ajudem a fortificar os contextos industriais e de infraestruturas. E tudo isso num marco de governo que assegure o início de um sistema de gestão de cibersegurança que possa, por sua vez, incorporar os aspetos particulares de cada instalação em concreto.
«No âmbito da cibersegurança industrial é preciso ter em conta as seguintes mensagens: a segurança é segurança sem importar o âmbito, não importa se falamos de sistemas IT corporativos ou de sistemas operacionais OT, a cibersegurança não é um aspeto somente tecnológico, também inclui pessoas, processos e conhecimento e, por último, devemos desenvolver a política de cibersegurança desde a premissa de que mais tarde ou mais cedo vamos sofrer incidentes» Javier Hidalgo, Arquiteto de Soluções e Especialista em Cibersegurança do Setor Indústria da GMV, durante a sua intervenção no evento organizado pelo Centro de Cibersegurança Industrial (CCI): A Voz da Indústria 2022 «Gestão e resposta a incidentes de cibersegurança industrial».
Na GMV apostamos por um tratamento global dos riscos de cibersegurança para as infraestruturas industriais, apoiando-nos em boas-práticas e regulamentos internacionalmente reconhecidos (exemplos: IEC 62443, ISA 99, NIST 800-82 53, ISO 27001, NERC CIP…), identificando as ameaças existentes, protegendo os ativos, detetando tentativas de ataque e, se ocorrerem, restabelecendo a situação o antes possível, tudo orquestrado através dos sistemas de gestão mais exigentes. Esta aproximação à gestão da cibersegurança é fruto da longa experiência adquirida no âmbito das Tecnologias da Informação, no qual enfrentamos este tipo de ciberameaças, estudando a sua evolução e trabalhando de maneira contínua na sua mitigação e prevenção desde há décadas. No entanto, não se trata apenas de ter uma sólida experiência prévia, mas de ser capaz de trasladar esta experiência para um âmbito de negócio com as suas particularidades e necessidades, como é o âmbito industrial. Ser capaz de entender estas especificidades, necessidades próprias e diferenças com a nossa experiência prévia é chave para o êxito de um projeto de cibersegurança industrial.
Casos de êxito em projetos de cibersegurança industrial
Para uma organização do setor de produção cimenteira, a GMV desenvolveu uma série de projetos encaminhados a realizar a separação, segmentação e racionalização das comunicações entre as redes de dados de IT e OT nas suas instalações de produção em EMEA. Este tipo projetos, para além da implementação e configuração de sistemas firewall nas referidas instalações, implicam um processo de descoberta de ativos industriais, as comunicações dos mesmos com os restantes ativos, não apenas da instalação, mas também da empresa e mesmo de terceiros, como sejam determinadas administrações públicas, e a determinação das políticas de controlo dos fluxos de informação, para acabar a definir uma arquitetura de redes que contemplem as melhores práticas para evitar acessos desnecessários ou indevidos, garantindo a disponibilidade e o correto funcionamento dos sistemas de produção industrial.
Podemos encontrar outro exemplo no setor automóvel, no qual o desafio apresentado era sensorizar a linha de montagem de veículos para otimizar o processo de logística interna de peças para os veículos. Neste projeto, a GMV contemplou a segurança desde o desenho como peça-chave da proposta de arquitetura, o que implicou a escolha de sistemas IoT cuja funcionalidade incluísse a origem a proteção das comunicações, o uso de credenciais a nível de dispositivo para mitigar o risco de aparecimento de dispositivos maliciosos ou que pudessem produzir problemas de funcionamento. Para além disso, utilizou-se um desenho arquitetura de sistemas, baseado em microserviços, que procuram não apenas a granularidade no desenvolvimento de elementos software, mas o máximo controlo das comunicações, tanto a nível interno do produto desenvolvido, mas também nas comunicações com elementos terceiros, como o sistema ERP do cliente, de que depende o fornecimento final das peças.
Quando a cibersegurança faz parte indivisível do ciclo de vida do projeto, pode desenvolver-se com êxito qualquer iniciativa encaminhada a desenvolver processos de digitalização industrial.