5 recomendações para a implementação de Redes OT seguras (Parte I)

O surgimento de diferentes formas de ciberterrorismo e cibercrime, a proliferação do acesso web aos sistemas SCADA, a normalização de tecnologias de TI no âmbito industrial e a adoção dos paradigmas cloud, móvel e BYOD exigem uma atenção especial à implementação segura nas redes OT (Operation Technology) das tecnologias fornecidas pelos principais fabricantes de PLCs e SCADA (Wonderware, Siemens, Rockwell, Schneider, etc.).

Embora muitas destas tecnologias sejam “seguras por design”, isso não garante a proteção contra a grande quantidade de ameaças que surgem atualmente em ambientes industriais e de infraestruturas.

Numa série de publicações, queremos propor até cinco recomendações que lhe permitirão dotar de maior segurança uma rede OT:

1. Utilize sempre que possível switches industriais geríveis.

O MTBF destes switches é muito superior ao dos switches transacionais, o facto de serem geríveis permitir-lhes-á maior flexibilidade na sua configuração e podem ser fornecidos com características especiais para ambientes específicos (carril DIN, IP20, IP67, alta disponibilidade, redundância, aprovações específicas como a IEC61850, protocolos industriais como Profibus ou EhternetIP, etc.).

2. Segmente fisicamente a rede de TI e a rede OT onde as tecnologias de tempo real (PLCs, SCADA, HMI, etc.) foram instaladas utilizando firewalls/routers industriais.

Na figura, pode observar-se como o dispositivo Firewall/Router separa dois segmentos de rede (a rede A ou TI com intervalo de endereços IP 192.168.1.X e a rede B ou OT com intervalo de endereços IP 193.167.1.X). Além de separar ambas as redes, o dispositivo atua como firewall bloqueando o tráfego não permitido entre ambos os segmentos de rede.
Normalmente, este tipo de mecanismo de segmentação pode ser configurado para realizar NAT (Network Address Translation) 1:1, ou seja, os equipamentos localizados na rede de TI só veem o endereço IP da placa de rede do router que comunica com os equipamentos localizados na rede OT, aumentando assim a segurança no trânsito de informações entre ambas as redes.

3. Evite utilizar VLAN para separar TI e OT.

Se o fizer dentro do próprio ambiente OT, não realize “truncking” entre switches para comunicar equipamentos servidores e clientes. Se, por necessidades muito específicas, tiver de o fazer, filtre o tráfego entre switches/VLAN utilizando firewalls industriais compatíveis com o padrão IEEE 802.1Q

Na próxima publicação, proporemos outras duas recomendações.