A Cibersegurança na Indústria 4.0

O que é a Indústria 4.0?

Desde finais do século XVIII, a evolução e o crescimento da indústria devem-se principalmente à existência de 4 revoluções. A primeira revolução ocorreu entre os anos 1870 e 1900, quando se começaram a utilizar máquinas a vapor principalmente para elaborar produtos. A segunda teve como marco fundamental a introdução da eletricidade nas linhas de produção.

Foi em 1969 que, com o aparecimento do primeiro autómato programável (PLC), denominado Modicon 084, se utilizou pela primeira vez o termo de automatização industrial, iniciando-se assim a terceira revolução industrial. Desde esse momento até aos nossos dias, a irrupção e adoção das tecnologias da informação e da comunicação no âmbito industrial tem sido constante.

Atualmente, paradigmas tecnológicos como Cloud Computing, Computação Ubíqua, BYOD (Bring Your Own Device) ou IoT (Internet of Things) estão a revolucionar a forma de entender a tecnologia e a forma como as pessoas interagem com ela. Estes paradigmas, ainda que lentamente, vão chegando também ao âmbito industrial, cunhando-se termos como WSN (Wireless Sensor Networks), IIoT (Industrial Internet of Things), M2M (Machine to Machine), etc.

Quando a indústria começa a utilizá-los para integrar os dispositivos de campo e sistemas horizontalmente e facilitar a integração vertical de sistemas de informação de fábrica; para otimizar os processos de fabrico e para incrementar a produtividade das pessoas, é então que se começa a falar de a quarta revolução industrial ou Indústria 4.0.

Em poucas palavras, o termo Indústria 4.0 faz referência à convergência entre o mundo físico e o virtual, a partir do uso de uma comunicação inteligente entre os seres humanos e as máquinas (de facto, fala-se de sistemas CPS ou Cyber-Physical Systems), com a mesma naturalidade que se desenvolve numa rede social. Indústria 4.0 ou a rede social das máquinas?

A Indústria 4.0 quer converter os ambientes industriais em “Smart Places” nos quais se realizem “Smart Products” baseando-se na integração de sistemas e/ou na otimização de processos industriais e no desenvolvimento profissional e pessoal das pessoas.

• Além disso, foram estabelecidas oito áreas de ação prioritárias com o objetivo de agrupar ações específicas que dinamizem a adoção da Indústria 4.0.
• Design de uma arquitetura de referência baseada em padrões abertos.
• Utilização de modelos de planeamento e simulação para gerir ambientes complexos.
• Implementação de uma infraestrutura de comunicações de banda larga.
• Criação de programas específicos de “Safety” e “Security”.
• Redesign da organização do trabalho.
• Criação de programas de formação, capacitação contínua das pessoas em conceitos relacionados com a Indústria 4.0.
• Criação de um quadro legal regulatório que una tecnologia e lei.
• Gestão eficiente de recursos.

Em que contexto se criam os programas de “Safety” e “Security” na Indústria 4.0?

A Indústria 4.0 distingue os programas orientados para velar pela segurança física das pessoas (Safety) dos programas desenvolvidos para incrementar a segurança lógica dos ambientes industriais, ou seja, o que tradicionalmente se conhece como Cibersegurança.

Enquanto a indústria se tem preocupado tradicionalmente em desenvolver normativas específicas que velam por proteger a segurança das pessoas nos ambientes industriais, a parte da cibersegurança industrial não tem sido tida em conta até há pouco tempo.

Se partirmos da ideia de que dentro da Indústria 4.0 se desenvolve uma fábrica inteligente formada por CPS conectados por distintos meios (com fios e sem fios) e que são acessíveis ubiquamente, os programas específicos de cibersegurança devem velar por assegurar:

• A disponibilidade das instalações, dos processos de fabrico e dos sistemas CPS.
• A integridade dos desenvolvimentos e das configurações dos dispositivos de campo e redes industriais, assim como a comunicação entre eles através de protocolos específicos.
• A confidencialidade da informação e dados que estes sistemas gerem.

Também é essencial garantir um controlo de acesso correto aos sistemas, dados e processos associados a estes ambientes mediante os esquemas IAAA (Identification, Autorization, Authentication and Auditability) adequados e com uma escolha do grão de controlo deste acesso coerente.

Dito isto, tanto os programas de segurança física como lógica devem estar alinhados e devem ser entendidos e aceites por todas as pessoas. Um ataque cibernético pode ter consequências sobre a segurança física das pessoas e vice-versa. Para tal, é imprescindível que os seguintes dois princípios sejam postos em prática.

1. O design de ambientes industriais sob o princípio de “Security by Design”: Não se trata de desenhar processos, sistemas e/ou infraestruturas e, a posteriori, incorporar camadas de segurança que os protejam de possíveis ameaças e vulnerabilidades. A fábrica da Indústria 4.0 implementará CPS que levarão funcionalidades embebidas de segurança que ajudarão a interagir com estes dispositivos de forma segura.
2. O desenvolvimento e implementação de estratégias, arquiteturas e padrões de cibersegurança para assegurar os aspetos que acima se introduziam: disponibilidade, integridade, confidencialidade e controlo de acesso.

Neste ponto, é preciso mencionar que, embora tradicionalmente a cibersegurança industrial tenha incidido muito em assegurar a “disponibilidade” como elemento chave, no contexto da Indústria 4.0, realça-se a importância da “confidencialidade” da informação e dados. Recordemos que a ubiquidade, o acesso remoto, o comportamento autónomo dos CPS são características essenciais da Indústria 4.0 e que, neste contexto, a preocupação em que os dados e informação só sejam acessíveis pelas pessoas autorizadas, ou em que o know-how ou a propriedade intelectual das empresas não seja revelado, são aspetos chave a considerar.

Além disso, em paralelo, é necessário abordar estrategicamente duas circunstâncias que ocorrem atualmente nos ambientes industriais:

• A heterogeneidade e a existência de dispositivos e sistemas obsoletos ou em fase de obsolescência torna tremendamente difícil implementar programas de segurança e cibersegurança.
• Em segundo lugar, e estreitamente relacionada com a primeira, para substituir estes dispositivos e sistemas, é necessário que a indústria conte com soluções que façam com que a transição da Indústria 3.0 para a Indústria 4.0 seja o menos disruptiva possível. Neste sentido, seria imprescindível que os grandes fabricantes chegassem a acordo sobre que funcionalidades e arquiteturas deveriam ser as básicas para ajudar a realizar esta transição.

Em próximas publicações, analisaremos os desafios e barreiras que existem para poder chegar a alcançar uma fábrica inteligente segura e que iniciativas específicas se propõem para incrementar a segurança das “Smart Factories”.