Por que a segurança da automação industrial deve ser um foco renovado

Enquanto as organizações industriais lutam com as consequências do COVID-19, a automação tornar-se um assunto ainda mais quente. Os especialistas temem, no entanto, que a aceleração da automação possa gerar consequências imprevistas para as organizações que não se concentram na segurança.

“Quando se trata de automação e sistemas de controle industrial (ICS), não há dúvida de que a pressa faz mais do que desperdício”, disse Dan Miklovic, analista do Analyst Syndicate. “Isso leva a resultados potencialmente catastróficos ou mortais.”

Os sistemas de missão crítica em instalações industriais tradicionalmente contam com a supervisão de trabalhadores humanos porque os sentidos eram “geralmente a maneira mais eficaz de garantir o tempo de atividade ideal”, Chris Catterton, diretor de engenharia de soluções da ONE Tech. Isso está mudando. Os sistemas automatizados geralmente excedem a capacidade humana de detectar problemas na máquina. Um sistema automatizado pode detectar quando um valor de torque em um parafuso é, por exemplo, alguns quilos leve, ou ouvir um guincho de alta frequência indetectável ao ouvido humano, Catterton disse.

Mas ser negligente em termos de segurança de automação industrial pode ser perigoso. Eletrônicos amadores, por exemplo, podem simplificar a automação de máquinas industriais, mas tais produtos também podem fornecer aos ciberataques um alvo familiar, disse Miklovic. “As soluções de automação plug-and-play que não são desenvolvidas com a segurança em primeiro lugar também podem abrir a porta para uma grande quantidade de vulnerabilidades”, disse Catterton.

Cuide também das implantações de IA

Também existe o risco de que as organizações implantem rapidamente inteligência artificial (IA) como parte de sua iniciativa de automação. Com a escassez de especialistas em ciência de dados e muitos operadores industriais experientes excluídos como resultado das quarentenas de COVID-19, há um risco maior de erros se infiltrando nos algoritmos de IA. Há o risco de que "a pessoa que tenta treinar o sistema não tenha informações críticas de segurança", disse Miklovic.

Mesmo em condições ideais, o desenvolvimento de software ou algoritmos de IA inevitavelmente introduz alguns erros. Uma regra prática afirma que há de um a 10 erros por 1.000 linhas de software, como observou o livro “O Quinto Domínio”. Mesmo o software para sistemas espaciais de missão crítica pode ter de um a cinco erros por 1.000 linhas de código.

Com o software frequentemente tendo milhões ou bilhões de linhas de código, a necessidade de prevenir e corrigir bugs torna-se crítica. A história fornece exemplos que destacam o risco de se tomar atalhos na segurança da automação industrial. O desastre do foguete Ariane 5 em 1996 é um exemplo. Depois que os desenvolvedores de software da Agência Espacial Européia falharam em atualizar o código que eles pegaram emprestado de um foguete predecessor, o foguete explodiu. Como a velocidade da nave durante o lançamento excedeu os limites especificados por seu software, o foguete se autodestruiu. “O custo desse erro de software foi de cerca de US $ 300 milhões”, disse Johannes Bauer, Ph.D., principal consultor de segurança da UL.

Outro exemplo de atalhos de software caros é o encalhe do Boeing 737 Max em 2019. Depois de terceirizar as tarefas de desenvolvimento de software para engenheiros de US $ 9 por hora, o avião matou 346 pessoas em dois acidentes. Um sistema automatizado baseado em informações de um único sensor desempenhou um papel importante nos acidentes, de acordo com o New York Times. O custo de aterrar o 737 após os dois acidentes é de US $ 18 bilhões, de acordo com estimativas da Boeing.

D iscriminar ao permitir acesso remoto

Além dos riscos de cortar atalhos com a automação orientada por software ou cargas de trabalho de IA, a expansão do acesso remoto em ambientes industriais é outro perigo. “Pense em usar o Zoom [o aplicativo de videoconferência] para que o pessoal do chão de fábrica se comunique com um recurso especializado compartilhado para diagnosticar um problema”, disse Miklovic. Nesse caso, um cibercriminoso poderia roubar segredos comerciais ou informações de fabricação de produtos, observou ele. A pressa em permitir operações remotas também pode levar as organizações a tornar os sistemas de controle acessíveis através da Internet pública, sem os controles de segurança apropriados. A ameaça de fazer isso é “uma preocupação para os sistemas instrumentados de segurança”, disse Mark Carrigan, diretor de operações da PAS Global. “Esses sistemas são a última linha de defesa para processos que operam além de suas condições de fronteira e um alvo de ataque conhecido para agentes mal-intencionados.”

As operações remotas também aumentam o risco de tentativas de phishing usando engenharia social. Tal ataque poderia “identificar funcionários que provavelmente têm acesso privilegiado para que suas credenciais possam ser exploradas para obter acesso a ambientes de sistema de controle por meio de gateways remotos cada vez mais acessíveis”, disse Carrigan.

Avaliação de ameaças por setor

A pressa para implantar automação e acesso remoto não será uniforme em todo o setor industrial. “Os mais críticos dos sistemas de infraestrutura crítica” tendem a ter protocolos estabelecidos e são menos propensos a redefinir os processos principais, disse French Caldwell, cofundador do Analyst Syndicate. Infraestruturas críticas, como usinas nucleares, refinarias de petróleo e fábricas de produtos químicos têm menos probabilidade de serem afetadas por restrições de trabalho de distanciamento social, dadas as isenções para tais instituições.

Organizações de infraestrutura crítica também tendem a ter requisitos regulamentares para segurança cibernética. As concessionárias de energia, por exemplo, devem seguir os padrões de segurança cibernética descritos pela Federal Energy Regulatory Commission e pela North American Electric Reliability Corporation.

No extremo oposto do espectro está a infraestrutura industrial, como aquecimento, ventilação e ar condicionado (HVAC), iluminação e sistemas de plantas. Esses sistemas têm sido “operados e monitorados remotamente há décadas”, disse Caldwell.

As organizações no meio desses dois pólos são mais propensas a aumentar a automação e a infraestrutura de trabalho remota, de acordo com Caldwell. “É um grupo intermediário muito grande de sistemas onde, sem dúvida, há um aumento liderado por uma pandemia já no acesso ICS remoto”, disse ele.

A palavra final

Em última análise, cada organização deve avaliar os riscos e recompensas da digitalização e automação. O risco de se mover muito devagar pode ser uma ameaça para a longevidade de uma empresa industrial tanto quanto apressar uma implantação. “Existem muitas visões diferentes sobre o que automatizar, quanto automatizar e quando automatizar”, disse Nitin Kumar, CEO da Appnomic. “Os ativos físicos estão cada vez mais se tornando digitais. Não ter automação tecida em torno deles com um processo digital adequado criará um modelo operacional digital muito ineficiente. ”

Uma coisa é universal:as organizações devem colaborar para resolver esses problemas. Especialmente durante a pandemia, engenheiros e líderes de TI “precisam se unir para garantir que a confiabilidade e a segurança estejam alinhadas com a criticidade dos sistemas e os riscos de segurança”, disse Caldwell. Depois que a pandemia diminuir, as organizações terão mais tempo para revisar como podem expandir a automação e o acesso remoto dos sistemas ICS para acomodar “contingências inesperadas e para melhorar a eficácia e eficiência das operações diárias”, disse Caldwell.

Do ponto de vista de negócios, as organizações devem considerar estratégias de implantação de automação para aumentar a resiliência diante da incerteza. “Há uma falta de clareza sobre a duração da paralisação e os riscos para a força de trabalho, mesmo que a economia migre para uma postura semiaberta”, disse Kumar. Mas o mais certo é a probabilidade de os acionistas “continuarem a ser exigentes à medida que a recuperação aumenta”, acrescentou.

Tecnologias como automação, IA e acesso remoto podem permitir que organizações industriais façam mais com menos. Aqueles que pretendem implantá-los devem fazê-lo com cautela. Apesar do ditado de segurança desde o projeto, muitas organizações os consideram em uma espécie de modo de correção contínua. “A segurança deve ser um requisito funcional desde o início”, disse Sean Peasley, sócio da Deloitte.