Segurança de TI versus Cibersegurança Industrial

A segurança de TI (Tecnologia da Informação) visa a proteção da informação que as organizações gerem, dos sistemas transacionais que gerem esta informação, das infraestruturas que albergam estes sistemas e, inclusive, após os últimos ataques realizados por “exércitos ciberterroristas”, das nações que agrupam estas infraestruturas. Centrando-nos no conceito de cibersegurança industrial, esta pode definir-se como a disciplina que visa proteger:

• A informação que se gere nos ambientes OT (Operation Technology), tanto em setores industriais como em infraestruturas.
• Os sistemas e dispositivos que gerem esta informação (SCADA Servers, Historian Servers, OPC Servers, PLC, RTU, DCS…)
• As fábricas industriais e as infraestruturas (geralmente críticas) que albergam estes sistemas.

Por que surge o conceito de cibersegurança industrial? Porque a segurança das fábricas industriais e infraestruturas tem-se visto cada vez mais ameaçada nos últimos anos com o surgimento de diferentes formas de ciberterrorismo e cibercrime, com a proliferação do acesso web aos sistemas SCADA, com a adoção dos paradigmas cloud, móvel e BYOD (Bring Your Own Device) e com a estandardização de tecnologias de TI no âmbito industrial.

Aprofundando este último ponto, atualmente as redes de controlo ou de operações (OT) e as redes que conectam os sistemas transacionais (TI) costumam estar integradas. Isto deve-se a que ambos os ambientes necessitam de partilhar informação entre eles, em tempo real em muitas ocasiões, e, além disso, a que se costuma requerer que esta informação, assim como algumas aplicações de supervisão e controlo de processo, sejam acessíveis desde o exterior da fábrica. Isto, que permite dotar de flexibilidade e rapidez de atuação à organização, pode converter-se num problema se não se adotarem medidas que assegurem que o trânsito e/ou partilha de informação se leva a cabo de forma segura.

Por outro lado, a utilização de tecnologias tipicamente de TI (Ethernet, TCP/IP, etc…) faz com que o ambiente industrial possa ver-se afetado pelas mesmas vulnerabilidades e ameaças associadas ao ambiente de TI, herdando as suas debilidades.

O pior é que, em muitas ocasiões, a criticidade e especificidade do ambiente industrial não permite implementar as mesmas contramedidas que num ambiente de TI tradicional. De facto, existem claras diferenças entre os âmbitos de TI e OT, que justificam a necessidade de abordar o desenvolvimento e implementação de programas de cibersegurança industrial específicos que estejam alinhados com as políticas de segurança de TI da organização. Na seguinte figura descrevem-se essas diferenças.

Por último, tendo em conta a idiossincrasia dos setores industriais e de infraestruturas, é importante ressaltar que o desenvolvimento e implementação dos programas de cibersegurança industrial deve levar-se a cabo considerando três pilares: sistemas, processos e pessoas.

• Quanto aos sistemas, é recomendável incorporar aos ambientes OT sistemas específicos relacionados com a segmentação de redes, com a análise e gestão de eventos relacionados com a segurança, etc.
• Quanto aos processos, devem estabelecer-se políticas, procedimentos e programas que ajudem a fortificar os ambientes industriais e de infraestruturas.
• Por último, o terceiro pilar e, sem dúvida, o mais complexo de gerir, as pessoas, é necessário criar equipas multidisciplinares (Red Teams) que sejam capazes de identificar possíveis ameaças e vulnerabilidades, de gerir os SGSI e de adaptar os processos propostos nas normativas e documentos de referência a cada fábrica concreta.