Sistemas de Industrial IT Security em tempos de indústria 4.0 e digitalização

Historicamente os ambientes de automação industrial estão em constante evolução. Adoção de técnicas de controle avançadas, redes industriais para diversos fins, sistemas de supervisão e controle para fábricas de manufaturas são alguns exemplos que podem ser considerados nesse processo evolutivo.

Essa evolução atinge seu ápice quando os conceitos de Digitalização e Indústria 4.0 praticamente obrigam a convergência máxima das tecnologias da informação (TI) com as tecnologias da automação (TA).

Na contramão dessa evolução o uso de técnicas de proteção contra cyber ameaças, mais conhecidas como Industrial IT Security, nunca foi uma prioridade máxima nos ambientes industriais. É relativamente comum encontrar, mesmo nos dias atuais, ambientes de automação industrial com pouca ou praticamente nenhuma camada de segurança contra cyber ameaças.

Esse cenário pode ser comprovado por meio da recente pesquisa realizada pela empresa TI Safe, a qual fez um mapa sobre a maturidade dos sistemas industriais brasileiros em termos de Industrial IT Security e que conclui que os ambientes industriais brasileiros estão num nível 1.8 de 5 em termos de proteção contra cyber ameaças.

Mapa de maturidade brasileira Industrial IT Security

Se no passado a adoção de Industrial IT Security nos ambientes industriais podia ser considerada uma opção pouco explorada e por que não dizer evitada, nos dias atuais, com o nível de conectividade e convergência dos sistemas industriais com os mais diferentes níveis corporativos, laboratoriais e até mesmo na nuvem, é imperativo que proteções contra cyber ameaças seja um tema prioritário na agenda dos projetos de automação industrial, sendo concebido na elaboração básica de qualquer projeto, dando origem ao conceito de Secure by Design.

Frameworks de segurança baseados em defesa em profundidade e normas internacionais

Não importando se estamos protegendo um sistema de TI ou sistema de TA, um framework de segurança quase sempre é desenvolvido dentro de um conceito conhecido como defesa em profundidade, no qual um sistema a ser protegido é envolto por diversas camadas de segurança. Camadas externas projetem as camadas inferiores, assim sendo, um atacante precisará romper diversas camadas de segurança, com diferentes tecnologias e produtos envolvidos, para conseguir perpetuar um ataque de forma satisfatória.

Camadas de segurança num sistema de IT Security

A forma como os sistemas de Industrial IT Security serão configurados e operados é que pode mudar substancialmente comparando-se TI com TA. Um exemplo clássico é a questão de continuidade operacional. Num determinado momento, um sistema de proteção contra cyber ameaças no nível corporativo pode operar no sentido de desconectar ou mesmo indisponibilizar um determinado serviço no sentido proteger a confidencialidade e o acesso a dados sigilosos. Já no ambiente industrial, um sistema de proteção contra cyber ameaças não pode simplesmente desconectar uma parte do processo de forma arbitrária, sob pena de trazer sérios riscos a segurança operacional da planta ou até mesmo colocar em risco o meio ambiente e a vida dos colaboradores que operam uma determinada parte do processo que possa estar sendo alvo de um ataque.

No sentido de tornar viável, operacional e interoperável um sistema de Industrial IT Security muitas normas e guidelines foram desenvolvidos. Para citar alguns exemplos, podemos relacionar as normas NERC CIP, NIST e IEC6244-3/ISA99. Essas normas compartilham muitos cenários e recomendações, sendo em alguns momentos mais direcionadas para algumas regiões geográficas e/ou segmentos verticais, como a NERC CIP no caso de sistemas elétricos nos EUA.

Segurança embarcada nos sistemas de automação

Com a forte evolução dos sistemas industriais, aonde o poder de processamento e conectividade tem peso fundamental e devido aos requisitos previstos nas normas de Industrial IT Security, os fornecedores de equipamentos industriais são fortemente pressionados a incorporar camadas de segurança em seus produtos.

Não é difícil encontrar equipamentos industriais que já possuem mecanismos de autenticação de usuários, possibilitando o acesso a estes somente após o fornecimento de credencias de usuários que possam ser validadas, até mesmo com validação através de um diretório de usuários, como o Active Directory do Windows. Na mesma linha, a comunicação com esses equipamentos pode ser criptografada e assinada digitalmente através de certificados digitais.

Como o processo de criptografia requer um alto nível de processamento é possível encontrar chips de criptografia embutidos nos equipamentos industriais, livrando a carga de criptografia das CPUs industriais que controlam o processo industrial, propiciando alto poder de processamento e confidencialidade de dados mesmo em equipamentos rodando no chamado chão de fábrica.

Por fim, modernos sistemas industriais conseguem monitorar mudanças nos aplicativos e programas executados por eles, gerando trilhas de auditoria relacionadas a essas mudanças e, posteriormente, enviando essas trilhas/logs para sistemas de monitoramento que podem acompanhar e se for o caso, alertar sobre mudanças não autorizadas.

Convergência de Industrial IT Security envolvendo TI e TA

Se por um lado os fornecedores de equipamentos industriais se veem obrigados a incorporar tecnologias de Industrial IT Security, ditas de TI, em seus produtos, por outro lado podemos dizer que os fornecedores de equipamentos de TI cada vez mais buscam ter recursos técnicos em seus produtos no sentido de monitorar sistemas industriais, principalmente no que tange o suporte aos principais protocolos industriais, como o PROFINET, OPC e Modbus TCP.

Um resultado prático dessa convergência foi o desenvolvimento do protocolo OPC UA, um protocolo de comunicação totalmente preparado à conectividade do ambiente industrial com os mais diversos sistemas de um ambiente de Industry 4.0 e que tem funções de proteção contra cyber ameaças incorporadas no kernel do protocolo. Muitos especialistas consideram o OPC UA como o primeiro protocolo industrial com funções embarcadas de Industrial IT Security.

E o futuro dos ambientes industriais será seguro?

É inimaginável termos ambientes industriais em linha com os conceitos de Industry 4.0 e Digitalização sem levar em conta funções de Industrial IT Security. Uma vez que as demandas de consumo e o rápido crescimento populacional impulsionam os conceitos de digitalização num ritmo muito maior do que o previsto inicialmente, podemos concluir que a digitalização impulsionará a adoção de Industrial IT Security num ritmo sem igual na história da automação.

Se por um lado muitos cenários ainda parecem ser cenários futuristas, é certo que a maioria das tecnologias necessárias para esses cenários futuristas já estão disponíveis à grande maioria dos clientes.

No intuito de promover um eco sistema de Industrial IT Security Integrado, as empresas TI Safe, SIEMENS, Palo Alto, IBM, Nozomi, Kaspersky, em conjunto e com o apoio técnico e institucional do SENAI CIMATEC (Bahia) aceitaram o desafio de desenvolver um framework de segurança integrado no demonstrador de Industry 4.0 do SENAI CIMATEC.

Do chão de fábrica aos sistemas na nuvem era possível monitorar e detectar cyber ameaças disparadas intencionalmente contra o demonstrador do SENAI. E os visitantes do CLASS 2018, evento internacional de Cyber Segurança Industrial, puderam acompanhar ao vivo as múltiplas tentativas de ataque contra esse demonstrador, assim como puderam entender o papel de cada camada de defesa em profundidade aplicada nesse projeto sem igual na história da automação brasileira.

 *Márcio Santos é consultor Técnico de Digitalização na Siemens Brasil