• Alavancar normas de segurança do Departamento de Defesa dos EUA para equipamentos sem fio, para automação e controle

Default Alternative Text

Tecnologias validadas pelo governo podem ser usadas para se obter uma maior segurança cibernética

Ao longo dos últimos anos, o uso de redes wireless em sistemas de controle produziu uma série de benefícios para infraestruturas críticas, revolucionando as operações em áreas-chave da indústria, como energia e transporte. Além dos benefícios de eliminar fiação de sinais e de energia, redes de sensores wireless podem capacitar aplicações de medição em locais de difícil acesso, ou onde o custo da fiação não é justificável. Elas também são de imenso valor para modernizar instalações antigas, para instalações temporárias, ou para locais onde não há uma fonte de energia disponível. Entretanto, a aplicação prática da tecnologia wirelesss em ambientes industriais enfrenta uma série de desafios, e um deles é a adoção de normas de segurança pela indústria.

O aumento da transmissão de dados pelas redes das plantas gerou ataques cibernéticos que ameaçam redes, empresas e dispositivos de usuário final também. Redes de sensores wireless (RSSF) estão recebendo atualmente a maior atenção da indústria, focada em áreas como monitoramento de condição, controle de processos, instrumentação wireless e medições. Um dos maiores inibidores para a adoção de RSSF no setor privado é a preocupação com a segurança de aplicações industriais críticas. Embora avanços significativos tenham sido feitos na topologia de gerenciamento, nos algoritmos de roteamento e no gerenciamento de dados de sensores, ainda há preocupações de que as RSSFs sejam inerentemente não confiáveis.

Integrar sistemas wireless em redes antigas, projetadas e implementadas em ambientes corporativos proporciona maior flexibilidade e facilidade de uso, porém a necessidade de segurança nos níveis físico e da rede - e mesmo nos protocolos utilizados nessas redes (por exemplo, ISA100, WirelessHART, e 6LoWPAN) - refletem o que está em jogo quando essas redes são implantadas em operações críticas dos ambientes industriais.

Atualmente, a maioria dos sistemas operacionais de uso geral possuem conceitos de segurança adotados pela ISA. No entanto, não há garantia de que um fornecedor vendendo produtos comerciais (COTS) tenha implementado a segurança corretamente. Para superar preocupações de segurança persistentes quanto ao uso de redes wireless em operações industriais críticas, os gestores das instalações estão cada vez mais buscando orientação governamental sobre como implantar redes seguras de forma mais eficaz. As agências governamentais requerem um nível mínimo de garantia de que a segurança, declarada em um produto, para proteger dados sensíveis é válida. Atualmente o governo desenvolve e implementa redes usando padrões de segurança comprovados, como soluções testadas por organizações independentes e com certificação de conformidade, para assegurar que as aplicações industriais e os dados críticos sejam protegidos de forma suficiente.

Sistemas de controle industrial: debaixo de ataques

Embora os recentes ataques cibernéticos no The New York Times, Twitter, e grandes bancos norte-americanos tenham recebido uma enorme atenção da mídia, sistemas de controle industrial têm se tornado cada vez mais alvo dos atacantes, que têm buscado especificamente interromper e danificar sistemas de controle industriais e suas redes wireless integradas. "Alertas de possíveis riscos para operações de infraestruturas críticas divulgados pelos Sistemas de Controle industriais (ICS) e pelo Cyber Emergency Response Team (CERT) eram da ordem de 50% há um ano", disse Earl Perkins, vice-presidente de pesquisa de sistemas, segurança e risco do Gartner Group.

Na verdade, um relatório do Departamento de Segurança Interna (DHS) dos EUA, divulgado em janeiro revelou que sistemas de controle industrial foram atingidos com 198 ataques cibernéticos "documentados" em 2012 e que muitos desses ataques foram considerados graves. Quarenta por cento desses ataques foram concessionárias de energia, de acordo com o ISC-CERT, que analisou cada incidente. Concessionárias de serviços de água ficaram em segundo lugar, com 15% dos ataques.

A ascensão meteórica dos ataques cibernéticos bem-sucedidos demonstra que os atacantes podem não apenas interromper as redes de comunicação, mas também os sistemas de automação e controle que estão ligados neles. O secretário de defesa Leon Panetta mencionou os ataques cibernéticos em um pronunciamento político recente, comentando que eles indicam "uma escalada significativa" na guerra cibernética. Muitas dessas ameaças podem ser eliminadas por empresas privadas com o uso de processos de segurança implementados por produtos comerciais, de nível militar, em seus sistemas de controle industrial.

Segurança ISA100 no projeto

No mundo da automação e controle industriais, dispositivos inseguros, como pontos de acesso e estações de usuários, podem comprometer seriamente tanto redes wireless quanto redes com fiação. Os hackers visam deliberadamente dispositivos inseguros, utilizando ferramentas especiais para abrir dados criptografados e autenticação. Como a maioria das redes wireless retornam para uma rede com fiação em algum ponto, os hackers podem usar qualquer estação wireless não segura como base de lançamento para acessar uma rede.

O comitê ISA99 é o Comitê de Segurança de Sistemas de Automação e Controle Industrial da Sociedade Internacional de Automação (ISA). O objetivo do comitê ISA99 é desenvolver e estabelecer normas, práticas recomendadas, relatórios técnicos, e informações relacionadas que definirão os procedimentos para implementar sistemas de automação e controles industriais seguros eletronicamente e práticas de segurança.

Atualmente, muitos sistemas de operação de plantas adotaram os protocolos de segurança do ISA99, embora estes não sejam obrigatórios. Infelizmente, Earl Perkins do Gartner descobriu que, "há uma recusa por parte de algumas indústrias que possuem infraestruturas críticas, em reconhecer a verdadeira ameaça", referindo-se a "ameaças cibernéticas", que prejudicam e interrompem sistemas de controle industrial, comentado no recente relatório do ICS-CERT. O primeiro passo para adotar os protocolos do ISA99 é o simples reconhecimento de que a segurança cibernética não é uma coisa irrelevante ou uma distração, mas ao contrário, ela deve tornar-se um componente integral do planejamento e aquisição dos produtos desde o início.

O ISA99 fornece informações adicionais para melhorar a confidencialidade, integridade e disponibilidade de componentes ou sistemas utilizados em automação industrial e controle, e fornece critérios para a aquisição e implementação de sistemas de controle seguros. Eles estão empenhados em melhorar a segurança dos sistemas e ajudar a identificar vulnerabilidades para resolvê-las, reduzindo assim o risco de comprometer informações confidenciais ou causar degradação (ou interrupções) nos equipamentos ou processos sob controle. Esses três conceitos (confidencialidade, integridade e disponibilidade) formam o tripé da segurança de TI das empresas. Em sistemas corporativos, a primeira prioridade é a confidencialidade. Logicamente, me sistemas operacionais em tempo real utilizados em ambientes industriais, as prioridades são opostas, com a disponibilidade passada para a prioridade máxima - o sistema de controle precisa operar 24 horas por dia, sem interrupção, durante longos períodos. Os sistemas são projetados para operar em vários níveis, com computadores de controle redundantes, suportados por controladores locais que, por sua vez, são suportados por sistemas de parada controlada em segurança.

Um passo importante na adoção de uma boa prática de segurança é na forma como ela é aplicada. A ISA100 incorpora a "segurança por projeto," um conceito básico que incorpora a segurança em todos os aspectos, do projeto da rede, sua construção e operações. Uma segurança bem-sucedida já no projeto resulta em uma infraestrutura de segurança mais robusta, que minimiza o acesso de intrusos a materiais e oportunidades para riscos, associados a ataques mal-intencionados (ou seja, sabotagem, desvio, etc.), proporcionando ao mesmo tempo flexibilidade para responder à um ambiente de ameaças em evolução.

Redes wireless criadas conforme a norma ISA-100.11a-2011 quanto a recursos padrão de autenticação e criptografia controlados por uma política de segurança flexível, que pode ser variada de acordo com a metodologia de segurança de duas camadas da ISA-100.1. Em primeiro lugar, a segurança da "camada do link" está associado com autenticação e criptografia do tipo hopto-hop. As redes ISA-100-11a wireless apresentam sub-redes habilitadas por múltiplos saltos e malhas, com pacotes de dados roteados através de múltiplos dispositivos até o ponto de extração da sub-rede. Cada roteador usado nesse processo autentica e criptografa/descriptografa o pacote que foi roteado.

Uma segunda camada de segurança, a da "camada de transporte", está associada à autenticação de ponta a ponta e com a criptografia de mensagens de dados. Aqui, o dispositivo de origem autentica e criptografa o pacote na camada de transporte, e somente o destino autentica e descriptografa o pacote. Isto é obtido por meio de sessões que são estabelecidas entre pares de dispositivos que se comunicam na camada de transporte.

Vários níveis de autenticação e criptografia podem ser habilitados para as duas camadas de segurança, e esses níveis são herdados das políticas de segurança suportadas pela norma IEEE 802.15.4 - a tecnologia wireless subjacente na qual a norma ISA-100.11a está baseada.

Embora a ISA100 tenha segurança incorporada por projeto dentro da norma, ela ainda precisa ser implementada corretamente. De fato, uma segurança implementada de forma inadequada é equivalente a nenhuma segurança. Muitos fornecedores proclamam a funcionalidade do produto e/ou oferecem segurança sem qualquer prova de validação ou supervisão. O conhecimento obtido a partir das avaliações DHS CSSP e ICSCERT documentadas diariamente na página da internet de divulgação de política de vulnerabilidade da ICSCERT prova que a quantidade de vulnerabilidades de produtos encontrada no setor de controle industrial continua a aumentar.

Desmistificando soluções validadas pelo governo

As instalações do governo federal dos EUA e do Departamento de Defesa (DoD) requerem redes resilientes que asseguram o fornecimento de ativos críticos para dar suporte às forças armadas internamente e no exterior. Os encargos atuais oferecem incentivos importantes à essas agências para construir sistemas mais eficientes e resilientes que consumam menos energia e sejam protegidos contra desastres, acidentes e ataques.

As agências governamentais requerem um nível mínimo de garantia de que a segurança, declarada em um produto, para proteger dados sensíveis é válida. Atualmente, a política federal requer que as agências governamentais desenvolvam acordos de interconexão dos sistemas federais que compartilham ou trocam informações com redes externas. Para redes wireless, as agências governamentais requerem criptografia FIPS 140-2 validada para assegurar proteção aos dados em trânsito. Considerada como referência para segurança no governo, a validação FIPS assegura aos usuários que uma determinada tecnologia passou por testes rigorosos, de acordo com os programas CAVP (programa de validação de algoritmo de criptografia) ou CMVP (programa de validação de módulo de criptografia).

Fornecedores do setor privado que querem ter seus produtos certificados para uso em departamentos do governo (e em indústrias regulamentadas) devem passar por um processo de validação governamental rigorosa, para satisfazer os requisitos de segurança estabelecidos para organizações federais do Instituto Nacional de Padrões e Tecnologia (NIST). Assim que testados e certificados, os fornecedores do setor privado podem garantir às agências governamentais que todos os dados descarregados em dispositivos wirelesss estão em plena conformidade com a orientação e política do governo federal dos EUA.

Componentes básicos das Normas de Segurança do ISA99 são montados de acordo com a estratégia de defesa em profundidade (DID), que foi concebida pela Agência de Segurança Nacional (NSA). A estratégia DID, amplamente empregada pelo governo dos EUA, é baseada na implementação de várias camadas de controles de segurança (defesa) de um sistema. A intenção é fornecer redundância, caso um controle de segurança falhe ou uma vulnerabilidade é explorada, pois não se pode depender de uma única contramedida para mitigar todos os problemas de segurança.

Há também restrições legislativas relativas a certos tipos de tecnologia, como criptografia, que exigem que as agências federais usem somente produtos testados e validados. Atualmente os padrões do DoD podem servir como um modelo importante para incentivar a indústria a desenvolver e implementar soluções que sejam testadas e certificadas, por agente independente, para fins de conformidade. Sem validação independente, não há nenhuma garantia de que o fornecedor tenha submetido seu produto a testes suficientemente rigorosos. Uma validação independente permite que os compradores tenham essa garantia e façam as comparações necessárias da segurança dos produtos.

Implementar solução wirelesss segura, baseada em normas (caso de sucesso)

Em outubro de 2009, o Ministro da Marinha estabeleceu cinco metas de energia agressivas para melhorar a segurança e a eficiência energética, aumentar a independência da energia e ajudar a liderar a nação em direção a uma economia com energia limpa. Em 2010, a Marinha iniciou um programa piloto de Smart Grid, composto de tecnologias interconectadas que poderiam coletivamente, de forma segura e inteligente monitorar, prever, controlar e responder a sistemas de gestão predial e de concessionárias de serviços.

A necessidade de instalar sensores em qualquer lugar, em ambientes distribuídos, exige um esforço enorme, e o DoD reconheceu rapidamente os benefícios de custo e tempo da integração de soluções wireless avançadas em sua infraestrutura de rede existente. Por exemplo, a integração wireless poderia acomodar uma variedade de topologias e atender às necessidades de aplicações específicas, aumentando a produtividade e fornecendo um caminho para custos operacionais mais baixos. Entretanto, os requisitos rigorosos de segurança do DoD limitavam a Marinha às soluções que ofereciam criptografia validada pela FIPS 140-2 e tinham níveis de segurança certificados pelos Critérios Comuns.

Embora muitas empresas oferecessem soluções wireless, nenhuma delas tinha produtos robustos que preenchessem os requisitos de segurança da tecnologia de informação do DoD, e proporcionasse ao mesmo tempo interfaces para sensores wirelesss alimentados por bateria. A solução tinha que atender integralmente os requisitos de segurança das informações do Ministério da Defesa, incluindo diretrizes para informação assegurada (IA) durante atividades que envolvessem troca de dados e de informações. Cumprir todos esses requisitos era fundamental para permitir uma integração e implantação bem-sucedida do programa. Há uma nova geração de soluções, como a tecnologia de rede wireless AirGuard iMesh, que são compatíveis com a norma ISA-100 para redes de sensores industriais com base em segurança que seja validada de forma independente, aprovada e implementada pelas forças militares dos EUA. Projetados para baixa tensão e integração flexível, esses dispositivos formam uma ponte de segurança cibernética interligando nós de sensores ISA-100 com redes Wi-Fi e Ethernet da norma 802.11 para aplicações de sensores, incluindo em refinarias de petróleo, concessionárias de serviços públicos, fábricas, subestações elétricas, e plantas de processo para interface com uma variedade de sensores (pressão, temperatura, vibrações, etc.) em locais de redes remotas. A malha de rede wireless industrial resultante permite que os operadores do sistema melhorarem a conformidade regulatória, conseguindo ao mesmo tempo uma maior visibilidade das operações do sistema, com amostragem configurável dos sensores e de relatórios.

A Marinha está implantando atualmente dois sistemas, que utilizam tecnologias de malha de rede wireless e com fiação segura. O primeiro sistema é o Sistema de Controles Industriais Corporativos (EIC) - um sistema avançado de rede de sensores wireless e com fiação, seguro contra ataques cibernéticos, que integra sistemas de controle industrial diferentes entre várias bases da marinha em um centro de operações de instalações. O segundo sistema, o Sistema de Monitoramento de Perímetro Virtual (VPMS), é uma proteção segura de infraestrutura crítica, wireless e com fiação, e uma solução de monitoramento de perímetro. Alavancando uma rede robusta e integrada, habilitada por meio do uso de tecnologia wireless segura, a Marinha está mudando para controlar a energia e obter economia de custos e ganhar eficiência, garantir a operação de infraestruturas críticas, e aumentar a consciência situacional. Mais de 5.000 dispositivos wireless seguros estão sendo instalados em sistemas de sensores em rede nas instalações do DoD. Eles vão medir o consumo de energia e a alocação da energia, permitindo simultaneamente a gestão dos recursos de energia em tempo real para reduzir o consumo de energia, no nível dos edifícios, atendendo a Lei da Política de Energia de 2005 e a Lei de Independência e Segurança da Energia de 2007.

Resumo

Os militares estão percebendo os benefícios da implantação de sistemas integrados, que alavancam tecnologia wireless segura. Estes benefícios vão desde claras reduções de custo obtidas pela eliminação de fiação à uma melhor produtividade da planta, melhor gestão dos ativos e sólida comunicação de dados. O sucesso obtido e manter a conformidade com os requisitos de segurança restritas do DoD demonstra que tecnologia wireless segura pode ser adotada por operadores de sistemas críticos que buscam implementar sistemas econômicos mais robustos, confiáveis e seguros.

Na falta de qualquer norma ou requisito de segurança cibernética, comercial ou federal, o setor industrial tem buscado no setor militar exemplos de boas práticas e requisitos de segurança. Embora redes integradas ofereçam benefícios inegáveis, alguns operadores de infraestrutura crítica ainda se recusam a reconhecer ameaças cibernéticas voltadas a interromper e/ou danificar sistemas de controle industriais. Ameaças recentes, como o Stuxnet e o Flame demonstraram cabalmente que ameaças, antes teóricas, tornaram-se agora uma realidade; ataques cibernéticos que ameacem penetrar e sabotar sistemas de controle e monitoramento críticos continuam a gerar graves consequências.

Muitas destas ameaças podem ser combatidas e defendidas de forma eficaz contra com alterações na segurança fundamental de processos e organizações. A guerra cibernética não é apenas uma ameaça para o futuro - é uma ameaça bem real hoje, forçando uma maior necessidade de segurança robusta para garantir a operação contínua e a proteção de sistemas de controle e monitoramento críticos em todo o mundo. A hora de comprovar se os sistemas de controle de plantas são à prova do futuro é agora, e as abordagens do DoD descritas neste artigo deverão preparar o caminho para uma adoção industrial mais ampla de redes wireless seguras.

AVANÇAR

  • Sistemas de controle industriais estão cada vez mais sob ataque
  • A segurança wireless básica é inadequada
  • Soluções governamentais comprovadas aumentam
  • os princípios básicos da NSA para defesa cibernética
  • Os princípios básicos da Agência de Segurança Nacional (NSA) para defesa em profundidade contra ataques cibernéticos incluem:
  • Conhecer os riscos de segurança enfrentados por uma organização
  • Quantificar e qualificar os riscos
  • Usar recursos-chave para minimizar riscos de segurança
  • Definir a competência principal de cada recurso e identificar quaisquer áreas de sobreposição
  • Obedecer normas de segurança existentes ou emergentes quanto a controles específicos
  • Criar e customizar controles específicos, exclusivos para uma organização

Atualmente os padrões do DoD podem servir como um modelo importante para incentivar o setor a desenvolver e implementar soluções que sejam testadas e certificadas, por agente independente, para fins de conformidade.

A guerra cibernética não é apenas uma ameaça para o futuro - é uma ameaça bem real hoje, forçando uma maior necessidade de segurança robusta.

SOBRE O AUTOR

Thurston Brooks, vice-presidente de marketing de produto. A Ultra Electronics, 3eTI, trabalha no desenvolvimento de novas tecnologias e soluções para aplicações industriais e comerciais, voltadas para a proteção de infraestruturas críticas. Possui mais de 30 anos de experiência profissional em desenvolvimento e gestão de uma ampla variedade de soluções para aplicações militares e industriais e é graduado em engenharia pela Universidade da Flórida (BS), pelo Instituto de Tecnologia de Massachusetts (MS), com tese em sistemas e controles humano–máquinas e tem um MBA pela Universidade de Chicago. É membro-chave do Comitê IEEE/NIST sobre Sensores Inteligentes (IEEE 1451). Brooks é autor de mais de 45 publicações em periódicos de referência, simpósios e conferências, e é titular de duas patentes. Um produto patenteado ganhou o prêmio 1993 Star Tech de Melhor Produto Novo da revista Washington Technology.

Veja a versão online na página www.isa.org/intech/201 30401

Copyright International Society of Automation março/abril de 2013

Este artigo foi escrito por Thurston Brooks da InTech e foi licenciado oficialmente por meio da rede de editores NewsCred.