Segurança em automação

Advisor
Análises independentes de tendências tecnológicas
para profissionais de TIC
Análisis independientes de tendencias tecnológicas
para profesionales de TIC
Segurança em
automação
Seguridad en automatización
Como garantir a disponibilidade das
redes de automação integradas à TI
Como garantizar la disponibilidad de las redes de
automatización integradas a TI
Foco | Foco
Tecnologias de
automação
Tecnologías de automatización
Tecnologia | Tecnología
Redes, segurança
Redes, Seguridad
Setor | Sector
Corporativo, Utilities
Corporativo, Utilities
Geografia | Geografía
América Latina
Latinoamérica
Seguridad en automatización - Advisor | 1
Outubro | Octubre 2014
Sumário | Sumario
03 ... Introdução
Introducción
04 ... Contexto
Contexto
06 ... Cenário
Escenario
11 ... Desafios da segurança
El desafío de la seguridad
14 ... O que fazer
Qué hacer
17 ... Conclusão
Conclusión
2 | Advisor - Segurança em automação
Introdução
Introducción
Atualmente as estruturas de tecnologia da informação
(TI) e de tecnologia da automação (TA) convivem em
ambientes paralelos, como áreas que não se falam e com
orçamentos separados. Mas a evolução tecnológica e
as exigências cada vez maiores por eficiência, inovação
e controle dos processos estão, aos poucos e de forma
inevitável, transformando essa realidade. A integração e
a convergência das estruturas de TI e TA torna-se crucial
para os negócios.
Actualmente, las estructuras de tecnología de la
información (TI) y de tecnología de la automatización (TA)
conviven en ambientes paralelos, como áreas que no
interactúan y tienen presupuestos separados. Pero la
evolución tecnológica y la exigencia cada vez más alta
de eficiencia, innovación y control de los procesos están
transformando esa realidad de manera gradual e inevitable.
La integración y la convergencia de las estructuras de TI y
TA se han vuelto esenciales para los negocios.
O processo de migração das redes de automação para
um ambiente de protocolos abertos tende a ganhar
importância à medida que os setores industriais e de
utilities avancem em seus planos de investimento para
ganhos de produtividade e busca de novas possibilidades
de negócios e operacionais que poderão surgir com a
convergência de TI e TA.
El proceso de migración de las redes de automatización
a un ambiente de protocolos abiertos tiende a ser más
importante a medida que los sectores industriales y de
utilities avanzan en sus planes de inversión para ganar
productividad y buscar nuevas posibilidades de negocios
y operaciones que podrán surgir con la convergencia de
TI y TA.
Com isso, surgem novos desafios para as empresas
que precisam transformar suas redes sem criar
vulnerabilidades. A preocupação é real, como mostra uma
pesquisa realizada pela PromonLogicalis no início deste
ano com grandes empresas públicas e privadas. Os dados
mostram que 71% das companhias já contam com uma
política de segurança para as redes de automação.
Con esto, surgen nuevos desafíos para las empresas, que
necesitan transformar sus redes sin crear vulnerabilidades.
La preocupación es real, como muestra una encuesta
realizada por PromonLogicalis a principios de este año
con grandes empresas públicas y privadas. Los datos
muestran que el 71% de las empresas ya cuenta con una
política de seguridad para las redes de automatización.
Nesse movimento, a segurança não pode ser deixada
de lado, já que se torna extremamente relevante em um
ambiente de protocolo aberto, como o IP; abrindo brechas
em ambientes de missão crítica e que, muitas vezes,
controlam serviços fundamentais para a sociedade. Daí
a importância de um planejamento claro de medidas
que assegurem a disponibilidade dos sistemas para
possibilitar, com segurança, a operação de equipamentos
que controlam linhas de produção e toda infraestrutura de
transporte, saneamento, abastecimento de energia e água.
En ese movimiento, no se puede dejar a un lado la
seguridad, que se vuelve sumamente relevante en un
ambiente de protocolo abierto, como el IP; eso abriría
brechas en ambientes de misión crítica que, muchas veces,
controlan servicios fundamentales para la sociedad. De ahí
la importancia de una planificación clara de medidas que
aseguren la disponibilidad de los sistemas para posibilitar,
con seguridad, la operación de equipos que controlan
líneas de producción y toda la infraestructura de transporte,
saneamiento, suministro de energía y agua.
Seguridad en automatización - Advisor | 3
Os avanços da TI fizeram com que os
computadores se tornassem protagonistas
no ambiente industrial, transformando a
realidade do chão de fábrica
Los avances de la TI hicieron que las computadoras se convirtieran en protagonistas
en el ambiente industrial, transformando la realidad del piso de producción.
Contexto
Contexto
O setor de automação industrial brasileiro vem se
destacando na aplicação de tecnologias inovadoras. O
movimento nesta direção, embora recente, é robusto.
Dados das entidades setoriais apontam para um
crescimento de 9% no faturamento desse mercado em
2014, cujo montante deve atingir R$ 4,3 bilhões. Segundo
levantamento da Confederação Nacional da Indústria
(CNI), os setores que mais contratam projetos nessa área
são os de siderurgia, mineração, borracha e plástico,
máquinas e equipamentos, eletrônico, automotivo e
petróleo e gás. No total, eles representam 7,9% do
Produto Interno Bruto (PIB) do país.
El sector de automatización industrial brasileño está
emergiendo en la aplicación de tecnologías innovadoras.
El movimiento en esta dirección es reciente, pero sólido.
Los datos de las entidades sectoriales muestran un
crecimiento de 9% en la facturación de ese mercado en
el 2014, con un monto que debe llegar a los R$ 4,3 mil
millones. Según la encuesta de la Confederación Nacional
de la Industria (CNI), los que más contratan proyectos en
esa área son los sectores siderúrgico, minero, industria
del caucho y plástico, máquinas y equipos, electrónico,
automotriz y de petróleo y gas. En total, representan 7,9%
del Producto Bruto Interno (PBI) del país.
É importante destacar o setor de utilities, no qual as
iniciativas para dar mais “inteligência” ao ambiente
de produção vêm crescendo significativamente – e
transformando os modelos de negócio. Um dos exemplos
mais populares é o Smart Grid, conceito que, ao levar o IP
para as redes elétricas, garante maior controle operacional
e permite a criação de uma série de novos serviços ao
consumidor.
Es importante resaltar el sector de utilities, donde las
iniciativas para brindarle más “inteligencia” al ambiente
de producción están creciendo significativamente – y
transformando los modelos de negocio. Uno de los
ejemplos más populares es el Smart Grid, un concepto
que, como lleva el IP a las redes eléctricas, garantiza más
control operativo y permite la creación de una serie de
nuevos servicios al consumidor.
Os avanços da TI nas últimas décadas fizeram com que
os computadores (assim como os robôs) se tornassem
protagonistas no ambiente industrial, transformando a
realidade do chão de fábrica. A utilização de redes IP,
interconectando toda a estrutura produtiva, faz com que os
sistemas sejam ativos e coletem dados em tempo real para
análise e conhecimento das áreas técnicas e gerenciais.
Com isso é possível reduzir custos de manutenção,
programar ações preventivas e aumentar a eficiência e a
produtividade.
Los avances de la TI en las últimas décadas hicieron que
las computadoras (al igual que los robots) se convirtieran
en protagonistas en el ambiente industrial, transformando
la realidad del piso de producción. La utilización de redes
IP, interconectando toda la estructura productiva, hace
que los sistemas sean activos y recopilen datos en tiempo
real para análisis y conocimiento de las áreas técnicas
y de gestión. Gracias a esto, es posible reducir costos
de mantenimiento, programar acciones de prevención y
aumentar la eficiencia y la productividad.
4 | Advisor - Segurança em automação
Entre as vantagens trazidas pelos novos sistemas –
baseados em padrões abertos e com maior "inteligência"
embarcada – destacam-se o monitoramento detalhado e
em tempo real das operações, possibilidade de antecipar
necessidades de manutenção, menor tempo de produção
e redução do consumo energético.
Entre las ventajas ofrecidas por los nuevos sistemas –
basados en estándares abiertos y con más “inteligencia”
integrada – están el monitoreo detallado y en tiempo real
de las operaciones, la posibilidad de anticipar necesidades
de mantenimiento, un menor tiempo de producción y la
reducción del consumo de energía.
Na área de geração ou distribuição de energia, por
exemplo, as redes inteligentes (smart grid), melhoram a
eficiência do fornecimento, diminuem custos e dão mais
confiabilidade ao serviço. As concessionárias que operam
no Brasil já estão investindo na implantação de novos
modelos de consumo a partir de produtos resultantes da
smart grid. Existem exemplos bem sucedidos na Europa e
Estados Unidos, que logo chegarão ao Brasil, de consumo
pré-pago, tarifas diferenciadas de acordo com o horário,
acionamento e desligamento remoto da energia pelo
próprio consumidor, inclusive. Na Alemanha, as redes
inteligentes de energia combinada à utilização massiva de
energia solar na zona rural permitiu a criação de uma nova
fonte de renda para os clientes, que passaram a atuar
também com revendedores de energia.
En el área de generación o distribución de energía, por
ejemplo, las redes inteligentes (Smart Grid) mejoran la
eficiencia del suministro, disminuyen costos y le brindan más
confiabilidad al servicio. Los servicios públicos que operan
en Brasil ya están invirtiendo en la implementación de nuevos
modelos de consumo a partir de productos resultantes de la
Smart Grid. Existen ejemplos exitosos en Europa y Estados
Unidos, que pronto llegarán a Brasil, de consumo pagado por
anticipado, con tarifas diferentes según el horario, e incluso la
posibilidad de que el mismo consumidor encienda o apague
el suministro de electricidad de manera remota. En Alemania,
las redes inteligentes de energía combinadas a la utilización
masiva de energía solar en la zona rural permitieron crear una
nueva fuente de ingresos para los clientes, que pasaron a
actuar también con revendedores de energía.
A tecnologia das redes inteligentes permite identificar
falhas com mais rapidez e isolar áreas atingidas,
minimizando o impacto aos clientes. Trata-se de um
ambiente em que a integração entre as redes corporativas
e de automação é fundamental para o gerenciamento e o
controle do processo produtivo em tempo real. O mesmo
conceito se aplica e começa a ser praticado nas áreas
de fornecimento de água, produção e distribuição de
alimentos, sistemas de transportes etc.
La tecnología de las redes inteligentes permite identificar
fallas con mayor rapidez y aislar las áreas afectadas,
minimizando el impacto a los clientes. Se trata de un
ambiente donde la integración entre las redes corporativas
y de automatización es fundamental para la gestión y el
control del proceso productivo en tiempo real. El mismo
concepto se aplica y empieza a practicarse en las áreas
de suministro de agua, producción y distribución de
alimentos, sistemas de transportes etc.
Seguridad en automatización - Advisor | 5
A prioridade para sistemas de TI é a
confidencialidade, enquanto que para sistemas
de TA é a disponibilidade
La prioridad para los sistemas de TI es la confidencialidad, mientras que para los
sistemas de TA es la disponibilidad.
Cenário
Escenario
Depois de grandes investimentos feitos pelas indústrias
automobilística, química e agora pelo setor de petróleo e gás,
com a descoberta do pré-sal, a infraestrutura de tecnologia
da automação (TA) do País passa por um processo de
transformação significativa. As redes proprietárias, baseadas
nos sistemas SCADA (supervisory control and data
acquisition), e o isolamento físico que ainda predominam
começam a dar lugar às redes mistas ou até baseadas em
protocolos abertos, a exemplo do IP - o mesmo utilizado nas
redes de computadores das empresas, em nossos lares e
principalmente no acesso a internet.
Después de las grandes inversiones hechas por las industrias
automovilística, química y ahora por el sector de petróleo y gas,
con la descubierta del “pre-sal”, la infraestructura de tecnología
de la automatización (TA) del País ha pasado por un proceso
de transformación significativa. Las redes propietarias, basadas
en los sistemas SCADA (Supervisory Control and Data
Acquisition), y el aislamiento físico, que todavía predominan,
empiezan a darle lugar a las redes mixtas o incluso basadas
en protocolos abiertos, como IP - el mismo utilizado en las
redes de computadoras de las empresas, en nuestras casas y
principalmente en el acceso a internet.
Uma pesquisa realizada com 51 gestores de redes de
automação de grandes empresas públicas e privadas
revela que essas organizações, em sua maioria, dispõem
de redes de automação (TA) operando de forma separada
fisicamente e logicamente das redes corporativas (TI).
Isso é reflexo não só da preocupação constante com a
segurança do ambiente de TA, mas também do histórico
de desenvolvimento de produtos para esses ambientes,
normalmente focado em protocolos proprietários. Há, no
entanto, uma clara disposição dos gestores em realizar a
integração das estruturas – 78% são favoráveis –, desde
que sejam utilizados equipamentos de redes e segurança
homologados pelos fabricantes dos sistemas de automação
– 65% dos gestores manifestaram essa preferência.
Una encuesta hecha con 51 gestores de redes de
automatización de grandes empresas públicas y privadas
revela que esas organizaciones, en su mayoría, disponen de
redes de automatización (TA) operando de forma separada
físicamente y lógicamente de las redes corporativas (TI). Eso
refleja no sólo la preocupación constante con la seguridad
del ambiente de TA, sino también el historial de desarrollo
de productos para esos ambientes, normalmente enfocado
en protocolos propietarios. Hay, sin embargo, una clara
disposición de los gestores para realizar la integración de las
estructuras – 78% son favorables –, desde que se utilicen
equipos de redes y seguridad aprobados por los fabricantes
de los sistemas de automatización – 65% de los gestores
declararon esa preferencia.
6 | Advisor - Segurança em automação
Cenário da Tecnologia de Automação
Escenario de Tecnología de Automatización
As organizações, em sua maioria, possuem a rede de automação (TA)
separada fisicamente e logicamente das redes corporativas (TI)
Las organizaciones, en su mayoría, poseen una red de automatización (TA) separada física
y lógicamente de las redes corporativas (TI)
TA isolada fisicamente da TI
TA aislada físicamente de TI
6%
Na sua organização, as redes de automação (TA)
são atualmente isoladas fisicamente das demais
redes corporativas (TI)?
49%
¿En su organización, las redes de automatización (TA)
son separadas actualmente físicamente de las demás
redes corporativas (TI)?
Sim
Si
Não
No
45%
Não respondeu
No responde
TA isolada logicamente da TI
TA separada lógicamente de TI
4%
Na sua organização, as redes de automação (TA)
são atualmente isoladas logicamente das demais
redes corporativas (TI)?
¿En su organización, las redes de automatización (TA)
son separadas actualmente lógicamente de las demás
redes corporativas (TI)?
Sim, Fisicamente e Logicamente
Si, Físicamente y Lógicamente
Sim, Logicamente
Si, Lógicamente
Não
No
Não respondeu
No responde
16%
47%
33%
Source: Pesquisa PromonLogicalis – Abril 2014
Seguridad en automatización - Advisor | 7
Cenário da Tecnologia de Automação
Escenario de la Tecnología de Automatización
Porém, há grande interesse em realizar a integração das redes de TA com
a de TI utilizando equipamentos de redes e segurança homologados
pelos fabricantes dos sistemas de automação
Sin embargo, poseen un gran interés en realizar la integración de redes de TA con las de TI, utilizando equipamientos de
redes y seguridad homologados por los fabricantes de sistemas de automatización
Integração TI / TA
Integración TI / TA
Sua empresa tem interesse na integração da
comunicação de dados entre as redes de automação
(TA) e as redes corporativas (TI)?
¿Tiene su empresa interés en la integración
de comunicación de datos entre las redes de
automatización (TA) y las redes corporativas (TI)?
2%
6%
14%
78%
Interesse crescente
Creciente interés
Nenhum interesse
Ningún interés
Interesse decrescente
Interés decreciente
Não respondeu
No responde
Source: Pesquisa PromonLogicalis – Abril 2014
O levantamento indica uma nítida tendência de migração
para o protocolo IP – a intenção é declarada por 71% dos
gestores. Quase metade das redes de automação das
empresas pesquisadas (47%) ainda não estão conectadas
à internet, mas 45% já possuem conexão. A criação
de uma diretriz interna para segurança em automação
8 | Advisor - Segurança em automação
La encuesta indica una tendencia evidente de migración
al protocolo IP – el 71% de los gestores declara esa
intención. Casi la mitad de las redes de automatización de
las empresas encuestadas (47%) todavía no está conectada
a internet, pero el 45% ya posee conexión. La creación
de una directriz interna para seguridad en automatización
vem acompanhada de uma demanda por referências
externas. As empresas que seguem alguma referência de
mercado para estruturação de segurança das redes de
automação, como por exemplo, ANSI/ISA99-IEC62433,
NIST, NERC CIP, somam 47%. Todos esses padrões
foram desenvolvidos nos últimos anos visando a suprir
a demanda do mercado por melhores práticas de
segurança aplicadas aos ambientes industriais.
viene acompañada de una demanda de referencias
externas. Las empresas que siguen alguna referencia de
mercado para estructuración de seguridad de las redes de
automatización, como por ejemplo ANSI/ISA99-IEC62433,
NIST y NERC CIP, suman 47%. Todos esos estándares
fueron desarrollados en los últimos años con el objetivo de
satisfacer la demanda del mercado de mejores prácticas de
seguridad aplicadas a los ambientes industriales.
Tecnologias de Segurança em Automação
Tecnologías de Seguridad en Automatización
Existe um movimento para estruturar as redes de automação segundo
referências de mercado e para aplicar políticas de segurança
às redes de TA
Existe un movimiento para estructurar las redes de automatización según alguna referencia de mercado y para aplicar
Políticas de Seguridad a las redes de TA
Referência de mercado
Referencia de mercado
A sua organização segue alguma referência de
mercado para estruturação da segurança das redes
de automação (i.e. ANSI/ISA99 – IEC62433, NIST,
NERC CIP)?
¿Sigue su organización alguna referencia de mercado
para la estructuración de seguridad de redes de
automatización (por ej. ANSI/ISA99 - IEC62433, NIST,
NERC, CIP)?
2%
7%
6%
38%
Sim, Não especificado
Sí, no especificado
Sim, ANSI/ISA99-IEC62433
Sí, ANSI/ISA99-IEC62433
Sim, NIST
Sí, NIST
Sim, NERC CIP
Sí, NERC CIP
Sim, Todos
Sí, todos
Não
No
15%
Não respondeu
No responde
17%
15%
Source: Pesquisa PromonLogicalis – Abril 2014
Seguridad en automatización - Advisor | 9
Tecnologias de Segurança em Automação
Tecnologías de Seguridad en Automatización
Apesar de haver poucos incidentes de segurança na rede de automação,
é possível observar algumas iniciativas, como a realização de
mapeamentos de riscos em relação à conectividade das redes
de automação e ao estudo de soluções de segurança de rede de TA
A pesar de haber pocos incidentes de seguridad en las redes de automatización, es posible observar la iniciativa de
algunas acciones de organizaciones, como la realización de mapeos de riesgos en relación a la conectividad de redes
de automatización y el estudio de soluciones de seguridad de redes de TA
Riscos da conectividade IP nas redes de automação
Riesgos de conectividad IP en las redes de automatización
8%
Sua organização já mapeou os riscos que a
conectividade IP traz às redes de automação?
¿Su organización ya mapeó los riesgos que la
conectividad IP trae a las redes de automatización?
59%
Sim
Si
Não
No
33%
Não respondeu
No responde
Source: Pesquisa PromonLogicalis – Abril 2014
Apenas 27% dos gestores relataram a ocorrência de
incidentes de segurança nas redes de automação.
É importante observar que a falta de ferramentas de
monitoração de segurança nesses ambientes pode
permitir que muitos incidentes passem despercebidos.
Mesmo assim, 59% confirmaram ter realizado
mapeamentos de riscos nas suas empresas em relação
à conectividade das redes de automação e ao estudo de
soluções de segurança da rede de TA. Entre as soluções
de rede apresentadas como opção na pesquisa, o acesso
remoto seguro (VPN) obteve 71% das respostas, seguido
por firewalls de perímetro de rede (67%) e controle de
acesso aos equipamentos (senha, tokens), este com 61%.
10 | Advisor - Segurança em automação
Solamente el 27% de los gestores mencionó incidentes de
seguridad en las redes de automatización. Es importante
observar que la falta de herramientas de monitoreo de
seguridad en esos ambientes puede permitir que muchos
incidentes pasen desapercibidos. Aun así, el 59% confirmó
haber realizado mapeos de riesgos en sus empresas en
relación a la conectividad de las redes de automatización
y al estudio de soluciones de seguridad de la red de TA.
Entre las soluciones de red presentadas como opción en
la encuesta, el acceso remoto seguro (VPN) obtuvo el 71%
de las respuestas, seguido por firewalls de perímetro de
red (67%) y control de acceso a los equipos (contraseña,
tokens), con 61%.
Os sistemas de automação não podem ser
desligados de uma hora para outra,
ao contrário do que ocorre com
sistemas de TI
Los sistemas de automatización no pueden ser desconectados de un momento a otro,
a diferencia de lo que ocurre con los sistemas de TI
O Desafio Da Segurança
A guerra cibernética emerge nesta década como uma
ameaça inquietante para governos e empresas. Trava-se
uma luta feroz contra um inimigo invisível e poderoso que
assombra todas as áreas críticas indistintamente. Por
essa razão, a política de acesso às informações é um
ponto relevante.
El desafío de la seguridad
La guerra cibernética en esta década es una amenaza
inquietante para los gobiernos y las empresas. Es una
lucha feroz contra un enemigo invisible y poderoso que
asombra a todas las áreas críticas indistintamente. Por esa
razón, la política de acceso a la información es un punto
relevante.
Os sistemas de automação não podem ser desligados
de uma hora para outra, em razão de algum problema,
ao contrário do que ocorre com sistemas de TI que
são menos sensíveis. Os prejuízos são enormes assim
como o impacto na vida de usuários de serviços
públicos. Quando consideramos a conhecida tríade de
segurança da informação: confidencialidade, integridade
e disponibilidade (CID), podemos dizer que a prioridade
para sistemas de TI é a confidencialidade, enquanto que
para sistemas de TA é a disponibilidade.
Los sistemas de automatización no se pueden
desconectar de repente si ocurre algún problema, a
diferencia de lo que ocurre con sistemas de TI, que son
menos sensibles. Los daños son enormes, al igual que el
impacto en la vida de los usuarios de servicios públicos.
Considerando la conocida tríada de seguridad de la
información – confidencialidad, integridad y disponibilidad
(CID) –, podemos decir que la prioridad para los sistemas
de TI es la confidencialidad, mientras que para los
sistemas de TA es la disponibilidad.
A tecnologia de automação (TA) suporta as atividades
típicas das áreas industriais, baseadas em controle de
malhas de automação (PLCs, sensores e atuadores),
monitoração dos processos e sistemas de missão
crítica totalmente especializados, com protocolos e
redes proprietários, baseados nos sistemas SCADA
(supervisory control and data acquisition).
La tecnología de automatización (TA) soporta las
actividades típicas de las áreas industriales, basadas
en el control de la plataforma de automatización (PLCs,
sensores y actuadores) y en el monitoreo de los procesos
y sistemas de misión crítica totalmente especializados, con
protocolos y redes propietarias, basados en los sistemas
SCADA (Supervisory Control and Data Acquisition).
Seguridad en automatización - Advisor | 11
A garantia de proteção dos sistemas
relacionados a serviços críticos é um aspecto
que ganha cada vez mais relevância nos
contratos de concessões públicas
La garantía de protección de los sistemas relacionados a servicios críticos es un
aspecto que tiene cada vez más relevancia en los contratos de concesiones públicas.
A prática mostra que o fator humano é elo mais fraco
na cadeia de segurança digital. O primeiro ataque
largamente divulgado de um worm, denominado Stuxnet,
cujo alvo foi uma infraestrutura industrial, ocorreu em
2010. A invasão ocorreu com utilização de um pen drive
contaminado na porta USB de um dos computadores
instalados na infraestrutura de TA de uma usina de
refino de combustível nuclear no Irã. Mesmo com os
computadores sem acesso à internet, esse tipo de
ataque foi possível.
La práctica muestra que el factor humano es el eslabón
más débil en la cadena de seguridad digital. El primer
ataque ampliamente difundido de un worm, denominado
Stuxnet, cuyo blanco fue una infraestructura industrial,
ocurrió en el 2010. La invasión ocurrió con la utilización de
una memoria flash contaminada en la puerta USB de una
de las computadoras instaladas en la infraestructura de TA
de una refinería de combustible nuclear en Irán. Aunque
las computadoras no tenían acceso a internet, ese tipo de
ataque fue posible.
De lá para cá já surgiram e foram identificados
outros vírus semelhantes (como Duqu e Flame) cujos
efeitos também são devastadores. São capazes de
interromper e danificar serviços críticos bem como
capturar informações confidenciais. No caso do
Stuxnet, o alvo do ataque eram as centrífugas de
enriquecimento de urânio do Irã. O vírus tinha a função
de reprogramar os controladores lógicos programáveis
(PLC - Programmable logic controller) e esconder as
suas respectivas mudanças (perda de gerenciamento e
monitoramento), danificando a produção das instalações
nucleares iranianas.
Desde ese entonces han aparecido y se han identificado
otros virus semejantes (como Duqu y Flame), cuyos efectos
también son devastadores. Son capaces de interrumpir y
dañar servicios críticos, además de capturar información
confidencial. En el caso del Stuxnet, el blanco del ataque
eran las centrífugas de enriquecimiento de uranio en Irán.
El virus tenía la función de reprogramar los controladores
lógicos programables (PLC – Programmable Logic
Controller) y esconder sus respectivos cambios (pérdida
de gestión y monitoreo), dañando la producción de las
instalaciones nucleares iraníes.
12 | Advisor - Segurança em automação
Decididos a minimizar as ameaças, os profissionais
das áreas industriais passaram a adotar as normas
específicas criadas pela ISA (International Society of
Automation) e pelo NIST (National Institute of Standards
and Technology), que são conjunto de boas práticas
para diminuir o risco de redes de sistemas de controle
sofrerem ataques cibernéticos. Essas normas fornecem
métodos para avaliação e auditoria de tecnologias
de segurança cibernética, métodos para mitigação e
ferramentas que podem ser aplicadas para proteger
os sistemas de controle de automação industriais de
invasões e ataques. Principalmente a ISA 99, que possui
um framework para o desenvolvimento de um programa/
plano de segurança para sistemas de controle.
Los profesionales de las áreas industriales, decididos a
minimizar las amenazas, pasaron a adoptar las normas
específicas creadas por ISA (International Society of
Automation) y por NIST (National Institute of Standards
and Technology), que son el conjunto de buenas
prácticas para disminuir el riesgo de ataques cibernéticos
sufridos por las redes de sistemas de control. Esas
normas dan métodos para evaluación y auditoría de
tecnologías de seguridad cibernética, métodos para
mitigación y herramientas que se pueden aplicar para
proteger los sistemas de control de automatización
industriales contra invasiones y ataques. En particular,
ISA 99 posee un marco para el desarrollo de un
programa/plan de seguridad para sistemas de control.
A garantia de proteção dos sistemas relacionados
a serviços críticos é um aspecto que ganha cada
vez mais relevância nos contratos de concessões
públicas. Especialistas que tratam do tema defendem
a atuação direta dos órgãos reguladores na cobrança
de investimentos para esse tipo de proteção. O desafio
também é estabelecer uma cultura dentro das empresas
para que o tema ganhe total prioridade.
La garantía de protección de los sistemas relacionados a
servicios críticos es un aspecto que tiene cada vez más
relevancia en los contratos de concesiones públicas.
Los expertos que tratan el tema defienden la actuación
directa de los organismos reguladores para pedir
inversiones en ese tipo de protección. El desafío también
es establecer una cultura dentro de las empresas para
que el tema tenga total prioridad.
Seguridad en automatización - Advisor | 13
As ações devem incluir ferramentas de
segurança comuns nas redes de TI, mas
raramente integradas aos sistemas de
automação
Las acciones deben incluir herramientas de seguridad comunes en las redes de TI,
pero que raramente son integradas a los sistemas de automatización.
O Que Fazer
Qué hacer
O ponto de partida é a elaboração de uma política de
segurança em TA, cuja base inicial é a análise dos riscos
na arquitetura SCADA, cujos resultados possibilitarão
selecionar e priorizar as ações adequadas, como a
segmentação efetiva da rede por meio do mapeamento
de zonas, isolando os ativos realmente críticos de nãocríticos.
El punto de partida es elaborar una política de
seguridad en TA a través de un análisis de los riesgos
en la arquitectura SCADA, cuyo resultado posibilitará
seleccionar y priorizar las acciones adecuadas, como la
segmentación efectiva de la red mediante el mapeo de
zonas, aislando los activos realmente críticos de los no
críticos.
Uma analogia para a estruturação da segurança
em redes de automação é a forma pela qual eram
construídas as cidades medievais da Europa, onde a
defesa é feita por camadas. Assim como nos castelos
europeus, a segurança deve ser estruturada de fora
para dentro, criando diferentes níveis de proteção
que vão aumentando até o que é considerado mais
importante.
Una analogía para la estructuración de la seguridad en
redes de automatización es la forma como se construían
las ciudades medievales en Europa, donde la defensa
se hacía en capas. Así como en los castillos europeos,
la seguridad se debe estructurar desde afuera hacia
adentro, creando diferentes niveles de protección que van
aumentando hasta llegar al que es considerado el más
importante.
14 | Advisor - Segurança em automação
A tendência de convergência dos domínios de TI a Automação introduz novos
desafios na gestão de segurança
La tendencia de convergencia de los dominios de TI a automatización introducen nuevos desafíos
en la gestión de seguridad
Infra TI
Infra TA
Infra TI
Infra TA
Infrastrutura
integrada TI + TA
Presente
. Redes mistas
(proprietárias e abertas)
. Isolamento lógico e alguns
casos, físico.
. Requisitos mesclados
de redes
Infraestructura
integrada TI + TA
Presente
. Redes mixtas
(propietarias y abiertas)
Passado
. Redes proprietárias
. Isolamento físico
. Requisitos específicos para cada
. Separación lógica, y en
algunos casos, física.
. Requisitos mezclados
de redes
tipo de rede
Pasado
. Redes propietarias
. Separación física
Futuro
. Rede única e livre de
protocolos proprietários
. Isolamento lógico
. Requisitos unificados
Futuro
. Red única y libre de
protocolos propietarios
. Separación lógica
. Requisitos unificados
. Requisitos específicos
para cada tipo de red
Riscos de segurança de informação
Riesgos de Seguridad de Información
Source: Pesquisa PromonLogicalis – Abril 2014
Seguridad en automatización - Advisor | 15
É decisivo incluir as definições de segurança
desde o início dos planos de integração entre
redes de TI e TA
Es decisivo incluir las definiciones de
seguridad desde el inicio de los planos de
integración entre redes de TI y TA
As ações devem incluir ferramentas de segurança
comuns nas redes de TI, mas raramente integradas
aos sistemas de automação. Entre elas estão sistemas
que dão visibilidade em tempo real de eventos de
segurança nas diversas camadas da rede e proteção
conta aplicativos indesejáveis. Os típicos firewalls fazem
o controle do acesso lógico entre os hosts e redes, e os
IPS/IDS que inspecionam o tráfego de rede contra os
códigos maliciosos.
Las acciones deben incluir herramientas de seguridad
comunes en las redes de TI, pero que raramente son
integradas a los sistemas de automatización. Entre ellas,
están los sistemas que le dan visibilidad en tiempo real a
los eventos de seguridad en las diversas capas de la red
y protección contra aplicaciones indeseadas. Los típicos
firewalls controlan el acceso lógico entre los hosts y las
redes, y los IPS/IDS inspeccionan el tráfico de red contra
los códigos maliciosos.
A proteção dos computadores conectados às redes
de automação pode ser feita por meio da instalação de
software antimalware. Todas essas medidas podem ser
combinadas para a criação de um Centro de Operações
de Segurança (SOC – Security Operations Center)
para áreas industriais – cujo objetivo é dispor de uma
infraestrutura de processos, ferramentas e pessoas
capacitadas visando a um monitoramento constante de
possíveis ameaças no ambiente de TA.
La protección de las computadoras conectadas a las
redes de automatización se puede hacer a través de la
instalación de software anti-malware. Todas estas medidas
se pueden combinar para crear un Centro de Operaciones
de Seguridad (SOC – Security Operations Center) para
las áreas industriales – con el objetivo de disponer de una
infraestructura de procesos, herramientas y personas
capacitadas para tener un monitoreo constante de
posibles amenazas en el ambiente de TA.
16 | Advisor - Segurança em automação
Conclusão
Conforme a adoção do protocolo IP nas redes de
automação ganha força e se torna um caminho natural,
a tendência é que as diferenças em relação a requisitos,
abordagem de contratação e percepção de valor que hoje
existem entre as áreas de TI e TA sejam reduzidas e haja
uma aproximação em função de objetivos comuns. Se
hoje operam isoladas uma da outra, deverão forçosamente
conversar mais e atuar de forma mais integrada.
Nesse contexto, é decisivo incluir as definições de
segurança nos planos de migração desde o início, fazendo
com que a questão deixe de ser um fator impeditivo para,
de forma efetiva, contribuir com a eficácia do processo.
Conclusión
A medida que la adopción del protocolo IP en las redes de
automatización gana fuerza y se convierte en un camino
natural, la tendencia es que las diferencias en relación a
requisitos, enfoque de contratación y percepción de valor
que hoy existen entre las áreas de TI y TA disminuyan y haya
un acercamiento en función de objetivos comunes. Si hoy
operan aisladas, deberán obligatoriamente interactuar más
y funcionar de manera más integrada.
En este contexto, es decisivo incluir las definiciones de
seguridad en los planes de migración desde el principio,
para que la cuestión deje de ser un factor impeditivo y
contribuya con la eficacia del proceso de forma efectiva.
Seguridad en automatización - Advisor | 17
Advisor É publicado pela PromonLogicalis. Este
Advisor es una publicación de PromonLogicalis. Este
documento contém informações de propriedade ou posse
da PromonLogicalis, suas subsidiárias ou afiliadas e é
protegido pela legislação em vigor. A reprodução total ou
parcial deste trabalho só pode ser feita com a aprovação
prévia da PromonLogicalis.
As informações contidas nesta publicação são baseadas
em conceitos testados empregados no desenvolvimento
de projetos específicos e estão sujeitas a alterações de
acordo com o cenário de mercado e os objetivos de
cada projeto.
documento contiene informaciones de titularidad o
posesión de PromonLogicalis, de sus controladas o
asociadas, y son protegidas por la legislación vigente.
La reproducción total o parcial de esta obra sólo puede
realizarse con la previa autorización de PromonLogicalis.
Las informaciones contenidas en esta publicación
se basan en conceptos testeados y empleados en el
desarrollo de proyectos específicos y están sujetas a
alteraciones de acuerdo al escenario de mercado y a los
objetivos de cada proyecto.
Luís Minoru Shibata
Director of Consulting
Alexandre Murakami
Security Manager
Leandro Malandrin
Consultant
[email protected]
[email protected]
[email protected]
+55 (11) 3573-7335
+55 (11) 3573-7335
+55 (11) 3573-8928
Com mais de quinze anos de experiência
Com 10 anos de experiência em
Graduado em Engenharia da omputação
em TIC, atuou como Diretor Executivo
segurança da informação, é graduado em
pela POLI-USP e especializado na
da Ipsos e como Managing Director do
Ciências da Computação pela UNESP
UIUC (Illinois, EUA), atuou em pesquisas
Yankee Group na América Latina. MBA em
e Pós- Graduado em Administração de
relacionadas à criptografia, protocolos de
Conhecimento, Tecnologia e Informação
Empresas pela ESAN, e é Professor no
segurança e análise de malwares.
pela FIA (FEA/USP).
Grupo Veris Educacional.
Con más de 15 años de experiencia
Con 10 años de experiencia en seguridad
Graduado en Ingeniería de Computación
en TIC, actuó como Director Ejecutivo
de información, graduado en Ciencias de
por la POLI – USP y especializado en UIUC
de Ipsos y como Managing Director de
la Computación por la UNESP y con un
(Illinois, EUA), participó en investigaciones
Yankee Group en Latinoamérica. MBA en
Posgrado en Administración de Empresas
relacionadas a criptografía, protocolos de
Conocimiento, Tecnología e Información
por la ESAN. También se desempeña como
seguridad y análisis de malwares.
por FIA (FEA USP).
profesor en Grupo Veris Educacional.
Leia mais
Entre em contato conosco para saber o que podemos fazer pela sua empresa.
E-mail
[email protected]
Para saber más
Contáctenos para saber lo que podemos hacer por su empresa.
E-mail
[email protected]
18 | Advisor - Segurança em automação
PromonLogicalis
Com mais de trinta anos de experiência, a
PromonLogicalis oferece serviços de consultoria que têm
auxiliado grandes corporações a entender como alavancar
o negócio por meio da adoção de soluções de TIC.
A PromonLogicalis é um provedor de serviços e soluções
de tecnologia da informação e comunicação que atua
com os principais fornecedores do mercado para cada
solução, abrangendo desde o core e a infraestrutura de
redes de acesso, passando por redes, colaboração, data
centers e segurança da informação, até sua operação e
gerenciamento.
PromonLogicalis
Con más de treinta años de experiencia, PromonLogicalis
ofrece servicios de consultoría que han ayudado a grandes
corporaciones a entender cómo impulsar el negocio a
través de la adopción de soluciones de TIC.
PromonLogicalis es un integrador que actúa con los
principales vendores del mercado para cada solución,
abarcando desde el core y la infraestructura de redes de
acceso, pasando por redes, colaboración, data centers y
seguridad de la información, hasta su operación y gestión.
Seguridad en automatización - Advisor | 19
www.br.promonlogicalis.com
Argentina
Bolívia
Brasil
Chile
Colômbia
Equador
México
Paraguai
Peru
Uruguai
© Copyright 2014 PromonLogicalis - All rights reserved.