Avaliando fatores de risco na segurança cibernética de TO:um guia para engenheiros de automação

Costuma-se dizer:“A Internet é um bairro ruim”. E por mais verdadeiro que isso pareça, existem muitos outros riscos e ameaças dos quais os engenheiros de automação precisam estar cientes e que podem afetar os sistemas de computador usados ​​na automação e no controle.

Tecnologia operacional, ou TO, refere-se ao hardware e software físico usado para monitorar e controlar equipamentos, processos e infraestrutura industriais. Esses são os itens com os quais nós, engenheiros de automação, trabalhamos todos os dias.

Este artigo analisará detalhadamente os fatores de risco na segurança cibernética da TO e como você pode reduzir esses riscos.

As infraestruturas críticas, como centrais energéticas, barragens e parques eólicos, bem como fábricas críticas, precisam de estar conscientes das muitas ameaças que os seus sistemas enfrentam. Por exemplo, as ameaças podem vir de um funcionário insatisfeito que infecta conscientemente a rede com um vírus.

As ameaças podem vir de uma fonte externa, como a Internet. Cada um desses tipos de ameaça pode causar danos significativos à infraestrutura de TO da planta.

Contra quais riscos seus sistemas precisam se proteger? Apenas fazer o que os outros fazem ou empregar aleatoriamente hardware e software de segurança cibernética não é suficiente para garantir a segurança.

Uma abordagem sistemática à segurança cibernética é uma etapa vital necessária para eliminar riscos e tornar seus sistemas uma vizinhança mais amigável.

Fundamentos da avaliação de riscos de segurança cibernética de TO

A avaliação de riscos de TO é definida como o processo sistemático para identificar, avaliar e priorizar ameaças e vulnerabilidades. Existem diversas características exclusivas dos ambientes de TO que diferem dos ambientes de TI.

Entre eles estão a prevalência de sistemas legados, requisitos de disponibilidade 24 horas por dia, 7 dias por semana e integrações físicas com máquinas, atuadores e sensores que compõem o processo de fabricação.

As avaliações de risco devem envolver todas as partes interessadas afetadas, incluindo pessoal de operações, engenharia, TI e gestão. Como mencionei anteriormente, esta avaliação de risco deve seguir uma abordagem sistemática para ser bem sucedida.

Então, vamos dar uma olhada nas cinco etapas envolvidas nesta avaliação.

Identificação e inventário de ativos

Quando uma seguradora é solicitada a segurar a sua casa, ela quer saber o que há na casa para saber o que pode ser perdido, ou seja, o que corre risco de perda ou dano. O mesmo se aplica às avaliações de risco em segurança cibernética.

O inventário e o mapeamento de todos os seus ativos de TO são o primeiro passo crítico. Tudo deve estar listado no inventário, incluindo hardware como CLPs, sistemas SCADA e estações IHM. Este inventário deve incluir todos os softwares e firmwares instalados em seus sistemas TO.

Esses ativos podem não parecer de natureza física, mas estão em risco e são os ativos mais fáceis de serem infectados por hackers.

Devemos também incluir equipamentos de rede, como switches e cabeamento. E não se esqueça das conexões externas, como portas de dados fornecidas para acesso do fornecedor ou conexões para manutenção remota.

Um inventário completo é crucial para permitir que a equipe de avaliação de riscos compreenda completamente o que é chamado de “cenário de ameaças”.

Itens perdidos, como portas de dados fornecidas para acesso do fornecedor, podem ser rotas fáceis para infecção do sistema, mesmo que não sejam feitas de forma maliciosa.

Identificação de ameaças e vulnerabilidades

Depois de listarmos todos os nossos ativos, saberemos todos os itens que podem ser atacados. Em seguida, precisamos identificar os tipos de ameaças que nossos sistemas podem provocar.

Essas ameaças podem ser ameaças internas de pessoas internas, como roubo de fundos de contas ou configurações incorretas inadvertidas de switches de rede que permitem contornar os requisitos de autenticação do usuário.

As ameaças também podem ser externas, provenientes de fontes da Internet, malware, hackers ou atores do Estado-nação que buscam ativos valiosos, como formulações e receitas.



Muitas vezes esquecidas estão as vulnerabilidades comuns que podem ocorrer com hardware e software de TO legado, como falta de patches, autenticação fraca e protocolos inseguros.

Análise de impacto

Agora que conhecemos o nosso cenário de ameaças, devemos avaliar as consequências de realmente ter um sistema comprometido devido a um ataque.

Estas consequências podem assumir muitas formas, tais como riscos de segurança para o pessoal ou para o ambiente, perturbações na produção, perturbações operacionais, perdas financeiras, danos à reputação e violações regulamentares e de conformidade.

As consequências que a sua instalação pode enfrentar dependem da sua situação específica e podem incluir muitos outros riscos.

Avaliação de probabilidade

O próximo passo é o mais difícil – determinar a probabilidade de essas consequências serem realmente concretizadas.

Determinar a probabilidade de exploração das vulnerabilidades do seu sistema envolve prever sua exposição a ameaças da Internet, identificar explorações conhecidas e capacidades adversárias e, mais importante, o histórico de incidentes que afetaram sistemas como o seu.

Por exemplo, o Stuxnet era um vírus difundido e debilitante que atacava o hardware de um fornecedor específico. O ataque Colonial Pipeline foi um ataque cibernético de ransomware que levou ao encerramento das operações e à escassez significativa de combustível na Costa Leste. O que pode acontecer com sua operação e qual a probabilidade de isso acontecer?

A Matriz de Risco

A etapa final é construir uma Matriz de Risco para cada fator de risco. A Matriz de Risco normalmente lista o impacto de uma violação de segurança cibernética em relação à probabilidade de ocorrência da violação. Aqui está um exemplo de matriz usando limites de impacto e probabilidade como baixo, médio e alto.



A equipe de avaliação de risco é responsável por determinar a melhor alocação de risco para cada quadrado da matriz. Sua equipe pode determinar que uma alta probabilidade de ocorrência com impacto médio também seria qualificada como de alto risco. As classificações dependem exclusivamente da sua situação única.

Por que gerar esta matriz? Permite identificar facilmente os riscos que requerem mitigação imediata, como todos os itens de alto risco, bem como aqueles que podem ser diferidos, como aqueles de baixo risco.

As empresas têm orçamentos limitados para a segurança cibernética, pelo que as questões de maior risco devem ser abordadas primeiro.

Desafios e considerações na avaliação de risco de TO

Esse processo geralmente não é fácil. Itens como a compreensão de todas as restrições à aplicação de patches em sistemas legados podem ser difíceis. Pode haver visibilidade limitada quanto à natureza de algumas ameaças.

Poderão existir barreiras organizacionais à obtenção de todos os dados necessários para avaliar a amplitude de algumas ameaças. Pode haver riscos desconhecidos na cadeia de fornecimento e de terceiros.

Práticas recomendadas para avaliação eficaz de riscos de TO

Existem melhores práticas para superar algumas destas restrições e desenvolver um perfil de risco eficaz. O mais importante é que todas as partes interessadas estejam envolvidas e colaborem na avaliação.

Para auxiliar neste processo, existem muitos padrões e estruturas disponíveis que orientam as equipes no processo de avaliação de riscos, como NIST CSF e IEC 62443.

Uma chave para programas eficazes de avaliação de riscos de segurança cibernética é atualizar periodicamente a avaliação utilizando dados atuais.

Conclusão

As avaliações de risco de segurança cibernética de TO são a base para a criação de uma defesa eficaz contra ameaças internas e externas. Ao envolver todas as partes interessadas no processo, o quadro mais completo das ameaças e da probabilidade de ocorrência pode ser determinado e traçado numa matriz de risco.

A partir da matriz de risco, podem ser tomadas as decisões adequadas para o emprego de defesas de segurança cibernética. À medida que os riscos de TO evoluem, é importante que as instalações sejam proativas e realizem avaliações de risco contínuas como base do seu programa de segurança cibernética de TO.

‍