Segurança em sistemas SCADA
A preocupação com a segurança dos sistemas SCADA é crescente. Alguns exemplos são as novas normativas, melhores práticas, instituições, etc.; dedicadas à segurança destes sistemas.
O relatório Control Systems Cyber Security Awareness do ano de 2005 (US-CERT) analisava como, entre os anos de 2002 e 2004, 66% dos incidentes de segurança ocorridos com sistemas SCADA se deviam a ataques externos, enquanto 22% se deviam a acidentes, 3% a erros ou falhas de funcionamento internos e o resto, a causas desconhecidas. Para que tenha uma ideia, entre 1982 e 2001, apenas 29% dos incidentes de segurança tinham sido catalogados como externos.
Este incremento tão espetacular deve-se principalmente ao que já comentámos numa entrada anterior dedicada a CIIP: no início do século XXI, os sistemas SCADA começaram a trabalhar com tecnologias e protocolos padrão e conhecidos por todos, como costumam estar distribuídos geograficamente, ligam-se a centros de supervisão e controlo mediante tecnologias e protocolos padrão e, por sua vez, estes centros costumam estar ligados à rede corporativa da empresa ou instituição proprietária do processo e, através desta rede, à Internet.
Por este motivo, a preocupação com a segurança dos sistemas SCADA tem sido crescente. Alguns exemplos são as novas normativas, melhores práticas, instituições, etc.; dedicadas à segurança destes sistemas. Além disso, dentro da proteção de infraestruturas de informação críticas (CIIP), a proteção dos sistemas de controlo industriais é um ponto-chave. Inclusive, começou-se a falar de ciberterrorismo depois dos incidentes ocorridos na Estónia em 2007 e da quantidade de informação técnica acerca dos produtos de diferentes fabricantes de sistemas SCADA que se encontraram após as detenções de diferentes terroristas nos últimos anos.
Ainda que em Espanha já tenhamos o CNPIC e por algo se começa, noutros países como os Estados Unidos levam-nos muita vantagem a trabalhar nestes temas. Ali criou-se dentro do DHS (Department of Homeland Security), o US-CERT e o Control Systems Security Program, que se dedica exclusivamente à segurança de sistemas SCADA.
Nesta ligação podem encontrar-se as últimas notícias relacionadas com a segurança dentro da área industrial (ataques e vulnerabilidades descobertas), e encontra-se muita informação, artigos e notícias para começar a aprofundar nestes temas: http://www.us-cert.gov/control_systems
Especialmente interessante, dentro do separador Top10, é o recurso Secure Architecture Design.
Ainda que ainda não existam padrões e normativas universalmente aceites, mas sim que costumam ser mais iniciativas a nível nacional e/ou setorial, existem certos princípios básicos em que todos estamos de acordo que devem ser os fundamentos da segurança industrial na atualidade:
- Consciência de segurança e formação.
- Definição de políticas e procedimentos.
- Desenho de arquiteturas seguras.
- Controlo do acesso remoto.
- Análise de vulnerabilidades e riscos.
- Resposta perante incidentes.
- Gestão de configuração e atualização.
- Monitorização e controlo.
- Governança de IT.
- Gestão da mudança.
