Revista Controle & Instrumentação Edição nº 264 2021
|
|
¤
Cover Page
|
Portas abertas para ataques |
|
|
|
|
|
|
|
Neste mês de junho, o Departamento de Justiça
dos EUA anunciou que conseguiu recuperar
parte do resgate pago aos hackers que atacaram o Oleoduto Colonial – duto que fornece cerca de
metade da gasolina da Costa Leste – interrompendo por
uma semana o suprimento de combustível. Foram recuperados 64 das 75 Bitcoins pagas e, aparentemente, o
FBI tinha a chave digital necessária para isso – como ele
conseguiu esse acesso não foi divulgado. O ataque foi
atribuído ao DarkSide, um grupo criminoso de hackers
com sede na Europa Oriental, e não ligado a nenhum
estado-nação. É um exemplo de vulnerabilidades de segurança cibernética.
A Colonial pagou US$ 4,4 milhões em Bitcoins – que
agora valem consideravelmente menos. Mas, custará à
Colonial dezenas de milhões de dólares mais, restaurar
seus sistemas. Os ataques de ransomware geralmente
usam malware para bloquear as empresas de seus próprios sistemas, até que o resgate seja pago; têm como
alvo tudo, desde empresas privadas até o governo, hospitais e sistemas de saúde. A Bloomberg relatou que a
violação aconteceu por meio de uma senha, vazada para
uma conta antiga que tinha acesso à VPN usada para
acessar remotamente os servidores da empresa. A conta
supostamente não tinha autenticação multifator, então,
os hackers só precisavam saber o nome de usuário e a
senha para obter acesso ao maior oleoduto de petróleo
do país.
Outro ataque que ganhou os jornais do mundo
aconteceu em 13 de dezembro de 2020, quando a FireEye anunciou a descoberta de uma invasão sofisticada
da SolarWinds (conhecida como SUNBURST), que afetou
várias agências governamentais dos EUA, clientes comerciais e empresas de consultoria. Foi determinado que a
infiltração aconteceu por Cavalo de Tróia.
Em 2017, o Brasil sofreu sua primeira onda de ataques cibernéticos – que chegou aos jornais. Foram afetadas empresas, como a Petrobras, a Telefônica/Vivo;
órgãos públicos, como Instituto Nacional de Seguridade
Social (INSS), Superior Tribunal de Justiça (STJ), o Tribunal de Justiça do Distrito Federal e Territórios (TJDFT), o
Tribunal Regional do Trabalho de São Paulo (TRT-SP) e
o Ministério Público do Estado de São Paulo (MP-SP). O
vilão era o WannaCry, cujo ataque a 75 países foi feito
por meio de arquivos infectados, enviados por e-mails
– ataque que só perde para o Morris Worm, escrito em
1988, por um estudante da Universidade de Cornell, que
infectou cerca de 10% dos computadores conectados à Internet, na época.
Segurança cibernética começou a ganhar atenção da
indústria com o Stuxnet – que foi manchete no mundo
em 2010, e cuja origem ainda é um mistério, apesar dos
rumores de que as agências de inteligência americana e
israelense queriam usá-lo para sabotar o programa nuclear iraniano, versão plausível, já que o malware tornou
as centrífugas de enriquecimento de urânio inoperáveis,
atrasando em anos o desenvolvimento do programa nuclear daquele país.
Teorias à parte, os ataques se têm tornado cada vez
mais complexos, mas ajudam a fortalecer as demandas
por padrões de segurança cibernética. |
|
|
|
Então, é importante saber que tecnicamente, um
vírus é um script malicioso que, quando executado, se
replica em seu software, e pode roubar informações
pessoais, ou impedir que se acessem dados essenciais. Nos últimos anos, ficou “mais fácil”
se defender dos vírus, se houver um antivírus atualizado instalado, mas o crime cibernético está mais vivo do que nunca,
graças ao malware que, ao contrário de
vírus, é um termo abrangente, que engloba vírus, worms, spyware, ransomware,
adware, trojans, keyloggers e outros softwares maliciosos. |
|
|
“Em relação ao antivírus, é correto afirmar
que ele é anti-malware, pois, ele tenta identificar e tratar pelo menos um dos itens identificados como malwares. Porém, é importante
salientar que existem diversos softwares
antivírus, cada qual com objetivos e funcionalidades específicas. Sempre verifique
com as empresas desenvolvedoras de softwares antivírus quais são as funcionalidades
que estão presentes em cada opção. Malware significa Malicious Software, e é qualquer programa de computador ou
pedaço de código destinado a se
infiltrar em um sistema, capturar
dados ou causar danos em um
computador. Por ser uma definição ampla, diversas ameaças
são reconhecidas como Malwares, entre elas os vírus, cavalos de
tróia (trojans), spywares e até mesmo os ransomwares”, explica o diretor
da Escola Senai de Informática, Mauricio Bonabitacola
de Almeida. |
|
|
|
|
Ronaldo Ribeiro, gerente do
departamento de Tecnologia da
Informação e Telecom – Detim
–, da Cenibra – Celulose Nipo
Brasileira – destaca que “é
necessário entender a diferença entre os termos de cada nicho. Atualmente, a maioria dos
fabricantes de segurança atribui
aos softwares de proteção o nome
Antimalware, por entenderem ser uma terminologia
mais atual e abrangente. No geral, mesmo os softwares
denominados Antivírus, atuam na detecção de outros
tipos de malware.” |
|
|
|
|
“Antivírus ou Endpoint Protection (EPP), possui
uma rica base de malwares e características de comprometimento conhecidas. A evolução do antivírus se chama Endpoint Detection and Response (EDR), que é uma
camada adicional de segurança, que observa o comportamento dos dispositivos, e automaticamente identifica novos tipos de ameaça. Para proteção contra ransomware, recomenda-se a camada EDR, para impedir
que o atacante consiga realizar movimentos laterais de
comprometimento e, assim, detectar e impedir a
encriptação dos arquivos. O Microsoft Defender combina as capacidades de EPP e EDR,
junto com atualização de novas ameaças
identificadas pelo Microsoft Cyber Defense
Operations Center (CDOC), que, utilizando
Inteligencia Artificial, processa diariamente
trilhões de sinais de ameaças recebidas por
computadores, do mundo inteiro”, pontua o
diretor de cybersecurity da Microsoft no Brasil,
Rafael Granha. |
|
|
|
|
“De fato, cada ambiente requer um cuidado específico. Enquanto as soluções de mercado atendem bem aos ambientes de TI, faz-se
necessário o uso de soluções de antimalware
de próxima geração, homologadas para o
ambiente de TA. A homologação garante que
a segurança não vai causar interrupções na
operação”, diz Thiago Branquinho, co-fundador e CTO da TI Safe. |
|
|
|
|
Guilherme Neves, diretor de cybersegurança da ISA – RJ, completa:
“Os antivírus corporativos devem ter
um componente de inteligência artificial, para fazer frente aos novos
vírus polimórficos, que mudam de
forma e comportamento, de preferência com um controle central para
manter o parque atualizado. Já o antivírus industrial deve ser contratado com
o auxílio de um especialista certificado na ferramenta, porque nem todos são compatíveis com todos
os fabricantes. Também deve ser analisado o impacto, dependendo dos protocolos industriais que rodam na planta.
Resumindo, antivírus industrial é um projeto, e não um
produto de prateleira”. |
|
|
|
Para Rafael Granha, o melhor antivírus é a constante
atualização dos sistemas. “Sabemos que manter a atualização é um grande desafio para plantas industriais. A boa
notícia é que o Windows 10 e Windows Server 2019 possuem mecanismos de segurança nativos, que permitem
utilizar a proteção antivírus e anti-malware via Microsoft
Defender”.
“No momento inicial de escolher a defesa, penso
que é importante fazer um assessment (agnóstico), para
que sejam apontadas as necessidades dos processos, sejam eles corporativos ou industriais. De acordo com suas
vulnerabilidades, pesquisar as ferramentas que mais atendem a elas. Vale ressaltar que a tratativa industrial requer
muitos cuidados, pois, nem todos os fabricantes de soluções industriais (CLPs, SCADAs E SDCDs) estão aptos a
incorporarem os antivírus de mercado e, nestes casos, é
necessário saber se o fabricante da solução de automação é compatível/homologada para o antivírus que será
implantado; em muitos casos, se esta condição não for
observada, há riscos de interrupção da operação dos sistemas. Sistemas antivírus tradicionais são baseados em assinaturas, ou seja, comparam o código executado com uma
base de dados interna para detectar/bloquear ameaças.
Esses sistemas evoluíram, para o que o Rafael chamou de
Endpoint Detection e Response (EDR), que possuem múltiplos mecanismos de detecção, além de uma inteligência artificial para responder (remediar) os dispositivos, em
caso de detecção. Para ambientes corporativos, softwares
com essa característica são as melhores opções. Uma boa
dica para os dois casos é ter em mente a necessidade de
aquisições com contrato de suporte técnico e atualizações
diárias de softwares”, explica Ronaldo.
“A segurança deixou de ser um acessório, para ser item essencial para garantir a disponibilidade. Sem ela, processos de negócios podem parar em segundos, após serem ligados. Portanto, fornecedores de sistemas de automação devem ser responsáveis em estabelecer as melhores práticas de segurança cibernética, adotando medidas de desenvolvimento seguro (a exemplo da ISO/IEC 15408), e arquiteturas de segurança conforme as normas, a exemplo da ISA/IEC 62443”, afirma Thiago Branquinho. |
|
|
Delcio Prizon, Gerente de Desenvolvimento da Nova Smar
S/A, concorda e acrescenta que o System302, da
Smar, por exemplo, é
homologado periodicamente para o uso de pelos
dois antivírus profissionais “É
bom frisar que já existem softwares específicos, dedicados
para a área de automação, que fazem esta tarefa, como o KICS Kasperski. Mas, é obrigação
dos fornecedores de instrumentos e softwares industriais
adaptar e homologar tecnologias de segurança, para suportar as necessidades dos ambientes industriais e, claro,
ter proatividade em notificar e disponibilizar atualizações
para possíveis vulnerabilidades, detectadas pelos fóruns de
segurança e por empresas especialistas”. |
|
|
|
|
|
É “obrigação dos fornecedores de tecnologia de automação – dos instrumentos até a camada de software
– preocupar-se com aspectos de segurança de seus produtos e serviços. Este sempre foi um fator importante,
mas, diante do contexto de Indústria 4.0, onde o nível
de integração entre as diferentes camadas de tecnologia é
ainda maior – e crescente –, segurança, tornou-se imprescindível. E a preocupação deve ser de todos os envolvidos:
usuários finais, integradores de sistema e fornecedores de
tecnologia” (Carlos Paiola). |
|
|
|
Claudio Makarovsky, Diretor de Energy Industries
Enterprise Business na Microsoft do Brasil, concorda
e lembra que, assim como
a Microsoft mantém sempre atualizados seus sistemas operacionais, ambiente
de Cloud e demais tecnologias
para lidar com as mais recentes
formas de ameaças e mitigar riscos, da mesma forma,
os fornecedores de um sistema industrial (SCADA,
PIMS, MES etc.) precisam adaptar, testar e homologar
seus produtos para as últimas e mais seguras versões
de plataformas e ambientes onde serão instalados.
|
|
|
|
“É obrigação dos fornecedores de tecnologia prever
as devidas adaptações e recursos necessários para
aumentar a confiabilidade e disponibilidade de seus
produtos e, desta forma, diminuir ao máximo os riscos
operacionais” [Carlos Paiola].
De acordo com o que preconiza a IEC62443, um framework de CyberSecurity Industrial envolve os fornecedores de equipamentos industriais, os OEM/Integradores
de Sistemas, e os Usuários Finais. É responsabilidade dos
fornecedores de equipamentos industriais, manter uma
infraestrutura de ICS CERT, monitorando toda e qualquer
ameaça interna ou externa, que possa ter impacto de CyberSecurity dos equipamentos comercializados por essas
empresas. |
|
|
Cybersegurança também na calibração |
Cada vez mais, os equipamentos devem estar protegidos por cadastro de usuários identificáveis, endereços
MAC e IP, usados para controlar acesso em redes, demais
proteções para segurança dos dados trafegados em rede,
e pela integridade da informação. Toda uma configuração deve ser realizada, para que estes requisitos sejam
atendidos. |
|
|
A atualização de versão de softwares e aplicativos
residentes nos equipamentos deve ser sempre realizada,
quando impactar em novas funcionalidades e questões
de segurança.
Importante ressaltar que a atualização de software
pode ou não ter impacto na calibração de um equipamento, e isto deve sempre ser avaliado junto ao fabricante.
Para se ter uma ideia, estamos lançando um Aplicativo para Celular (Andromeda), visando a diversas soluções de conexão com um calibrador. Por exemplo, pelo
aplicativo, se poderão visualizar informações internas do
calibrador, além da ferramenta de análise dos resultados
das calibrações, e isto dependerá constantemente de atualização do aplicativo, para melhorar o desempenho de
uso, face interações com os próprios usuários. É importante o cliente estar ciente de que a Transformação Digital se refere ao uso de tecnologias digitais para alcançar
novos modelos de negócios, com segurança de dados,
porém, nos quais, os mundos físico e digital se misturam
com certeza, com melhorias disruptivas na organização, e
necessidade de quebras de paradigmas.
Entender que as Tecnologias Digitais possibilitam a
experimentação contínua, sempre com proteção de dados e necessidade de aprimoramento de conhecimento
no assunto por parte dos usuários. Postulamos, junto aos
clientes conectividade com várias camadas de acesso, vários formatos de dados e capacidades diferentes de conexão física, porque isso já é uma realidade nos calibradores
inteligentes e avançados. Ganhar produtividade com segurança é o foco, sempre.
Newton Bastos
Gerente de Conta da Presys Instrumentos & Sistemas |
|
|
|
“Nesse processo, as empresas mantêm estreito contato com a comunidade de CyberSecurity, aplicando a metodologia de Responsible
Disclosure, mantendo um fluxo de trabalho
coordenado entre pesquisadores de vulnerabilidades, agências reguladoras, e as equipes
de ICS CERT e R&D das empresas fornecedoras. Através da metodologia de Responsible
Disclosure, é possível que uma vulnerabilidade
recém-descoberta possa ser analisada, corrigida,
catalogada, publicada e devidamente reconhecida de
uma forma responsável por todos os atores envolvidos.
Logo, quando uma nova vulnerabilidade é emitida através do canal de ICS Alert das empresas fornecedoras, é
prática comum que já exista uma correção (patch) a esta
vulnerabilidade, ou então uma ação de mitigação
seja recomendada, no caso de um patch definitivo ainda não ter sido desenvolvido, dando
a oportunidade de que os sistemas afetados
pela vulnerabilidade possam ser devidamente protegidos”, destaca Márcio Santos, consultor técnico para Infraestrutura e Indústria,
da Siemens. |
|
|
|
É consenso: é responsabilidade das empresas fornecedoras de equipamentos industriais
manter as atividades de ICS CERT durante todo o ciclo de vida dos produtos, desde a sua concepção (secure
by design), fabricação, operação, até o momento em que
esse produto entra em processo de descontinuação. E
essa trabalheira toda pode ser facilitada...
Makarovsky conta que já estão disponíveis circuitos baseados em processadores certificados e à prova de
ataques, por concepção, ou “by design”. Os chips certificados pelo Azure Sphere de parceiros fabricantes de
hardware incorporam tecnologia de segurança Microsoft,
para fornecer conectividade e um hardware confiável de
origem.
O Sistema Operacioanl Azure Sphere adiciona camadas de proteção e atualizações contínuas de segurança, para criar uma plataforma confiável para novas experiências de IoT. O Serviço de Segurança do Azure Sphere
agencia a relação de confiança para a comunicação de
dispositivo para nuvem, detecta ameaças, e renova a segurança do dispositivo IoT. E, ainda, os especialistas em
segurança da Microsoft monitoram ameaças emergentes,
garantem atualizações nos desenvolvimentos, e fornecem
manutenção contínua, por uma década. |
|
|
|
O Pluton – processador de segurança lançado em
2020 – promete detectar alterações no firmware – software básico responsável pelo funcionamento do hardware
– e se comunicar diretamente com os servidores da Microsoft, para garantir a integridade do sistema, e instalar
atualizações por meio do Windows Update.
Thiago Branquinho ressalta que as normas (como a
ISA/IEC 62443) e boas práticas de segurança cibernética
industrial recomendam a compartimentalização dos serviços importantes da rede crítica e a defesa em profundidade. “Portanto, instrumentos inteligentes e dados precisam
residir em silos protegidos por diferentes soluções de segurança, que controlam o acesso, protegem dados, limitam
o uso da rede, e inspecionam o tráfego. Adicionalmente,
controles de detecção de anomalias podem ser utilizados
para entender o comportamento da rede e fornecer visibilidade sobre os ativos. Cabe ressaltar que as atualizações
dependem do aval dos fabricantes. E os usuários têm de
estar atentos, porque os patches, quando liberados, disparam uma corrida dos criminosos cibernéticos para atacar
as máquinas desprotegidas. Portanto, assim que os fabricantes da planta autorizarem a instalação de patches, os
mesmos devem ser aplicados – o mais rápido o possível
– conforme a gestão de mudança de cada empresa”.
Os sensores e transmissores estão cada vez mais inteligentes e conectados digitalmente, isto significa que precisam de cuidados especiais. Nas aplicações de automação
industrial, estes dispositivos estão vendo suas características serem ampliadas – saíram do modelo tradicional, e
estão migrando para o conceito de IIoT. Neste cenário, a
relação sensores / cibersegurança tornou-se prioridade na
indústria, porque esses dispositivos podem ser uma porta
de entrada para os hackers invadirem sistemas de plantas
industriais, e causar danos irreparáveis.
“Existem diversas metodologias e padrões de mercado que podem ser adotados para o aumento da segurança cibernética. Padrões de conformidade, como o da ISO
27000 ou o framework de segurança cibernética NIST, ajudam a implementar processos e boas práticas, em relação
à proteção de dados e da estrutura tecnológica. Por ser
uma área ampla, que necessita de atenção em diversas
vertentes, como atualização de dispositivos, implementação de mecanismos de defesa, mapeamento de processos internos, e até treinamento de recursos humanos. É
aconselhável que se adotem padrões bem reconhecidos
e difundidos, que visam à implantação de um sistema de
segurança amplo, e não somente ações pontuais ou corretivas. O ideal é que a infraestrutura tecnológica esteja
sempre atualizada. Por isso, é importante acompanhar de
forma rotineira os comunicados dos fornecedores e as atualizações. É importante saber quais padrões e boas práticas os fornecedores seguem, no desenvolvimento de seus
instrumentos, além de levar em conta o tipo de suporte
que a empresa presta, em relação aos produtos”, pondera
Mauricio, do Senai.
Vale lembrar que, em termos de sistemas de controle e instrumentação, há um parque instalado enorme
desatualizado, e que não possui proteção adequada: um
ambiente favorável e com alta vulnerabilidade para qualquer ataque. |
|
|
“A segurança de qualquer planta de processo sempre foi um problema. Antes de termos a chamada conectividade, havia ameaças de danos físicos e, em seguida, a segurança dos dados contra-ataques físicos. Agora, temos conectividade e interconectividade, e os hackers podem acessar remotamente um dispositivo, e assumir o controle de todo um ecossistema. Pensando no parque instalado com tecnologia já desatualizada e lembrando que a Internet não foi desenvolvida inicialmente com foco na segurança em mente, e sim, na velocidade e disponibilidade, e que, além disso, muitos sistemas industriais já existem há muito tempo como uma colcha de retalhos de sistemas de controles e redes novas e antigas, vários equipamentos, e que foram instalados ao longo do tempo, fica claro a vulnerabilidade em questão em todo este legado. Essa interconectividade se estende além dos sistemas operacionais e das redes de controle industrial, para as redes de negócios e vice-versa. Consequentemente, existem, potencialmente, milhares de pessoas com acesso direto e indireto a sistemas críticos e, literalmente, dezenas de milhares de maneiras de invasores atacarem esses sistemas”, destaca César Cassiolato, Presidente & CEO da Vivace Process Instruments. |
|
|
|
Márcio Santos, ressalta que existem
dois tipos de patches que precisam ser
considerados. “Existem os patches de segurança elaborados pelos fornecedores de
automação, que visam a eliminar vulnerabilidades encontradas em seus próprios produtos.
Para os fornecedores industriais que levam questões
de CyberSecurity muito a sério, é comum encontrar um
Industrial Control System (ICS), Cyber Emergency Response Team (CERT), do fornecedor, o qual monitora, identifica, relata e corrige problemas de cibersegurança em seus
produtos, seja através de processos de auditorias internos,
seja através da contribuição da comunidade. Para esses
fornecedores, o tempo de correção e elaboração de um
patch interno é adequado à maioria dos sistemas industriais. Já para
os patches de terceiros, que podem envolver, desde patches de
sistemas operacionais, até mesmo
sistemas dedicados, é importante
destacar que primeiro os fornecedores destes sistemas devem liberar seus respectivos patches e, só
a partir desse ponto, os fornecedores de automação podem averiguar e confirmar o correto funcionamento do patch nos sistemas
industriais. O tempo necessário
para que os patches sejam liberados e aplicados em casos como
esse está diretamente relacionado
à adoção e ao processamento dos
patches por todos os envolvidos.
Em casos como esse, é possível que medidas de mitigação
das vulnerabilidades sejam aplicadas antes da aplicação
de um patch final em si”.
Para começar a resolver, é preciso uma análise técnica e criteriosa em cima da rede corporativa e de instrumentação no parque instalado, analisando seus pontos fracos no dia-a-dia, verificando as possíveis portas de
acessos de dados e acessos às redes, verificando as regras
de conexão de dispositivos em redes ethernet e sem fio,
sem registros e autorizações prévias, e a implantação de
uma política de cibersegurança com infraestrutura especializada é o que pode garantir um melhor nível em termos de segurança. Criar mecanismos de monitoração das
redes para atividades suspeitas é outro passo, mas a coisa
mais importante que qualquer empresa deve fazer é assumir que todos estão em risco.
“Muitas empresas vão focar em soluções técnicas,
mas esquecem as pessoas. A primeira coisa é conscientizar as pessoas de que todos na organização têm um
papel a desempenhar no bom gerenciamento da
segurança cibernética, não apenas as pessoas
que lidam com os problemas de TI. Não há
dúvida de que fazer uma análise profunda,
em termos de hardware/software, pode ser
demorado, mas é uma etapa crucial. Se você
não sabe onde estão suas vulnerabilidades,
como pode elaborar uma estratégia de proteção? Depois de compreender o sistema e as vulnerabilidades, é preciso estar atento para proteger os
dados confidenciais durante todo o ciclo de vida da planta
e operação. Que tipo de controle de segurança se deve colocar em relação aos dados? A natureza dos dados informa
qual tipo de controle de segurança usar. E a própria análise
criteriosa aponta que é preciso implementar uma lista de
permissões de aplicativos que podem acessar o sistema de
controle em questão. Desenvolver uma lista de aplicativos
que podem ser executados no sistema é muito mais eficaz
contra malware, do que tentar bloquear aqueles que não
podem, porque novos malwares são lançados quase que
diariamente. Certamente, é importante saber exatamente
o quão seguro esses aplicativos são”, analisa Cassiolato. |
|
|
|
Para a automação e instrumentação, garantir a configuração adequada e realizar o gerenciamento de patches
é fundamental. Para isso, a orientação é baixar as atualizações com assinaturas digitais e hashes (algoritmos matemáticos para a criptografia) fornecidos pelos fornecedores.
Na prática, o que acontece é que estes procedimentos
são demorados e, muitas vezes, não são executados devido à necessidade de constante verificação humana – daí
surgiram ferramentas que auxiliam quem é responsável
por garantir que estas atividades sejam realizadas. Uma
solução de gerenciamento de patch automatizado é importante para mitigar e prevenir riscos de segurança, além
de acelerar o processo.
Outra etapa é isolar a rede corporativa da rede de
controle de automação, especialmente da Internet. Revisar a conectividade com requisitos bem definidos. Permitir
apenas conectividade em tempo real com redes externas
onde houver real necessidade. Bloquear todas as portas
não utilizadas, e desativar todos os serviços não utilizados.
E construir um ambiente com redes segmentadas é o mais
adequado; desta forma, podem-se limitar danos de uma
violação de uma rede, se o malware for introduzido de
alguma forma no sistema de controle ou na rede corporativa. É importante capturar todos os ataques em um local
e, desta forma, evitar a capilaridade do ataque ao sistema como um
todo. Evitar contas padrão e criar
níveis de acesso com autenticações, reduzindo os privilégios para
apenas aqueles necessários para as
funções de um usuário. Implementar políticas de senha seguras, exigir
credenciais separadas para zonas
corporativas e de controle, e nunca
compartilhar dados ou informações
confidenciais ou críticas entre redes
corporativas e de controle.
E mais...
Implementar acessos remotos
seguros. “Não se devem permitir
conexões persistentes para fornecedores ou usuários de negócios;
devemos utilizar sempre conexão controlada e com autenticação. Já imaginou o risco, quando os funcionários de
uma empresa precisam usar uma rede Wi-Fi pública e não
segura quando estão externos? Existem protocolos úteis a
seguir, e produtos excelentes que podem ajudar a prevenir
a maioria dos ataques cibernéticos. No entanto, mesmo
se você dedicar enormes recursos financeiros a firewalls
e redes privadas virtuais (VPNs), se sua equipe não estiver
treinada para evitar violações, é provável que ocorram ataques cibernéticos”, comenta Cassiolato.
Delcio afirma que é necessário utilizar hardwares e
softwares específicos para suportar o acesso remoto e procedimentos de segurança para acesso. “Os recursos aos
quais os usuários têm acesso devem ser limitados quanto à
necessidade, e devidamente atribuída a responsabilidade,
quanto à dimensão de possíveis impactos. No System302,
por exemplo, provemos diferentes grupos de usuários para
limitar as ações”.
“Com a conectividade entre dispositivos diferentes e
de fornecedores diferentes, e entre TI e OT, a solução para
o problema está na aplicação de normas internacionais,
como, por exemplo, a IEC62443, que foca no conceito
de defesa em profundidade, e cobre todos os níveis da
conectividade industrial: dispositivo, aplicação, host, rede,
perímetro, físico e políticas”, diz Ronaldo.
A preocupação da indústria com cibersegurança industrial é apontada pelo estudo da Accenture Upstream
Oil and Gas Digital Trends Survey, que coloca a cibersegurança como principal foco de investimentos na área digital das empresas de óleo e gás – segmento cativo para os
fornecedores de sensores. A cibersegurança é apontada
por 61% dos entrevistados como foco de investimentos
nas organizações, um resultado cinco vezes maior do que
em 2017 (12%).
Os avanços trazidos pela conectividade dos sensores
e IIoT traz muitas vantagens, como a distribuição dos dados coletados, mas facilita o uso de sensores por hackers, para invadir redes industriais. Os fabricantes destes dispositivos devem pautar suas plataformas nas normas vigentes, e ainda prover soluções que busquem a separação
“virtualizada” entre as redes de automação e corporativa,
e a implantação de firewalls entre as redes corporativa e
de automação – para mitigar o risco de invasão e comprometimento do processo produtivo das empresas por
hackers. |
|
|
|
Ronaldo pontua que, como é uma ciência relativamente recente para os Especialistas de Automação, limitar o acesso aos dispositivos de automação é uma boa
estratégia porque, assim, todo o hardware hierarquicamente localizado abaixo desse nível estará protegido.
Além disso, é muito importante que as empresas contratem consultorias especializadas para testes e certificações
de segurança.
Thiago Branquinho lembra que toda a atenção dada
anteriormente à cibersegurança deve redobrar, com o
home office. “Ao mobilizar a força de trabalho para redes não controladas, os usuários ficaram mais susceptíveis
a ataques. Desde o início da Pandemia, os ataques para roubo de credenciais se intensificaram, e fizeram muitas
vítimas”.
Ronaldo Ribeiro pondera que tradicionalmente o
modelo de segurança baseou-se na proteção de perímetros físicos (Firewall, DMZ, catraca, outros). “O avanço
da computação em nuvem, principalmente a utilização
de software SaaS, tem requisitado uma abordagem diferente, onde a proteção é baseada na informação (identidade, dispositivos e aplicativos). O Home Office trouxe
mais exposição a ameaças, uma vez que muitas empresas
não tratam a segurança com essa nova abordagem. Algumas empresas utilizam tecnologias ultrapassadas, do ponto de vista de segurança e modernidade, para conectar
seus funcionários remotamente, como a tradicional VPN.
O uso de múltiplo fator de autenticação (MFA) ainda é
pouco utilizado nos métodos de conexão remota. Trabalho remoto, seja para acesso às redes industriais ou às
corporativas, não precisa ser sinônimo de perigo. É necessário estabelecer os protocolos e as
ferramentas que estabeleçam regras e
condições que mitiguem os riscos, já
sabemos que este é um caminho inevitável.
“O impacto do home office na
segurança cibernética das empresas e
plantas é enorme, é preciso repensar a
infraestrutura e os critérios de segurança, qualquer computador na VPN deve
ser considerado suspeito, e passar pelas
regras de firewall”, destaca Guilherme
Neves.
Makarovsky lembra que a inovação forçada pelo acesso remoto trouxe
para casa os riscos cibernéticos. Muitos acessos remotos tradicionais, como
VPN, permitem que, no eventual comprometimento de segurança, o atacante poderá utilizar a
própria VPN para propagar seu ataque, podendo chegar
à planta. “Para mitigar esse risco, recomenda-se adotar um
modelo de acesso de confiança zero, exigindo interação
com dispositivos pessoais, e constante análise de risco
para cada acesso individual. Esse modelo chama-se Zero
Trust”.
Mas, o home office não é a única nova porta para
ataques. A evolução das tecnologias e o volume de dados
gerados nas atividades industriais trouxeram soluções que
podem também abrir brechas de segurança, se não bem
cuidadas: a nuvem e o blockchain.
“A nuvem provê uma segurança adicional, em relação
à atualização e à recuperação das máquinas, mas tem um
gargalo que é o acesso, este deve ser cuidado e calculado
para garantir a performance. E a nuvem não é segura por
default, todas as configurações de segurança devem ser
projetadas e implementadas. Então, o provedor de nuvem
é importante, pois, ele tem que garantir a infraestrutura, é preciso analisar o custo e os serviços oferecidos; se a nuvem for híbrida, ou seja, servidores na nuvem e no local,
pode ser uma opção para plantas, conferindo uma boa
contingência”, diz Guilherme Neves.
“Já sabemos que a infraestrutura utilizada na nuvem
busca cumprir os requerimentos mais rigorosos de segurança física e cibernética. Sobre o acesso da planta, existem
formas de se conectar à nuvem diretamente, sem precisar
necessariamente passar pela internet, e com adoção de
uma arquitetura de conectividade dos dispositivos, através
de camadas de segmentação de redes. Para o ambiente
corporativo, o uso de segundo fator de autenticação com
análise condicional de risco, associado ao modelo Zero
Trust, se demonstra bastante eficiente. Além dos cuidados
básicos, com a troca de senhas padrão dos roteadores e
dispositivos wi-fi, recomenda-se a atualização constante
dos dispositivos, proteção do dispositivo, através de solução EPP+EDR, como o Microsoft Defender for Endpoint, e acesso condicional, com múltiplo fator de autenticação”,
lembra Makarovsky. |
|
|
|
Os hackers usam cada vez mais dispositivos como
termostatos e roteadores, para obter acesso ao sistema.
Os dispositivos de borda vulneráveis, como os switches
Smart, fornecem aos hackers acesso fácil ao sistema geral
de automação.
O diretor do Senai postula que é importante analisar prós e contras, antes de aderir à nuvem. A nuvem
promove redução de custos de infraestrutura e serviços
de TI. “O benefício mais significativo vem de hospedar
aplicações em infraestrutura em nuvem, devido à redução de custos de capital (CAPEX), transformando-os em
custos operacionais (OPEX). A nuvem também otimiza a
produtividade da equipe de TI, com o uso de IaaS, ao acelerar o desenvolvimento e a implantação de aplicações,
bem como automatizar o seu gerenciamento. Os usuários
finais se beneficiaram da menor indisponibilidade do serviço, e recuperação mais rápida, reduzindo o tempo de
inatividade, e economizando expressivos recursos de cada aplicativo, por ano. O que leva muitas empresas a empregar soluções em nuvem para possibilitar novos modelos
de negócios, e suportar aplicações de geração de receita,
atingindo um maior número de usuários/clientes”.
O conceito de nuvem, muitas vezes, é reduzido à
transferência do datacenter local para um provedor de
serviços que disponibiliza os recursos computacionais via
Internet. No entanto, há alterações significativas em como
os serviços são provisionados e administrados. Entender
os conceitos de PaaS e SaaS são fundamentais para o
sucesso da adoção da nuvem. A não observância desses
pontos pode trazer aumento de custos significativos, inviabilizando soluções.
A nuvem proporciona maior facilidade para reduzir
ou aumentar a estrutura da empresa, ou mesmo para realizar novas implementações, uma vez que os provedores do serviço já possuem capacity planning, prevendo a
entrega rápida de recursos, de acordo com as demandas
do cliente, isto possibilita disponibilizar/reduzir recursos,
sem ter de comprar um novo hardware,
por exemplo.
Um dos maiores problemas que empresas podem enfrentar com os serviços
baseados em nuvem é o uso incorreto de
ferramentas, que pode resultar na perda
de dados.
Os riscos de usar a nuvem incluem
a terceirização da responsabilidade em
alguns processos, acarretando problemas
de confidencialidade e disponibilidade. E
o maior fantasma: o acesso de terceiros
às informações confidenciais. Na computação em nuvem, isso pode comprometer a proteção da propriedade intelectual (IP), e segredos
comerciais e industriais.
Em termos do uso de dados em nuvem, com a implementação da indústria 4.0, cada vez mais os processos
industriais necessitam e geram mais dados e informações.
Armazenar, processar, distribuir corretamente e assegurar
essa quantidade de dados não é uma tarefa fácil de ser
feita sem o auxílio da tecnologia. A computação em nuvem é o catalisador para que isso aconteça. Entre as vantagens da nuvem, destaca-se a flexibilidade e a agilidade
no fornecimento dos recursos necessários para a tomada
de decisão das empresas que aderiram ao novo modelo
industrial.
“A computação em nuvem surgiu com uma importante aliada desse processo, oferecendo vantagens, como
infraestrutura flexível, compartilhamento de dados feito de
forma fácil e ágil, disponibilidade dos dados em tempo
real, e gestão de manutenção e de atualizações para hardware e software, por parte de provedores de serviços.
Por ter essas características, a nuvem é capaz de fornecer
serviços de computação, como servidores, rede, bancos
de dados, softwares, entre outros, diferindo das infraestruturas físicas por sua flexibilidade, alta disponibilidade
de dados, e uma capacidade de processamento que pode
ser ilimitada. Tal infraestrutura é propícia para desenvolver
aplicativos, recuperar dados, armazená-los, fazer backups,
transmissões multimídia, hospedar sites da web, fornecer
software por demanda, analisar dados, e gerar projeções
para negócios de todos os portes e segmentos. Desta forma, dados e informações não pertencem “teoricamente”
a um lugar físico, e todos daquela corporação podem tirar
vantagens disso, é a chamada descentralização da informação. Cada profissional que atua em uma planta pode
ter as informações necessárias para executar seu trabalho,
mesmo que estas sejam provenientes de outra planta, de
forma rápida e organizada. Sua fácil escalabilidade transmite aos processos industriais tudo o que eles necessitam,
para se tornarem dignos da indústria 4.0. Além disso, por
meio de acessos restritos, é possível segmentar quem o
acessou e o conteúdo. Mas, aqui, novamente, deve-se ter
a atenção aos requisitos de segurança da informação e garantia de seus mecanismos. Com a crescente adoção dos serviços em nuvem, os criminosos se têm aproveitado das
vulnerabilidades desse serviço para atacar os sistemas das
empresas. Os usuários desse tipo de solução precisam
ter em mente que, já que os dados ficam acessíveis remotamente, é preciso ter mais atenção com as medidas de
segurança, e incorporá-las como um hábito. Os riscos de
armazenamento e as principais ameaças são semelhantes
na nuvem e em qualquer outro local. Ou seja, é preciso
garantir que, em todo o perímetro da empresa, as informações e sistemas estejam sempre protegidos. Quanto
maior o número de sistemas conectados na nuvem, e mais
dependentes as empresas forem, maior serão as vulnerabilidades nesse ambiente. |
|
|
|
Lembrando novamente que a Pandemia do coronavírus obrigou muitas empresas a mudarem rapidamente sua
forma de trabalhar, e passarem a depender da nuvem para
realizar suas atividades. Entretanto, esse movimento não
foi feito somente pelas empresas e funcionários, mas também ocorreu nas organizações criminosas, que oferecem
ameaças cada vez mais ousadas.”, diz Cassiolato.
Para Ronaldo Ribeiro, para a indústria, o caminho
é a nuvem híbrida. “É a melhor forma de preservar os investimentos em computação existentes e, ao mesmo tempo, potencializar a inovação. A sugestão é buscar, entre
os principais provedores de nuvem pública (AWS, Google,
Microsoft e outros), o que mais possui aderência aos recursos locais, e assim agregar mais valor a essa estratégia
de nuvem híbrida”.
Um estudo feito pelo Gartner mostra que, até 2020,
empresas que não utilizam computação em nuvem serão
tão raras quanto as que hoje não utilizam internet. Isso,
porque a maioria das inovações tecnológicas é centrada
em cloud. Segundo o artigo ‘The ROI of Cloud ERP for
SMBs’, o mercado de ERP em nuvem representa apenas
2 a 7 por cento do total deste mercado. No entanto, a
previsão é que que esse percentual dobre a cada cinco
anos.
“A decisão de migração para a nuvem não é algo simples, algumas perguntas simples precisam ser respondidas,
antes mesmo de começar. Por exemplo: para que você
precisa da nuvem? Algumas companhias simplesmente
consideram o conceito como, por exemplo, um vetor de
economia, redução de esforço, terceirizar a
gestão de parque de máquinas ou sistemas,
etc. Uma boa dica é começar com a nuvem
privada, e depois ir expandido para a nuvem
pública. Somente cada negócio pode decidir
o que pode/deve ser enviado para a nuvem
pública”, diz Ronaldo.
E aí entram as considerações em relação à Infraestrutura: uma conexão de internet estável é sempre desejável. Se isso for
um problema, existem soluções em nuvem
específicas para trabalhar em links de baixa
qualidade, ou até mesmo offline. Além da
conexão, é necessário considerar os dispositivos adequados para cada cenário de uso.
Os usuários podem acessar serviços de computação pela
nuvem quando precisam, sem a interação do provedor de
serviços. Os serviços de computação devem ser totalmente sob demanda, para que os usuários tenham controle
e agilidade para atender às necessidades em evolução.
Os serviços de computação em nuvem estão amplamente
disponíveis via rede, através das ferramentas preferidas
dos usuários (por exemplo, laptops, desktops, smartphones, etc.).
Ronaldo lembra que a conexão do usuário é uma
das principais variáveis a serem consideradas durante um
projeto de implementação de solução em nuvem. “A limitação de infraestrutura do sistema brasileiro exige esse
cuidado, no entanto há soluções para os cenários mais
complexos. Acredito que a única solução plausível para
uma disponibilidade muito alta, para que as falhas de uma
única empresa provedora de Internet não tirem do ar nossas aplicações, sejam múltiplos provedores de serviços de
acesso à Internet, e um rígido contrato de SLA. Outro fato
relevante é que a disponibilidade de links de alta qualidade para os grandes centros ainda é muito diferente, comparando com os menores centros”.
As nuvens públicas ainda permitem que sistemas de
alta disponibilidade sejam desenvolvidos em níveis de serviço, muitas vezes impossíveis de serem criados em redes
privadas, exceto a custos extraordinários. A desvantagem
disso é a tendência de misturar os ativos de informação
com os de outros clientes da nuvem, inclusive concorrentes – de acordo com as leis e regulamentações de diferentes regiões, isso pode ser um desafio para as empresas.
Makarovsky pontua que o blockchain protege eficientemente tais sistemas e dispositivos vulneráveis, descentralizando sua administração. “O blockchain, combinado
com a tecnologia de IA e IoT, permite que os dispositivos tomem decisões de segurança por conta própria. A
independência da autoridade central torna os dispositivos IoT mais seguros, e permite que eles detectem e ajam
em comandos suspeitos de redes desconhecidas. Como
exemplo, existe um famoso projeto de descentralização de
dispositivos IoT, chamado IOTA, com foco no modelo de
economia Machine-to-Machine (M2M)”. |
|
|
|
Toda a complexidade das possibilidades que a IoT
criou pedem “um backbone de confiança descentralizado, que permita negociar dados, gerenciar o acesso a eles,
e rastrear responsabilidades: Blockchain fornecem esse
backbone, no entanto, para que essa infraestrutura tenha
escala e seja sustentável, as transações nessa infraestrutura
devem ser gratuitas, para permitir o acesso a bilhões de
dispositivos e dados. E a IOTA fornece a tecnologia para
desenvolver essa infraestrutura (IEEE Blockchain Technical
Briefs, January 2019).
Ronaldo Ribeiro destaca que, em um banco de dados centralizado, que é utilizado atualmente pelas empresas, basta apenas uma brecha para que o invasor
consiga entrar no servidor e ter acesso aos dados, muitas
vezes sem deixar rastros. Com o blockchain, um invasor
teria de ter o controle de 51% dos nós da corrente, ou
seja, teria de invadir várias máquinas para validar uma
alteração. Além disso, a rastreabilidade da movimentação
gera maior confiança e segurança. Isso significa que, se
um hacker conseguisse entrar em uma única máquina de
uma empresa, com o objetivo de sequestrar os dados,
os demais computadores que formam o bloco agiriam,
invalidando a ação. |
|
|
|
|
|
|
|
|
|
LEIA MAIS
NA EDIÇÃO IMPRESSA |
|
DESEJANDO
MAIS INFORMAÇÕES: redacao@editoravalete.com.br
|
|
|
Clique na capa da revista para
ler a edição na íntegra |
|
|