Exemplos de normas de cibersegurança em OT

As normas de cibersegurança são ferramentas utilizadas para fomentar a disponibilidade e tolerância a falhas em redes de operação, mas também para evitar possíveis incidentes de cibersegurança, inerentes às tecnologias da informação que cada vez mais se utilizam nessas redes.

No passado, a ciber-resiliência não foi uma grande preocupação para os operadores de ambientes industriais, as suas preocupações eram:

• Segurança física: evitar o acesso físico às instalações para evitar a sua manipulação. Portas, barreiras, vedações e sistemas de videovigilância têm sido os mecanismos mais utilizados
• “Safety” em contraposição a “security”: tem-se priorizado a segurança e integridade das pessoas em possíveis acidentes do que a proteção lógica das comunicações.
• “Segurança por obscurantismo”: as redes industriais permaneceram durante muitos anos isoladas do exterior e foram criadas para um propósito muito particular (buses de campo, por exemplo).

O protocolo TCP/IP, Ethernet e Internet mudou tudo. Abriram o mundo industrial a redes interconectadas, possibilitaram o controlo e governação remotos e a informática em geral habilita a análise profunda dos dados para melhorar os índices de produtividade/qualidade de forma automática. É aqui que as normas desempenham um papel importante, já que nos ajudam a definir que medidas devemos tomar para nos mantermos seguros nestes novos cenários.

Exemplo relevante para o setor energético: ISO/IEC 27019:2017

A norma IEC 27019:2017 provém da IEC 27002, adicionando uma série de controlos específicos de sistemas de controlo elétricos. O objetivo é estender as séries ISO/IEC 27000 ao domínio dos processos de automatização no setor de energias. Concretamente, inclui:

• Controlo de processos centrais e distribuídos, monitorização e automatização de processos, assim como sistemas de informação utilizados para a sua operação, tais como dispositivos de programação e parametrização.
• Componentes de automatização como PLC, sensores digitais e elementos atuadores.
• Outros sistemas de apoio utilizados no controlo de processos, por exemplo, visualização de dados, seguimento, registo histórico, geração de relatórios, etc.
• Tecnologias de comunicação utilizadas no controlo de processos: redes, telemetria, aplicações de telecontrolo e tecnologia de controlo remoto.
• Componentes de infraestrutura de medição avançada (AMI) como contadores inteligentes
• Dispositivos de medição.
• Sistemas digitais de proteção e segurança como relés de proteção, PLCs de safety, etc.
• Sistemas de gestão da energia.
• Software e Firmware das aplicações instaladas nos sistemas mencionados anteriormente.
• Qualquer local que albergue os equipamentos e sistemas antes mencionados.
• Sistemas de telegestão para os sistemas mencionados.

Exemplo relevante para a segurança da informação: ISO/IEC 15408-1:2009

A norma IEC 15408 está focada no produto e não tanto no processo. Estabelece os conceitos e princípios gerais para a avaliação de produtos de TI. Especifica um modelo geral de avaliação das propriedades de segurança desses produtos, quer sejam hardware, firmware ou software.

O resultado desta avaliação pode ajudar os consumidores a escolher aqueles produtos que cumpram os requisitos de segurança necessários para os seus fins e dotem de confiança no seu funcionamento.

O resultado da avaliação costuma classificar os produtos nos seguintes níveis de CC (Common Criteria):

Exemplo relevante para a automatização industrial: ISA/IEC 62443

A ISA/IEC 62443, referência na cibersegurança do mundo industrial, recolhe um conjunto de normas que se focam em avaliar a segurança em ICS/OT em 4 categorias:

• Geral: conceitos gerais, modelos e terminologias onde se definem as arquiteturas de referência em ambientes OT.
• Políticas e procedimentos: estabelece o programa para a gestão da cibersegurança, gestão de patches e gestão de fornecedores para manter os níveis de proteção altos à medida que o tempo passa e as tecnologias e ameaças mudam.
• Sistema: estabelecem guias para a avaliação de riscos, requisitos de segurança e tecnologias que temos ao nosso alcance para aumentar o nível de proteção.
• Componentes: descreve os requisitos para desenhar produtos e subcomponentes de forma segura.

Conclusões

As normas não são estáticas, estão em contínuo desenvolvimento e refinamento para se adaptarem à realidade do momento. Podem ser muito úteis para:

• Proteger os ativos produtivos das nossas empresas.
• As recomendações que surgem destas normas em breve serão consideradas como requisitos mínimos a cumprir, para manter os riscos de cibersegurança baixos.
• Os trabalhos preliminares de implementação ajudam a considerar os requerimentos que deverão ser integrados num futuro em ambientes ICS/OT para manter os ativos protegidos.

Também lhe pode interessar:

• Normas de Cibersegurança: O que são e para que servem
• O que inclui uma avaliação de riscos na rede OT
• Desmontando a IEC62443
• Estratégia de defesa em profundidade em cibersegurança industrial