Com o avanço da tecnologia e da digitalização das infraestruturas industriais, tornou-se essencial garantir a resiliência cibernética em ambientes de OT (tecnologia operacional). Prova disso é que ambientes como usinas de energia, sistemas de transporte e instalações de manufatura estão cada vez mais expostas a ameaças digitais, o que requer a implementação de medidas robustas de segurança.
Primeiro, vamos entender um pouco sobre os sistemas de OT, que são responsáveis pelo controle e monitoramento de processos industriais essenciais. Diferentemente dos sistemas de tecnologia da informação (TI), que gerenciam dados e informações, este ambiente lida diretamente com a operação física e o controle de equipamentos e processos.
A tecnologia operacional também é definida pela presença de sistemas de controle industrial, dispositivos de campo e redes de comunicação específicas. A interconexão desses componentes com a infraestrutura digital expõe as organizações a ameaças, tornando a resiliência cibernética um requisito crucial na proteção desses sistemas.
Um dos principais gatilhos de riscos, por exemplo, é a crescente interconexão entre os sistemas de OT e as redes de TI. Essa convergência proporciona eficiência e visibilidade operacional, mas cria uma superfície expandida de ataque. Nesses casos, os invasores cibernéticos podem explorar vulnerabilidades em sistemas de TI para acessar redes de OT, comprometendo a segurança e a continuidade dos serviços fundamentais.
Além disso, as vulnerabilidades específicas e ameaças digitais encontradas nesses ambientes também exigem atenção especial. Muitos desses sistemas foram projetados e implantados antes da consideração adequada à segurança cibernética, resultando em lacunas e fraquezas, dentre as quais estão as falhas de projeto, configurações inadequadas, falta de autenticação robusta, dispositivos desatualizados e ausência de monitoramento.
Um estudo publicado pela Fortinet, de nominado o “Estado da Tecnologia Operacional e Cibersegurança 2023”, revela que a maioria das companhias de tecnologia operacional foram atacadas no ano passado. De acordo com o relatório, essas empresas continuam sendo um alvo desejado pelos cibercriminosos, com 75% delas relatando pelo menos uma invasão no ano passado. O resultado está vinculado à explosão de dispositivos conectados, que aumentou a complexidade para as organizações de OT.
O cenário reforça que a resiliência cibernética passou a desempenhar um papel fundamental na mitigação desses riscos e vulnerabilidades, tendo em vista que este ato se resume na capacidade de um sistema de se adaptar, resistir, se recuperar e seguir operando de maneira segura e eficiente diante de incidentes.
Para isso, avaliar riscos e fazer um planejamento assertivo é o primeiro passo para este processo. Isso envolve identificar as ameaças digitais e vulnerabilidades existentes nos sistemas e redes, bem como avaliar as ameaças potenciais e determinar o impacto que uma violação de segurança poderia ter nas operações.
Com base nessa avaliação, é possível desenvolver um plano de segurança personalizado, que inclua políticas de acesso, segmentação de redes, monitoramento contínuo e implementação de soluções de segurança avançadas, como firewalls industriais e detecção de intrusões.
Dentre os pontos, destaca-se a segmentação de redes e o isolamento de sistemas críticos. Ao dividir a infraestrutura em zonas de segurança e restringir o acesso entre elas, é possível limitar a propagação de um ataque cibernético e minimizar os danos causados. Além disso, é importante isolar estes sistemas, a fim de garantir que não haja conexões diretas com redes não confiáveis, como a internet. E para complementar as etapas citadas, também devemos destacar o monitoramento contínuo dos sistemas e redes em tempo real. E, mesmo com todas as medidas de prevenção, é importante estar preparado para responder a incidentes cibernéticos e se recuperar de desastres por meio de um plano bem definido, sem esquecer de manter testes regulares do plano.
Ao compreender os riscos específicos e adotar medidas adequadas, as indústrias podem proteger seus sistemas e redes contra ameaças cibernéticas cada vez mais sofisticadas.
*Allan Campos é sênior manager da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
A tecnologia operacional (OT) serve como espinha dorsal e infraestrutura da qual o mundo depende para fornecer recursos críticos. Por isso, requer operações resilientes para fornecer serviços e produtos confiáveis. Os ventos contrários enfrentados pelos serviços de OT incluem, por exemplo, o fato de muitas empresas operarem suas redes de OT com tecnologia legada envelhecida. Além disso, muitas redes de negócios não fornecem segmentação adequada entre TI e OT, e os sistemas de OT estão frequentemente operando com vulnerabilidades críticas. Ou seja, isso estabelece OT como um fácil alvo para ameaças de segurança cibernética.
Ataque à Colonial Pipeline
A Colonial Pipeline, um oleoduto dos EUA que fornece 45% de todo o combustível consumido na Costa Leste, foi vítima de roubo de dados e ataques de ransomware que afetaram seu ambiente de TI em maio de 2021. Depois de confirmar o ataque, a Colonial Pipeline desligou imediatamente uma parte de seus sistemas OT. A empresa permaneceu off-line até que sentisse que era seguro continuar as operações de dutos.
O incidente da Colonial Pipeline foi apenas um exemplo do impacto comercial que um ataque cibernético tem em uma infraestrutura crítica quando as operações são interrompidas. Os operadores de oleodutos estão constantemente sob o cerco de agentes de ameaças, geralmente financiados por estados-nação. O governo dos EUA tomou medidas para proteger essas e outras infraestruturas críticas do país. Inclusive, houve uma intensificação deesforços para melhorar os recursos de detecção e resposta dos operadores de infraestrutura crítica.
Resposta do governo dos EUA ao ataque Colonial Pipeline
Este ataque levou o governo americano sob a administração Biden a emitir vários novos regulamentos de segurança cibernética para proprietários e operadores de oleodutos críticos. A nova regulamentação deve impactar na melhora do tempo de resposta a ameaças no setor de oleodutos. A diretiva de segurança inicial de maio de 2021 da Administração de Segurança de Transporte (TSA) exige que proprietários e operadores de oleodutos críticos relatem incidentes de segurança cibernética confirmados e potenciais ao Departamento de Segurança Interna (DHS) e designem um coordenador de segurança cibernética disponível 24 horas por dia, 7 dias por semana. Esta diretiva também exige que proprietários e operadores revisem as práticas atuais de proteção cibernética e identifiquem vulnerabilidades cibernéticas existentes. Além disso, medidas de correção relacionadas para identificar riscos cibernéticos e relatar os resultados ao DHS devem ser identificadas dentro de 30 dias. Além disso, os incidentes de segurança cibernética e segurança física devem ser relatados em até 12 horas após a identificação.
Uma diretiva de segurança adicional , divulgada pela TSA em 20 de julho de 2021, esclareceu ainda que os operadores de dutos devem “implementar medidas de mitigação específicas para proteger contra ataques de ransomware e outras ameaças conhecidas à tecnologia da informação e sistemas de tecnologia operacional, desenvolver e implementar uma contingência de segurança cibernética e plano de recuperação e realizar uma revisão do projeto de arquitetura de segurança cibernética.” Entre os principais itens para revisão estão as práticas de sanitização cibernética, como aplicação de patches, segmentação adequada e implementação de autenticação multifator.
O ataque Colonial Pipeline atraiu a atenção de outros órgãos reguladores de infraestrutura crítica, como o Electricity Information Sharing and Analysis Center (E-ISAC). O E-ISAC está se unindo à North American Electric Reliability Corporation (NERC) e outras empresas de segurança industrial para permitir o setor de serviços públicos de eletricidade para compartilhar dados de inteligência de ameaças anonimamente por meio de várias plataformas que as empresas de serviços públicos podem aproveitar para aprimorar os recursos de detecção.
Em uma resposta sem precedentes, o governo recuperou US$ 2,3 milhões do pagamento do resgate da Colonial Pipeline. Além disso, de acordo com um comunicado de imprensa da Casa Branca , ransomware visando infraestrutura crítica tem sido um tópico de discussão entre o presidente Joe Biden e o presidente russo Vladimir Putin. Essas ações esclarecem que o governo americano levará a sério qualquer outro ataque direcionado à infraestrutura crítica. Ou seja, os estados-nação que visam a infraestrutura crítica devem esperar ações escalonadas.
Estratégias de defesa para organizações com infraestruturas críticas
Dada a importância das infraestruturas críticas, o aumento de ataques e a nova orientação da TSA, oferecemos algumas estratégias táticas de defesa. Essas são algumas ações que as organizações de infraestruturas críticas podem adotar para proteger seus ambientes OT:
Avalie o ambiente OT quanto a possíveis riscos de segurança cibernética que possam comprometer a resiliência operacional e afetar as operações comerciais em andamento. Essa estratégia de defesa começa com a avaliação das ameaças à organização e a maturidade dos controles existentes para atender a vários cenários de ameaças. O modelo deve começar com a identificação das ameaças mais preocupantes, o impacto potencial para o negócio e a probabilidade de ocorrência. Quaisquer lacunas devem ser classificadas com base na probabilidade de ameaças específicas, mitigando controles em vigor e o impacto na organização e nos processos críticos. Medidas preventivas e de detecção devem ser implementadas para quaisquer riscos residuais para indicar um sinal de alerta precoce para um ataque cibernético .
Implemente ou aprimore a segmentação de rede para minimizar o impacto de um ataque de segurança cibernética na infraestrutura crítica de uma organização. A segmentação de rede entre ambientes TI e OT é uma das defesas mais valiosas para evitar o comprometimento ou desligamento da rede de controle. As principais práticas recomendam que a segmentação e a segregação da rede sejam implementadas para limitar ao máximo o tráfego de rede de/para o ambiente OT. A separação lógica, uma alternativa altamente eficaz, protege as organizações que oferecem suporte às infraestruturas críticas.
Uma preocupação comum ao segmentar redes, no entanto, é fornecer acesso remoto a fornecedores terceirizados para manutenção. É fundamental garantir que esses gateways de acesso remoto sejam restritos ao pessoal apropriado que tenham autenticação forte (incluindo autenticação multifator sempre que possível), que haja monitoramento de segurança em vigor, que contas de fornecedores sejam removidas imediatamente após o encerramento e dados sejam criptografados em trânsito . Gateways remotos inseguros são um vetor comum para agentes de ameaças contornarem a segmentação de rede e obterem acesso direto a ambientes OT.
Teste e simule o plano de resposta a incidentes por meio de exercícios de mesa e determine a resposta da organização a ataques cibernéticos . Testar o plano de resposta a incidentes é uma das melhores maneiras de identificar lacunas nos procedimentos de resposta de uma organização. Recomendamos um exercício para simular um incidente e percorrer o plano de RI com stakeholders de todas as unidades pertinentes, para que entendam suas funções e responsabilidades. Os resultados podem ser aproveitados para corrigir lacunas, como falha na coleta de dados de registro importantes ou na identificação do pessoal adequado do local ou informações de contato desatualizadas. Além disso, aconselhamos as equipes de RI a criar manuais específicos para ambiente de OT. Ou seja, materiais que identifiquem funções e responsabilidades para o pessoal de OT no local.
Desenvolva recursos de caça a ameaças para procurar possíveis incidentes de segurança de forma proativa no ambiente OT. A busca por ameaças — procurar um invasor não detectado pelos recursos de monitoramento existentes — é eficaz para descobrir possíveis ameaças no ambiente OT antes que ocorra um impacto significativo. Essa etapa deve ser concluída assim que as prevenções fundamentais de cibersegurança e os mecanismos e processos de detecção estiverem em vigor.
Os três principais tipos de caça à ameaça são:
Caça a ameaças baseada em indicadores – usando indicadores de comprometimento para procurar atividades maliciosas;
Caça baseada em ataque – usando metodologias de ataque conhecidas para encontrar sinais de violações internas; e
Caça a ameaças comportamentais ou baseadas em anomalias – procurando eventos ou atividades incomuns dentro da organização.
Proteção de Infraestruturas Críticas: Conclusão
A natureza em evolução dos ataques cibernéticos contra ambientes OT requer uma estratégia para proteger as infraestruturas críticas. Assim, é indispensável criar práticas operacionais resilientes que detectam rapidamente incidentes de segurança, mitigam o impacto com eficiência e reduzem o tempo de inatividade.
Se o ano de 2020 nos ensinou alguma coisa, foi a esperar o inesperado. Neste momento único, vimos empresas se adaptarem a uma nova realidade trazida pela pandemia do COVID-19, fazendo investimentos significativos para preparar suas organizações para enfrentar a próxima tempestade. Também vimos mudanças substanciais nos ambientes de segurança dos Sistemas de Controle Industrial (ICS), uma tendência que traz uma série de considerações para organizações grandes e pequenas.
Em um webinar recente, falamos sobre o que a segurança do ICS significa para as organizações e como as organizações podem criar programas eficazes de segurança do ICS para sustentar a empresa em 2021 e no futuro. Neste artigo, destacamos o que consideramos as etapas mais importantes para desenvolver e implementar um programa de segurança ICS eficaz.
Passo 1: Estabeleça Linhas de Comunicação com os Principais Contatos OT
É extremamente importante engajar as equipes de Tecnologia Operacional (OT) desde o início, obtendo adesão e suporte de “campeões de segurança” em cada local. Em muitas empresas, equipes de tecnologia e equipes operacionais trabalham separadamente, com prioridades diferentes (OT focada em disponibilidade e resiliência, TI mais focada em conectividade e segurança). A principal prioridade da organização de segurança de TI é proteger o ambiente, enquanto aqueles que trabalham em operações estão focados em aumentar a eficiência e garantir que os recursos de produção sejam concluídos da forma mais rápida e segura possível. As equipes de OT geralmente podem ver a segurança e os controles adicionais como impedimentos para atingir seus objetivos.
Muitas vezes, recomendamos que as organizações que buscam aprimorar as medidas de segurança do sistema de controle industrial comecem com a conscientização organizacional sobre por que os controles são necessários e, em seguida, obtenham a adesão das equipes que serão responsáveis pela operação desses controles. Estabelecer “campeões de segurança” – indivíduos que podem comunicar as prioridades de segurança da organização de forma a gerar essa adesão – é uma etapa fundamental que facilita o processo de preencher quaisquer lacunas entre as equipes.
Passo 2: estabelecer a propriedade do programa de segurança de sistemas e alinhar com uma estrutura
Durante nosso webinar, perguntamos ao público quem em sua organização é responsável pela segurança do ICS dentro da empresa. Cerca de um terço (33%) respondeu que o Chief Information Security Officer (CISO) detém essa responsabilidade, seguido pelo Chief Information Officer (CIO), um gerente de fábrica ou um ICS Security Manager. Quase um quarto do público (25%) respondeu “outro”, sugerindo que esse papel crítico pode não receber a atenção necessária.
A próxima etapa envolve a identificação de quem será o proprietário e o condutor deste programa. O objetivo é conseguir as pessoas certas para ajudar a priorizar os riscos e identificar ativos/locais críticos para a organização. O suporte para as iniciativas de segurança do ICS será necessário das equipes corporativas de TI, segurança cibernética, segurança física no local e tecnologia operacional (OT). Conforme mencionado anteriormente, a adesão e o suporte da equipe de automação ou das equipes de OT serão importantes, pois esses indivíduos serão capazes de articular os desafios no nível de campo e as metas/requisitos de negócios. Sua contribuição será fundamental para mapear o caminho a seguir e projetar controles que atendam às necessidades da equipe OT e melhorem a segurança de ativos críticos. Ter o apoio da liderança garante o sucesso a longo prazo, e essa parceria começa com a certeza de que a gerência executiva entenda os riscos, como esses riscos podem ser mitigados e quais benefícios podem ser alcançados (economia de custos, maior eficiência, resiliência) na definição de um estratégia para um projeto de segurança OT.
Existem várias estruturas diferentes que as empresas usam para alinhar seus programas de segurança OT. À medida que ajudamos os clientes a desenvolver seus próprios procedimentos de segurança de ICS, geralmente utilizamos várias estruturas para desenvolver uma solução que funcione melhor para as necessidades específicas da organização.
Nossos clientes em Petróleo e Gás tendem a se alinhar com o NIST Cybersecurity Framework, alguns clientes maduros utilizam vários controles do NIST 800-82 e, em muitos casos, nossa equipe recomenda um framework híbrido que combina abordagens de ambos.
Passo 3: Quantificar os riscos do ICS e priorizar a implementação de controles de maneira baseada no risco
Uma vez que uma organização constrói sua estrutura de governança de ICS Security, ela precisa determinar como lidar com a multiplicidade de riscos enfrentados pela empresa. É provável que existam vários sites operacionais diferentes com diferentes cenários de risco e pilhas de tecnologia, portanto, uma abordagem quantitativa é necessária para determinar como começar a lidar com os riscos de segurança conhecidos. Compreender o cenário legal e regulatório ajudará na priorização de alguns riscos, pois a falta desses controles pode levar diretamente a multas. Ao determinar por onde começar, também recomendamos a classificação de risco para criar uma abordagem prioritária de segurança e obter uma melhor compreensão do negócio. Como os recursos e o tempo geralmente são limitados, torna-se necessário uma abordagem priorizada. Além disso, recomendamos a utilização de uma abordagem piloto com um local de fábrica onde os relacionamentos são fortes para criar suporte para o programa e entender melhor os impactos nos negócios para os controles de segurança propostos. É importante ser flexível na fase piloto, aprender com o negócio e documentar tudo.
Olhando para 2021, vemos que as organizações estão procurando controles que não afetem negativamente a resiliência e a disponibilidade de ativos críticos. O gráfico abaixo identifica os principais desafios de implementação que as organizações de ICS encontram. Como esperado, disponibilidade e segurança são duas das considerações mais importantes. Se você visitou suas fábricas recentemente, certamente está ciente da importância dada à saúde e segurança. As organizações de saúde e segurança fizeram grandes progressos nas últimas duas décadas para incorporar sua missão às operações e suas equipes devem estar profundamente cientes de como se integrar às equipes de saúde e segurança e explicar como a segurança pode ajudar a criar maior confiança na segurança e bem-estar dos funcionários da fábrica.
No que diz respeito à tecnologia de saúde e segurança, um foco principal é a necessidade de proteger os sistemas de informação de segurança. Isso envolve um projeto intencional para garantir que os sistemas de segurança estejam conectados aos sensores certos para criar alarmes no caso de algo acontecer e que os sistemas possam permanecer disponíveis apesar dos desafios inesperados.
Estamos vendo mais empresas se concentrando em separar seus sistemas de segurança de seus sistemas de controle adicionais, o que ajuda a garantir que, se o sistema de controle principal for comprometido, isso não comprometerá necessariamente os sistemas de saúde e segurança.
É um mundo desafiador lá fora, com invasores constantemente criando novas maneiras de afetar os sistemas de controle e causar danos físicos a ambientes e pessoas. As organizações que sabem exatamente como seus dados operacionais fluem entrando e saindo de seus sistemas, sabem quais usuários devem ter acesso para fazer alterações e exigem processos de autenticação fortes podem mitigar danos consideráveis antes que eles aconteçam.
Resumo
A adesão da liderança, forte comunicação entre departamentos de TI e instalações operacionais e ter as pessoas e os sistemas certos são os principais fatores para o sucesso da segurança do ICS. Não se deixe intimidar pelo que pode parecer uma tarefa assustadora. Comparamos o desafio ao ditado sobre comer uma melancia uma mordida de cada vez. Priorize os riscos. Priorize os locais. Desenvolva uma estrutura de risco. Comece com uma abordagem piloto. Em seguida, aproveite o sucesso da segurança do ICS com uma abordagem iterativa que se baseia nos sucessos de implementação de implantações de sites anteriores.
Nos últimos 18 meses, houve um aumento significativo nas ameaças direcionadas à infraestrutura crítica e às redes de tecnologia operacional (segurança OT). Esses ambientes são alvos prioritários devido à sua idade, complexidade e importância para as organizações. A OT é a força motriz por trás das maiores corporações do mundo – seja, por exemplo, misturando a receita secreta da Coca-Cola, gerando energia para milhões de clientes ou produzindo medicamentos que salvam vidas. Para grandes corporações, uma interrupção na rede OT pode facilmente causar milhões de dólares em perda de receita por hora.
Não é de admirar que empresas como JBS Foods , Colonial Pipeline e Brenntag pagaram US$ 19,8 milhões em ransomware para recuperar o acesso às redes OT e reiniciar a produção. Estes são apenas três exemplos, com um consenso geral entre os profissionais de segurança de que a quantidade não-divulgada é provavelmente impressionante. Isso certamente inclui violações multimilionárias e pagamentos de ransomware que não foram divulgados.
Dado o potencial de perda de receita, reputação prejudicada e multas regulatórias, as empresas estão se esforçando para proteger seus programas de segurança OT em grande escala. Ou seja, o desejo natural é encontrar a maneira mais rápida, eficiente e eficaz de obter “segurança”. Esse desejo por uma “bala de prata” é ainda mais complicado para organizações globais multinacionais que têm arquiteturas de rede OT muito diferentes, pilhas de tecnologia variadas, uma abundância de oportunidades para TI paralela, visibilidade limitada da rede OT e dezenas de idiomas, culturas e política para navegar.
Qualquer tentativa de medir o risco residual de um Programa OT para um provedor de seguro cibernético ou conselho de administração parece uma tarefa monumental. Além disso, por onde começar a priorizar os riscos e comparar os locais uns com os outros para identificar tendências e compartilhar as melhores práticas? Neste artigo, identificaremos uma abordagem comprovada de quatro etapas para organizações grandes e complexas começarem a medir seus riscos de segurança OT em várias unidades.
Etapa 1 – Definir a estrutura de gerenciamento de riscos
Uma estrutura de gerenciamento de risco (RMF) permite que as organizações usem uma abordagem baseada em risco para revisar valores de negócios e tolerâncias de risco para criar processos que integram controles de segurança em plantas industriais e redes OT de uma organização. Essa estrutura deve estar alinhada com a política de segurança OT. Ou seja, definindo indicadores de risco e requisitos de controle de segurança dimensionados pelo risco relativo da planta.
É importante trabalhar com contrapartes para entender como o valor comercial é definido para locais de produção. A planta 1 é um caminho crítico na cadeia de suprimentos para produzir materiais em outros locais? Na Planta 2 existe uma fórmula proprietária que deve ser protegida a todo custo, enquanto a 3 tem processos que são conhecidos publicamente? A Planta 3 tem contratos de entrega em que a empresa deve fornecer todo o produto ou ser responsável financeiramente por todo o embarque?
Indicadores adicionais que afetam os cálculos de risco de negócios podem ser valor comercial, impacto na cadeia de suprimentos, conectividade do equipamento do local, geografia, produto fabricado, receita e considerações regulatórias. Cada empresa é única e pode ter restrições de confidencialidade, integridade e disponibilidade que diferem muito entre as unidades. Assim, a adesão dos stakeholders sêniores desde o início é fundamental para adquirir recursos, financiamento e suporte para aumentar a resiliência e a segurança OT.
Etapa 2 – Delinear o conjunto de controle para a segurança OT
Defina os controles de segurança OT para medir as plantas em relação aos riscos do setor, estruturas externas, práticas recomendadas e a capacidade de execução. Dado o delta entre a prontidão de uma organização para implementar e o perfil de risco dos sites de segurança OT, é altamente recomendável ter uma linha de base consistente de controles que mapeiam os padrões do setor (ou seja, IEC 62443, NIST 800-82, Diretiva de segurança TSA 2) e níveis de controles necessários com base no cenário regulatório e de risco dos sites OT. Por exemplo, o local de maior geração de receita, onde a disponibilidade é a principal preocupação, deve ter requisitos mais altos de resiliência. Além disso, precisa também investir em redundância de hardware e backups locais.
A seleção de controles de segurança OT é um processo importante que equilibra a necessidade de proteger ativos organizacionais críticos, evitando impactos adversos nas operações ou na saúde e segurança das equipes. Os controles de segurança OT devem ser definidos em uma política organizacional e permitir flexibilidade para atender diferentes perfis de ameaça. Deve haver um processo para lidar com exceções de política com considerações para questões de viabilidade técnica. Ou seja, onde a tecnologia não pode atender a um controle e o foco precisa estar na mitigação de controles para reduzir o risco.
Etapa 3 – Medindo a maturidade no nível da planta
Meça a conformidade das plantas OT em relação aos controles definidos e priorize o risco residual com base na probabilidade de comprometimento e impacto nas operações da organização (aproveitando a estrutura de risco da Etapa Um), considerando as mitigações em vigor. Ou seja, as organizações precisam desenvolver um processo repetível para coletar informações sobre riscos e medir resultados. Assim, recomenda-se usar um conjunto consistente de perguntas para avaliar os locais de OT em relação a um conjunto comum de controles-padrão da indústria.
Nos últimos 5 anos, vimos uma maior adoção do NIST CSF Framework, útil para comunicar os resultados da maturidade em vários locais de maneira concisa. A adoção também alavanca um conjunto consistente de controles. Um dos maiores desafios com o gerenciamento de riscos em vários locais de OT é priorizar recursos para reduzir o risco organizacional e reunir fundos para resolver os problemas. As comparações de maturidade da segurança no nível da planta em características de risco, como geografia, produto e receita, podem ajudar a impulsionar as atividades de remediação.
Etapa 4 – Socialize os resultadosda segurança OT
Socialize as métricas de segurança OT de maneira impactante para obter suporte para recursos e correção de riscos residuais do programa. Assim, ao discutir os riscos de segurança OT com executivos, destaque os resultados potencialmente desfavoráveis que podem surgir de riscos residuais (perdas financeiras, impactos na saúde e segurança, danos à reputação). Painéis do PowerBI, como por exemplo o mostrado abaixo, podem ser uma ótima ajuda visual. Isso pode ajudar na adesão dos principais líderes organizacionais para garantir o financiamento, garantindo que as plantas OT atendam às expectativas básicas. Temos vários clientes em organizações complexas que obtiveram benefícios na adoção de processos de segurança e redução de riscos quando alavancaram métricas específicas do local para promover uma competição saudável entre VPs de unidades de negócios.
Gerenciar o risco de segurança OT em escala, portanto, é um desafio para muitas organizações. A chave é identificar adequadamente os riscos e alinhar os recursos para reduzir os riscos organizacionais, que podem afetar a saúde e a segurança. A abordagem em fases da Protiviti comprovadamente alinha os stakeholders internos em uma abordagem para medir e priorizar os riscos. Ao mesmo tempo, a metodologia reúne o financiamento e os recursos de suporte necessários para mitigar riscos e melhorar a resiliência do seu programa OT.
OT (Operational Technology) refere-se aos sistemas e equipamentos usados para controlar, monitorar e gerenciar processos industriais. Sistemas OT são encontrados em fábricas, indústrias, hospitais, centros logísticos, fazendas e outras infraestruturas críticas. Geralmente, estes incluem controladores lógicos programáveis, sistemas de controle de supervisão e aquisição de dados e outros tipos de equipamentos, usados para automatizar e gerenciar processos industriais.
No contexto da segurança cibernética, os sistemas de OT são particularmente preocupantes. Isso porque muitas vezes estão conectados à internet, o que os torna vulneráveis a ataques cibernéticos . Hackers podem tentar comprometer os sistemas OT para interromper ou manipular processos industriais, o que pode ter sérias consequências. Além disso, danos físicos, perdas financeiras e até mesmo perda de vidas estão entre os riscos de um potencial ataque cibernético.
A importância da implementação de medidas de segurança de OT (Tecnologia Operacional) nas organizações não pode ser minimizada. Estes sistemas desempenham um papel vital na operação de muitas organizações, por isso sua interrupção ou comprometimento pode ter sérias consequências.
Assim, é essencial que as organizações implementem medidas robustas de segurança de OT para proteger esses sistemas contra ameaças cibernéticas. Isso inclui medidas como firewalls, detecção de intrusão e sistemas de prevenção, controles de acesso seguro e monitoramento e manutenção de segurança contínuos. Implementando essas medidas, as organizações podem prevenir ou mitigar os riscos de ataques a seus sistemas. Ou seja, podem ajudar a garantir a operação contínua e a confiabilidade da operação.
Diferença entre segurança de OT e segurança de TI
Segurança de OT e segurança de TI são dois tipos distintos de segurança cibernética, projetados para proteger diferentes tipos de sistemas e equipamentos. Ou seja, a principal diferença elas é justamente o tipo de sistemas e equipamentos que eles são projetados para proteger. A segurança de OT se concentra na proteção específica de sistemas e equipamentos industriais. Já a segurança de TI se concentra na proteção de sistemas e equipamentos de tecnologia da informação.
Embora ambos sejam importantes, os riscos e as consequências de um ataque cibernético em sistemas de OT podem ser mais graves. Isso porque esses sistemas costumam ser críticos para a operação das organizações e podem ter sérias consequências se forem interrompidos ou comprometidos.
Etapas para implementar a Segurança de OT
Entre as várias etapas que as organizações podem seguir para implementar medidas de segurança de OT, destacamos aqui as 5 principais:
Avalie os riscos: a primeira etapa na implementação da segurança de OT é avaliar os riscos para seus sistemas OT. Isso inclui identificar as possíveis ameaças e vulnerabilidades que podem afetar seus sistemas, além de mapear as possíveis consequências de um ataque cibernético .
Desenvolva um plano de segurança: depois de identificar os riscos para seus sistemas de OT, a equipe responsável deve desenvolver um plano de segurança que descreva as medidas que serão tomadas para proteger esses sistemas.
Implemente medidas de segurança: a próxima etapa é implementar, de fato, as medidas de segurança descritas em seu plano de segurança, colocando em prática os planos de ação e a tecnologia necessária.
Teste e avalie: é importante testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas. Isso pode incluir, por exemplo, a realização de testes de penetração regulares e avaliações de vulnerabilidade.
Treine e eduque os funcionários: finalmente, é essencial educar seus funcionários sobre a segurança de OT e o papel que eles desempenham na proteção de seus sistemas. Isso pode incluir treinamento sobre como identificar e relatar possíveis ameaças, bem como a importância de seguir protocolos e procedimentos de segurança.
Perguntas-chave para entender se você tem segurança de OT
Algumas perguntas que você pode fazer para entender se uma organização implementou medidas de segurança de OT:
Quais sistemas e equipamentos a organização usa para controlar, monitorar e gerenciar processos industriais?
Como esses sistemas estão conectados à internet ou outras redes? Quais os pontos vulneráveis?
A organização possui uma política ou plano de segurança cibernética para proteger seus sistemas de OT?
Quais medidas a organização implementou para proteger seus sistemas de OT?
A organização mantém seus sistemas e software de OT atualizados com os últimos patches e atualizações de segurança?
Existe um processo para responder a ameaças cibernéticas e incidentes envolvendo seus sistemas de OT? Ele está atualizado?
A organização tem um processo para testar e avaliar regularmente suas medidas de segurança de OT para garantir que sejam eficazes e atualizadas?
Como a organização treina seus funcionários sobre segurança de OT e o papel que eles desempenham na proteção desses sistemas?
Ao fazer essas perguntas, você pode entender melhor as medidas que a organização implementou para proteger seus sistemas de OT. Além disso, também será possível perceber o nível de foco que ela coloca na segurança de OT.
Terceirização da segurança de OT em sua organização
É possível para as organizações terceirizar algumas ou todas as suas necessidades de segurança de OT. A terceirização da segurança de OT pode, por exemplo, fornecer às organizações acesso a conhecimentos e recursos especializados que talvez não tenham internamente. Com isso, a empresa libera recursos e tempo para que suas equipes se concentrem em suas principais operações de negócios.
No geral, a terceirização da segurança de OT pode fornecer às organizações muitas vantagens. Alguns exemplos são o acesso a conhecimentos e recursos especializados, economia de custos, postura de segurança aprimorada e conformidade regulamentar.
Vantagens de terceirizar a segurança dos sistemas OT
Acesso a conhecimentos especializados: a terceirização da segurança de OT pode fornecer às organizações acesso a conhecimentos e recursos especializado. Isso pode ser particularmente útil para organizações que não possuem uma equipe de segurança cibernética dedicada ou que não tenham as habilidades e conhecimentos necessários para proteger com eficácia seus sistemas de OT.
Economia de custos: terceirizar a segurança de OT pode ser mais econômico do que construir e manter uma equipe de segurança interna. Com isso, pequenas e médias empresas que não têm orçamento para contratar e treinar uma equipe podem, ainda assim, ter acesso à estrutura de segurança OT.
Postura de segurança aprimorada: trabalhar com um provedor de segurança de OT experiente e respeitável pode ajudar as organizações a melhorar sua postura de segurança e, com isso, reduzir o risco de um ataque cibernético. Isso pode ser particularmente importante para organizações que dependem de sistemas de OT para operações e processos críticos.
Conformidade regulamentar: muitas organizações podem estar sujeitas a requisitos regulamentares relacionados à segurança de OT, como por exemplo os relacionados à proteção de infraestrutura crítica. A terceirização da segurança de OT pode ajudar as organizações a garantir que estejam em conformidade com esses requisitos e evitar possíveis multas e penalidades.
A Protiviti Brasil presta serviços gerenciados de segurança de OT nas organizações por meio do seu time de cibersegurança. Com isso, as organizações têm acesso a conhecimento e expertise global da empresa, com escritórios espalhados mundialmente.
Softwares de segurança de OT
Um software de segurança de OT desempenha um papel vital em ajudar as organizações a proteger seus sistemas de OT contra ameaças cibernéticas. Um software de segurança de OT pode ajudar, por exemplo, a:
Proteger-se contra ameaças cibernéticas: o software de segurança de OT pode ajudar a proteger contra uma ampla gama de ameaças cibernéticas, incluindo malware, ransomware e outros tipos de ataques que podem interromper ou comprometer sistemas críticos.
Monitorar a atividade da rede: o software de segurança de OT pode monitorar a atividade da rede em tempo real e alertar as organizações sobre qualquer atividade suspeita ou maliciosa.
Automatizar os processos de segurança: o software de segurança de OT pode automatizar muitos processos de segurança, como gerenciamento de patches e atualizações de segurança, o que pode ajudar as organizações a economizar tempo e recursos. Isso pode ser particularmente útil para organizações com redes OT grandes e complexas.
Melhorar a conformidade: o software de segurança de OT pode ajudar as organizações a cumprir os regulamentos e padrões do setor, como os relacionados à proteção de infraestrutura crítica.
Aumentar a visibilidade: o software de segurança de OT pode fornecer às organizações visibilidade de seus sistemas e redes OT, permitindo identificar vulnerabilidades.
No geral, o software de segurança de OT pode desempenhar um papel vital para proteger sistemas de OT, por exemplo, contra ameaças cibernéticas. Dessa forma, é possível garantir a confiabilidade e a segurança contínuas de sistemas e infraestrutura críticos.
A Protiviti usa o software Claroty, líder de mercado em segurança de OT e utilizado mundialmente por milhares de organizações. Os produtos e serviços da Claroty são projetados para proteger redes e sistemas industriais contra ameaças cibernéticas. As ameaças mapeadas incluem malware, ransomware e outros tipos de ataques que possam interromper ou comprometer a infraestrutura crítica.