Com o avanço da tecnologia e da digitalização das infraestruturas industriais, tornou-se essencial garantir a resiliência cibernética em ambientes de OT (tecnologia operacional). Prova disso é que ambientes como usinas de energia, sistemas de transporte e instalações de manufatura estão cada vez mais expostas a ameaças digitais, o que requer a implementação de medidas robustas de segurança.
Primeiro, vamos entender um pouco sobre os sistemas de OT, que são responsáveis pelo controle e monitoramento de processos industriais essenciais. Diferentemente dos sistemas de tecnologia da informação (TI), que gerenciam dados e informações, este ambiente lida diretamente com a operação física e o controle de equipamentos e processos.
A tecnologia operacional também é definida pela presença de sistemas de controle industrial, dispositivos de campo e redes de comunicação específicas. A interconexão desses componentes com a infraestrutura digital expõe as organizações a ameaças, tornando a resiliência cibernética um requisito crucial na proteção desses sistemas.
Um dos principais gatilhos de riscos, por exemplo, é a crescente interconexão entre os sistemas de OT e as redes de TI. Essa convergência proporciona eficiência e visibilidade operacional, mas cria uma superfície expandida de ataque. Nesses casos, os invasores cibernéticos podem explorar vulnerabilidades em sistemas de TI para acessar redes de OT, comprometendo a segurança e a continuidade dos serviços fundamentais.
Além disso, as vulnerabilidades específicas e ameaças digitais encontradas nesses ambientes também exigem atenção especial. Muitos desses sistemas foram projetados e implantados antes da consideração adequada à segurança cibernética, resultando em lacunas e fraquezas, dentre as quais estão as falhas de projeto, configurações inadequadas, falta de autenticação robusta, dispositivos desatualizados e ausência de monitoramento.
Um estudo publicado pela Fortinet, de nominado o “Estado da Tecnologia Operacional e Cibersegurança 2023”, revela que a maioria das companhias de tecnologia operacional foram atacadas no ano passado. De acordo com o relatório, essas empresas continuam sendo um alvo desejado pelos cibercriminosos, com 75% delas relatando pelo menos uma invasão no ano passado. O resultado está vinculado à explosão de dispositivos conectados, que aumentou a complexidade para as organizações de OT.
O cenário reforça que a resiliência cibernética passou a desempenhar um papel fundamental na mitigação desses riscos e vulnerabilidades, tendo em vista que este ato se resume na capacidade de um sistema de se adaptar, resistir, se recuperar e seguir operando de maneira segura e eficiente diante de incidentes.
Para isso, avaliar riscos e fazer um planejamento assertivo é o primeiro passo para este processo. Isso envolve identificar as ameaças digitais e vulnerabilidades existentes nos sistemas e redes, bem como avaliar as ameaças potenciais e determinar o impacto que uma violação de segurança poderia ter nas operações.
Com base nessa avaliação, é possível desenvolver um plano de segurança personalizado, que inclua políticas de acesso, segmentação de redes, monitoramento contínuo e implementação de soluções de segurança avançadas, como firewalls industriais e detecção de intrusões.
Dentre os pontos, destaca-se a segmentação de redes e o isolamento de sistemas críticos. Ao dividir a infraestrutura em zonas de segurança e restringir o acesso entre elas, é possível limitar a propagação de um ataque cibernético e minimizar os danos causados. Além disso, é importante isolar estes sistemas, a fim de garantir que não haja conexões diretas com redes não confiáveis, como a internet. E para complementar as etapas citadas, também devemos destacar o monitoramento contínuo dos sistemas e redes em tempo real. E, mesmo com todas as medidas de prevenção, é importante estar preparado para responder a incidentes cibernéticos e se recuperar de desastres por meio de um plano bem definido, sem esquecer de manter testes regulares do plano.
Ao compreender os riscos específicos e adotar medidas adequadas, as indústrias podem proteger seus sistemas e redes contra ameaças cibernéticas cada vez mais sofisticadas.
*Allan Campos é sênior manager da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Se o ano de 2020 nos ensinou alguma coisa, foi a esperar o inesperado. Neste momento único, vimos empresas se adaptarem a uma nova realidade trazida pela pandemia do COVID-19, fazendo investimentos significativos para preparar suas organizações para enfrentar a próxima tempestade. Também vimos mudanças substanciais nos ambientes de segurança dos Sistemas de Controle Industrial (ICS), uma tendência que traz uma série de considerações para organizações grandes e pequenas.
Em um webinar recente, falamos sobre o que a segurança do ICS significa para as organizações e como as organizações podem criar programas eficazes de segurança do ICS para sustentar a empresa em 2021 e no futuro. Neste artigo, destacamos o que consideramos as etapas mais importantes para desenvolver e implementar um programa de segurança ICS eficaz.
Passo 1: Estabeleça Linhas de Comunicação com os Principais Contatos OT
É extremamente importante engajar as equipes de Tecnologia Operacional (OT) desde o início, obtendo adesão e suporte de “campeões de segurança” em cada local. Em muitas empresas, equipes de tecnologia e equipes operacionais trabalham separadamente, com prioridades diferentes (OT focada em disponibilidade e resiliência, TI mais focada em conectividade e segurança). A principal prioridade da organização de segurança de TI é proteger o ambiente, enquanto aqueles que trabalham em operações estão focados em aumentar a eficiência e garantir que os recursos de produção sejam concluídos da forma mais rápida e segura possível. As equipes de OT geralmente podem ver a segurança e os controles adicionais como impedimentos para atingir seus objetivos.
Muitas vezes, recomendamos que as organizações que buscam aprimorar as medidas de segurança do sistema de controle industrial comecem com a conscientização organizacional sobre por que os controles são necessários e, em seguida, obtenham a adesão das equipes que serão responsáveis pela operação desses controles. Estabelecer “campeões de segurança” – indivíduos que podem comunicar as prioridades de segurança da organização de forma a gerar essa adesão – é uma etapa fundamental que facilita o processo de preencher quaisquer lacunas entre as equipes.
Passo 2: estabelecer a propriedade do programa de segurança de sistemas e alinhar com uma estrutura
Durante nosso webinar, perguntamos ao público quem em sua organização é responsável pela segurança do ICS dentro da empresa. Cerca de um terço (33%) respondeu que o Chief Information Security Officer (CISO) detém essa responsabilidade, seguido pelo Chief Information Officer (CIO), um gerente de fábrica ou um ICS Security Manager. Quase um quarto do público (25%) respondeu “outro”, sugerindo que esse papel crítico pode não receber a atenção necessária.
A próxima etapa envolve a identificação de quem será o proprietário e o condutor deste programa. O objetivo é conseguir as pessoas certas para ajudar a priorizar os riscos e identificar ativos/locais críticos para a organização. O suporte para as iniciativas de segurança do ICS será necessário das equipes corporativas de TI, segurança cibernética, segurança física no local e tecnologia operacional (OT). Conforme mencionado anteriormente, a adesão e o suporte da equipe de automação ou das equipes de OT serão importantes, pois esses indivíduos serão capazes de articular os desafios no nível de campo e as metas/requisitos de negócios. Sua contribuição será fundamental para mapear o caminho a seguir e projetar controles que atendam às necessidades da equipe OT e melhorem a segurança de ativos críticos. Ter o apoio da liderança garante o sucesso a longo prazo, e essa parceria começa com a certeza de que a gerência executiva entenda os riscos, como esses riscos podem ser mitigados e quais benefícios podem ser alcançados (economia de custos, maior eficiência, resiliência) na definição de um estratégia para um projeto de segurança OT.
Existem várias estruturas diferentes que as empresas usam para alinhar seus programas de segurança OT. À medida que ajudamos os clientes a desenvolver seus próprios procedimentos de segurança de ICS, geralmente utilizamos várias estruturas para desenvolver uma solução que funcione melhor para as necessidades específicas da organização.
Nossos clientes em Petróleo e Gás tendem a se alinhar com o NIST Cybersecurity Framework, alguns clientes maduros utilizam vários controles do NIST 800-82 e, em muitos casos, nossa equipe recomenda um framework híbrido que combina abordagens de ambos.
Passo 3: Quantificar os riscos do ICS e priorizar a implementação de controles de maneira baseada no risco
Uma vez que uma organização constrói sua estrutura de governança de ICS Security, ela precisa determinar como lidar com a multiplicidade de riscos enfrentados pela empresa. É provável que existam vários sites operacionais diferentes com diferentes cenários de risco e pilhas de tecnologia, portanto, uma abordagem quantitativa é necessária para determinar como começar a lidar com os riscos de segurança conhecidos. Compreender o cenário legal e regulatório ajudará na priorização de alguns riscos, pois a falta desses controles pode levar diretamente a multas. Ao determinar por onde começar, também recomendamos a classificação de risco para criar uma abordagem prioritária de segurança e obter uma melhor compreensão do negócio. Como os recursos e o tempo geralmente são limitados, torna-se necessário uma abordagem priorizada. Além disso, recomendamos a utilização de uma abordagem piloto com um local de fábrica onde os relacionamentos são fortes para criar suporte para o programa e entender melhor os impactos nos negócios para os controles de segurança propostos. É importante ser flexível na fase piloto, aprender com o negócio e documentar tudo.
Olhando para 2021, vemos que as organizações estão procurando controles que não afetem negativamente a resiliência e a disponibilidade de ativos críticos. O gráfico abaixo identifica os principais desafios de implementação que as organizações de ICS encontram. Como esperado, disponibilidade e segurança são duas das considerações mais importantes. Se você visitou suas fábricas recentemente, certamente está ciente da importância dada à saúde e segurança. As organizações de saúde e segurança fizeram grandes progressos nas últimas duas décadas para incorporar sua missão às operações e suas equipes devem estar profundamente cientes de como se integrar às equipes de saúde e segurança e explicar como a segurança pode ajudar a criar maior confiança na segurança e bem-estar dos funcionários da fábrica.
No que diz respeito à tecnologia de saúde e segurança, um foco principal é a necessidade de proteger os sistemas de informação de segurança. Isso envolve um projeto intencional para garantir que os sistemas de segurança estejam conectados aos sensores certos para criar alarmes no caso de algo acontecer e que os sistemas possam permanecer disponíveis apesar dos desafios inesperados.
Estamos vendo mais empresas se concentrando em separar seus sistemas de segurança de seus sistemas de controle adicionais, o que ajuda a garantir que, se o sistema de controle principal for comprometido, isso não comprometerá necessariamente os sistemas de saúde e segurança.
É um mundo desafiador lá fora, com invasores constantemente criando novas maneiras de afetar os sistemas de controle e causar danos físicos a ambientes e pessoas. As organizações que sabem exatamente como seus dados operacionais fluem entrando e saindo de seus sistemas, sabem quais usuários devem ter acesso para fazer alterações e exigem processos de autenticação fortes podem mitigar danos consideráveis antes que eles aconteçam.
Resumo
A adesão da liderança, forte comunicação entre departamentos de TI e instalações operacionais e ter as pessoas e os sistemas certos são os principais fatores para o sucesso da segurança do ICS. Não se deixe intimidar pelo que pode parecer uma tarefa assustadora. Comparamos o desafio ao ditado sobre comer uma melancia uma mordida de cada vez. Priorize os riscos. Priorize os locais. Desenvolva uma estrutura de risco. Comece com uma abordagem piloto. Em seguida, aproveite o sucesso da segurança do ICS com uma abordagem iterativa que se baseia nos sucessos de implementação de implantações de sites anteriores.
OT (Operational Technology) refere-se aos sistemas e equipamentos usados para controlar, monitorar e gerenciar processos industriais. Sistemas OT são encontrados em fábricas, indústrias, hospitais, centros logísticos, fazendas e outras infraestruturas críticas. Geralmente, estes incluem controladores lógicos programáveis, sistemas de controle de supervisão e aquisição de dados e outros tipos de equipamentos, usados para automatizar e gerenciar processos industriais.
No contexto da segurança cibernética, os sistemas de OT são particularmente preocupantes. Isso porque muitas vezes estão conectados à internet, o que os torna vulneráveis a ataques cibernéticos . Hackers podem tentar comprometer os sistemas OT para interromper ou manipular processos industriais, o que pode ter sérias consequências. Além disso, danos físicos, perdas financeiras e até mesmo perda de vidas estão entre os riscos de um potencial ataque cibernético.
A importância da implementação de medidas de segurança de OT (Tecnologia Operacional) nas organizações não pode ser minimizada. Estes sistemas desempenham um papel vital na operação de muitas organizações, por isso sua interrupção ou comprometimento pode ter sérias consequências.
Assim, é essencial que as organizações implementem medidas robustas de segurança de OT para proteger esses sistemas contra ameaças cibernéticas. Isso inclui medidas como firewalls, detecção de intrusão e sistemas de prevenção, controles de acesso seguro e monitoramento e manutenção de segurança contínuos. Implementando essas medidas, as organizações podem prevenir ou mitigar os riscos de ataques a seus sistemas. Ou seja, podem ajudar a garantir a operação contínua e a confiabilidade da operação.
Diferença entre segurança de OT e segurança de TI
Segurança de OT e segurança de TI são dois tipos distintos de segurança cibernética, projetados para proteger diferentes tipos de sistemas e equipamentos. Ou seja, a principal diferença elas é justamente o tipo de sistemas e equipamentos que eles são projetados para proteger. A segurança de OT se concentra na proteção específica de sistemas e equipamentos industriais. Já a segurança de TI se concentra na proteção de sistemas e equipamentos de tecnologia da informação.
Embora ambos sejam importantes, os riscos e as consequências de um ataque cibernético em sistemas de OT podem ser mais graves. Isso porque esses sistemas costumam ser críticos para a operação das organizações e podem ter sérias consequências se forem interrompidos ou comprometidos.
Etapas para implementar a Segurança de OT
Entre as várias etapas que as organizações podem seguir para implementar medidas de segurança de OT, destacamos aqui as 5 principais:
Avalie os riscos: a primeira etapa na implementação da segurança de OT é avaliar os riscos para seus sistemas OT. Isso inclui identificar as possíveis ameaças e vulnerabilidades que podem afetar seus sistemas, além de mapear as possíveis consequências de um ataque cibernético .
Desenvolva um plano de segurança: depois de identificar os riscos para seus sistemas de OT, a equipe responsável deve desenvolver um plano de segurança que descreva as medidas que serão tomadas para proteger esses sistemas.
Implemente medidas de segurança: a próxima etapa é implementar, de fato, as medidas de segurança descritas em seu plano de segurança, colocando em prática os planos de ação e a tecnologia necessária.
Teste e avalie: é importante testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas. Isso pode incluir, por exemplo, a realização de testes de penetração regulares e avaliações de vulnerabilidade.
Treine e eduque os funcionários: finalmente, é essencial educar seus funcionários sobre a segurança de OT e o papel que eles desempenham na proteção de seus sistemas. Isso pode incluir treinamento sobre como identificar e relatar possíveis ameaças, bem como a importância de seguir protocolos e procedimentos de segurança.
Perguntas-chave para entender se você tem segurança de OT
Algumas perguntas que você pode fazer para entender se uma organização implementou medidas de segurança de OT:
Quais sistemas e equipamentos a organização usa para controlar, monitorar e gerenciar processos industriais?
Como esses sistemas estão conectados à internet ou outras redes? Quais os pontos vulneráveis?
A organização possui uma política ou plano de segurança cibernética para proteger seus sistemas de OT?
Quais medidas a organização implementou para proteger seus sistemas de OT?
A organização mantém seus sistemas e software de OT atualizados com os últimos patches e atualizações de segurança?
Existe um processo para responder a ameaças cibernéticas e incidentes envolvendo seus sistemas de OT? Ele está atualizado?
A organização tem um processo para testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas?
Como a organização treina seus funcionários sobre segurança de OT e o papel que eles desempenham na proteção desses sistemas?
Ao fazer essas perguntas, você pode entender melhor as medidas que a organização implementou para proteger seus sistemas de OT. Além disso, também será possível perceber o nível de foco que ela coloca na segurança de OT.
Terceirização da segurança de OT em sua organização
É possível para as organizações terceirizar algumas ou todas as suas necessidades de segurança de OT. A terceirização da segurança de OT pode, por exemplo, fornecer às organizações acesso a conhecimentos e recursos especializados que talvez não tenham internamente. Com isso, a empresa libera recursos e tempo para que suas equipes se concentrem em suas principais operações de negócios.
No geral, a terceirização da segurança de OT pode fornecer às organizações muitas vantagens. Alguns exemplos são o acesso a conhecimentos e recursos especializados, economia de custos, postura de segurança aprimorada e conformidade regulamentar.
Vantagens de terceirizar a segurança dos sistemas OT
Acesso a conhecimentos especializados: a terceirização da segurança de OT pode fornecer às organizações acesso a conhecimentos e recursos especializado. Isso pode ser particularmente útil para organizações que não possuem uma equipe de segurança cibernética dedicada ou que não tenham as habilidades e conhecimentos necessários para proteger com eficácia seus sistemas de OT.
Economia de custos: terceirizar a segurança de OT pode ser mais econômico do que construir e manter uma equipe de segurança interna. Com isso, pequenas e médias empresas que não têm orçamento para contratar e treinar uma equipe podem, ainda assim, ter acesso à estrutura de segurança OT.
Postura de segurança aprimorada: trabalhar com um provedor de segurança de OT experiente e respeitável pode ajudar as organizações a melhorar sua postura de segurança e, com isso, reduzir o risco de um ataque cibernético. Isso pode ser particularmente importante para organizações que dependem de sistemas de OT para operações e processos críticos.
Conformidade regulamentar: muitas organizações podem estar sujeitas a requisitos regulamentares relacionados à segurança de OT, como por exemplo os relacionados à proteção de infraestrutura crítica. A terceirização da segurança de OT pode ajudar as organizações a garantir que estejam em conformidade com esses requisitos e evitar possíveis multas e penalidades.
A Protiviti Brasil presta serviços gerenciados de segurança de OT nas organizações por meio do seu time de cibersegurança. Com isso, as organizações têm acesso a conhecimento e expertise global da empresa, com escritórios espalhados mundialmente.
Softwares de segurança de OT
Um software de segurança de OT desempenha um papel vital em ajudar as organizações a proteger seus sistemas de OT contra ameaças cibernéticas. Um software de segurança de OT pode ajudar, por exemplo, a:
Proteger-se contra ameaças cibernéticas: o software de segurança de OT pode ajudar a proteger contra uma ampla gama de ameaças cibernéticas, incluindo malware, ransomware e outros tipos de ataques que podem interromper ou comprometer sistemas críticos.
Monitorar a atividade da rede: o software de segurança de OT pode monitorar a atividade da rede em tempo real e alertar as organizações sobre qualquer atividade suspeita ou maliciosa.
Automatizar os processos de segurança: o software de segurança de OT pode automatizar muitos processos de segurança, como gerenciamento de patches e atualizações de segurança, o que pode ajudar as organizações a economizar tempo e recursos. Isso pode ser particularmente útil para organizações com redes OT grandes e complexas.
Melhorar a conformidade: o software de segurança de OT pode ajudar as organizações a cumprir os regulamentos e padrões do setor, como os relacionados à proteção de infraestrutura crítica.
Aumentar a visibilidade: o software de segurança de OT pode fornecer às organizações visibilidade de seus sistemas e redes OT, permitindo identificar vulnerabilidades.
No geral, o software de segurança de OT pode desempenhar um papel vital para proteger sistemas de OT, por exemplo, contra ameaças cibernéticas. Dessa forma, é possível garantir a confiabilidade e a segurança contínuas de sistemas e infraestrutura críticos.
A Protiviti usa o software Claroty, líder de mercado em segurança de OT e utilizado mundialmente por milhares de organizações. Os produtos e serviços da Claroty são projetados para proteger redes e sistemas industriais contra ameaças cibernéticas. As ameaças mapeadas incluem malware, ransomware e outros tipos de ataques que possam interromper ou comprometer a infraestrutura crítica.
