A Abiquim promoveu nesta quarta-feira, 24 de agosto, o sétimo webinar em comemoração aos 30 anos do Programa Atuação Responsável. Dois especialistas falaram sobre A Gestão da Segurança de Processos e a Interface com a Segurança Cibernética e sua integração com a segurança nos processos industriais.
André Passos Cordeiro, Diretor de Relações Institucionais e Presidente Executivo em exercício da Abiquim, abriu o webinar, lembrando que essa sequência de lives vai culminar no 18º Congresso do Atuação Responsável, em 5 de outubro. Segundo ele, o objetivo do programa é tornar todos os parceiros da Abiquim ambientalmente responsáveis e a indústria química brasileira como uma das mais sustentáveis do mundo.
O primeiro palestrante foi o especialista em tecnologia da informação e professor da Universidade de Brasília, Rafael Rabelo Nunes, que falou sobre a importância da cibersegurança para as empresas e entidades público-privadas. Segundo ele, desde o início da pandemia os incidentes de segurança vêm acontecendo com grande repercussão. “Várias marcas e organizações foram impactadas com incidentes de grandes proporções desde 2020. Isso acontece porque tudo está caminhando para ser inteligente”, alertou. Temos cidades inteligentes, carros inteligentes, agronegócio inteligente, casa inteligente e isso também ocorre na indústria: sensores coletam dados sobre temperatura, pressão, acionam válvulas, e isso exige uma rede interconectada e essa rede tem a mesma tecnologia da rede de computadores que usamos. Esses sensores coletam informações, geram dados e isso é viabilizado pela tecnologia 5G. “Se tenho condição de fazer o controle remoto, existe também a possibilidade de haver incidentes”, alertou.
O risco cibernético é a classe de risco que mais preocupa os gestores de riscos corporativos, seguido por riscos de compliance, operacionais, de resiliência das operações e riscos financeiros. Os atacantes são hackers, nome genérico para designar a pessoa que tem habilidade para invadir sistemas. Em geral são excelentes programadores e conhecedores da arquitetura de redes, computadores, sistemas.
Segundo Nunes, a origem das vulnerabilidades pode ser muito intrigante. “No Log4Shell os hackers aproveitaram a vulnerabilidade extremamente crítica desse componente Java, muito utilizado até em segurança. Essa vulnerabilidade permite ter acesso de ?administrador-root? no servidor que hospeda o serviço. Ele foi descoberto no final de 2021. Era uma vulnerabilidade existente há décadas”.
Segurança da informação é a proteção da integridade, da disponibilidade, da confidencialidade da informação. A integridade significa que só pessoas autorizadas podem modificar a informação; a disponibilidade é estar acessível quando ela for necessária. A segurança cibernética é o espaço cibernético, é um ambiente complexo resultante da interação de pessoas, ressaltou o professor da Universidade de Brasília.
Nunes indicou o site www.cybok.org onde se pode obter gratuitamente orientações a respeito do tema. “São tópicos como segurança nos dispositivos móveis, na web, segurança de redes, criptografia, aspecto humano e regulação, privacidade, gerenciamento de riscos e muitos outros conteúdos com o que precisa ser feito para se atingir a segurança na área industrial.” Segundo ele, deve-se encarar a segurança cibernética como mais uma área de risco, já que não existe 100% de segurança.
Os controles mínimos a serem implementados estão em normas como a ISO 27.000 e CIS Controls V8. Para Nunes, o mínimo que se deve fazer em termos de segurança é: 1) Manter todos os softwares atualizados; 2) Fazer o hardening (mapeamento) de todos os sistemas e dispositivos para mitigar os riscos de ataques; 3) Melhorar os processos de identificação e autenticação em serviços e sistemas.
O segundo palestrante foi o engenheiro eletrônico e Consultor da RSE Consultoria, Ruy Carvalho de Barros, que falou sobre as ferramentas de análise de risco. Ele disse que no cenário atual vê-se o crescimento no número de ataques às infraestruturas críticas, particularmente às instalações industriais. Para o especialista, vivemos ainda a indústria 3.0, em que sistemas de controle e de automação rodam em sistemas operacionais muitas vezes antigos, em que não se consegue fazer atualizações. E daí todos os sistemas têm vulnerabilidades.
“Quando falo de infraestruturas críticas falo dos segmentos industriais ligados à energia elétrica, de transportes, de produção de petróleo, gás natural, áreas de comunicação e TI, e em todas temos sistemas de controle e de supervisão que possuem vulnerabilidades”, disse Barros. Segundo ele, essas áreas de infraestruturas críticas são o alvo principal dos hackers/crackers. Antes os invasores queriam demonstrar que podiam invadir os sistemas, mas hoje é diferente. “Hoje o conceito da invasão é tirar algum proveito, fazer solicitação de pagamento de resgate em troca de infraestrutura, e durante a pandemia isso aconteceu de forma mais intensa”.
Ele citou também a questão relacionada à indústria 4.0 e sua integração com a tecnologia da automação (TO). Este processo de aumento da conectividade e integração, segundo Barros, funciona em ambientes de private clouds, de maneira que essa conexão em TO cada vez fica mais evidente e preocupante. E na medida em que isso ocorre o ambiente se torna mais propício a invasões.
Os mecanismos de ataque cibernético nas redes corporativas ocorrem por meio de conexões não autorizadas, firewalls mal configurados, laptops infectados, modems, drives USB, pela rede de PLCs, e por isso um plano de prevenção é fundamental.
O representante da RSE Consultoria mostrou gráficos com os impactos dos crimes cibernéticos, que vêm aumentando, principalmente nos últimos anos, e disse que diante desse novo cenário é importante entendermos que existe uma tarefa árdua a partir de agora: é preciso pensar no monitoramento e controle contínuo dos ciberataques nos sistemas de controle e automação, com o rastreamento de ações não oriundas da lógica do sistema. Outro ponto importante a ser pensado é que o projeto nasça inteligente, com soluções que permitam o crescimento dos sistemas de automação sem impacto na segurança dos processos da planta industrial.
Para o especialista, os Sistemas de Controle Industrial (SCIs) precisam ter uma preocupação em entregar essa solução. Ou seja, o fabricante tem que pensar numa arquitetura que preveja a possibilidade de ataques de hackers ou crackers, uma preocupação que ainda está fora do ambiente industrial.
Barros listou algumas normas, como ISA/IEC 62443, NIST 800-53, NERC CIP, ISO 27000, IEC 62351, IEC 61162-460 e informou que as diversas normas abrangem diferentes aspectos técnicos, detalhes de operação e mesmo a atuação dos prestadores de serviços. A ISA, sigla em inglês da Sociedade Internacional de Automação, foi a primeira a trabalhar com normas da segurança da automação e tem normas com grande abrangência, trabalhando também com certificação de produtos e na área de segurança.
Para o consultor, a norma mais importante em termos de cibersegurança é a ISA-99 /IEC/62443. Ele disse que já existem profissionais certificados no Brasil que podem refletir sobre o que suas instalações necessitam em termos de melhoria de projetos, e também melhorias nas redes de processos e redes corporativas.
Ao encerrar fez uma comparação entre duas normas: IEC 61508 com a IEC 62443. Mostrou a possibilidade de uso de ferramentas e diferentes camadas de segurança e camadas “não hackeáveis”. Ele concluiu a palestra alertando que a cibersegurança em sistemas de controle industrial complementa a segurança de processos e não a substitui.
A íntegra do webinar está disponível no Youtube.
