Quão segura é a sua rede de chão de fábrica?

Pode não ser uma prioridade, mas as oficinas e os fabricantes de médio porte precisam pensar em segurança cibernética de TI/OT, especialmente na fabricação de peças militares e de defesa. O regulamento está aqui. Você está pronto?

É suficiente comprar as mais recentes tecnologias de maquinário e ferramentas, como máquinas de 5 eixos, contratar e orientar aprendizes e novos maquinistas, produzir peças e ficar em dia com os cronogramas de manutenção? Com sensores inteligentes e mais infraestrutura baseada na Internet em uso agora pelos funcionários no chão de fábrica, há muita tecnologia dentro e ao redor das máquinas e das salas de controle da maioria das lojas.

O gerenciamento de segurança agora é um problema real e inclui o gerenciamento de todos os sistemas e o comportamento dos funcionários. Para as oficinas que fabricam peças para o setor de defesa, a segurança é um dos principais problemas de conformidade com consequências reais para os negócios.

“A praticidade hoje é que os fabricantes de pequeno e médio porte estão operando em sua capacidade máxima, os pedidos estão chegando e o maior problema é encontrar e reter talentos – a maior restrição para lançar produtos. Considerando todas as decisões que os fabricantes precisam tomar todos os dias, a segurança cibernética não está no topo de seu radar”, diz Elliot Forsyth, vice-presidente de operações comerciais do Michigan Manufacturing Technology Center, em um artigo para Advanced Manufacturing.

Conversamos com especialistas do setor sobre o estado da segurança na fabricação de hoje – e para onde está indo.

Ataques cibernéticos industriais:violações de dados, espionagem cibernética e muito mais

A internet é uma ferramenta fantástica e uma benção para os negócios. Mas também é um local de atividade criminosa onde fraudes, resgates, roubos e manipulação de sistemas acontecem com muita frequência.

A fabricação não foi poupada de problemas de segurança. Os setores industriais, incluindo petróleo e gás e segmentos de infraestrutura crítica, como usinas elétricas e nucleares, também precisam reforçar sua segurança. Em 2018, empresas petroquímicas foram hackeadas na Arábia Saudita com a intenção de sabotar a operação e causar explosões.

Este é um caso extremo, é claro, mas pode acontecer. A maioria dos incidentes de segurança tem como alvo informações financeiras e propriedade intelectual.

“É um espaço muito inseguro”, diz John Livingston, CEO da Verve Industrial Protection. “A maioria dos fabricantes geralmente desconhece o problema ou não tem recursos internos [para lidar com isso]. … Por um lado, muitos dependem de serviços em nuvem e, por outro lado, contam com sistemas operacionais antigos em seus ambientes que não são corrigidos.”

Em 2018, houve 352 incidentes de segurança na fabricação e 87 deles tiveram uma divulgação de dados confirmada, de acordo com o “Relatório de Investigações de Violação de Dados de 2019” da Verizon, que é um dos estudos mais abrangentes publicados anualmente.

“Pelo segundo ano consecutivo, os ataques com motivação financeira superam a ciberespionagem como o principal motivo de violações na fabricação e, este ano, por uma porcentagem mais significativa (diferença de 40%)”, concluem os autores do relatório da Verizon. “Se isso fosse em qualquer outra vertical, não valeria a pena mencionar, pois o dinheiro é o motivo da grande maioria dos ataques. No entanto, a fabricação sofreu um nível mais alto de violações relacionadas à espionagem do que outras verticais nos últimos anos.”

Se o objetivo é o pico de produção e fabricação de peças, há pouca dúvida de que a tecnologia está desempenhando um papel central para ajudar as empresas a atingir seus objetivos. A coleta e o monitoramento de informações precisas da máquina estão se tornando cada vez mais essenciais para atingir o desempenho máximo.

As lojas de empregos geralmente estão conectadas à Internet, e os aplicativos que os funcionários usam, incluindo e-mail, sites e aplicativos móveis, podem ser a abertura de que os invasores precisam para obter informações ou propriedade intelectual de funcionários e empresas. Essas informações podem incluir bibliotecas de especificações de peças que um fabricante de equipamento original gostaria que não estivessem nas mãos de concorrentes e um governo não gostaria que outras nações tivessem.

“Os fabricantes devem realizar uma avaliação de risco de suas operações”, diz Koushik Subramanian, consultor estratégico do National Center for Cybersecurity in Manufacturing, em um artigo para Advanced Manufacturing. “O risco pode ser técnico – encontrado em máquinas, controles ou software, e também encontrado em pessoal, práticas e processos. O risco assume muitas formas diferentes, mas a mais comum é de ataques cibernéticos em que indivíduos ou grupos mal-intencionados tentam invadir sistemas aproveitando o elo mais fraco:as pessoas. Essa é a razão pela qual o phishing e o ransomware são tão populares e porque os ataques estão em alta.”

Para lojas menores, gerenciar computadores geralmente significa contratar empresas externas de tecnologia da informação, também conhecidas como empresas de “TI”, para ajudar. Para fabricantes de médio e grande porte, isso pode significar alguma forma híbrida de equipe interna de TI e ajuda adicional de empresas externas para os problemas de tecnologia mais complexos.

“A maior parte da indústria está passando por essa fase de conscientização”, diz Livingston. “Eles estão começando a entender que há um problema. Mas eles estão se perguntando:'Como eu coloco meus braços ao redor do mundo que nunca foi realmente gerenciado como uma infraestrutura baseada na Internet antes?'”

  Você precisa de uma pergunta técnica respondida? Pergunte à equipe técnica da MSC Metalworking no fórum.

Agentes de mudança:padrões, financiamento estatal e serviços de terceiros

O Instituto Nacional de Padrões e Tecnologia é o órgão que regula a infraestrutura crítica e faz as regras para as indústrias aeroespacial e de defesa. Em 2016, o NIST publicou a SP 800-171, que contém as regras para “Proteção de informações não classificadas controladas em sistemas e organizações não federais”.

Os padrões incluem controles de segurança rígidos que podem afetar OEMs e subcontratados de defesa de todos os tamanhos. Se uma empresa não estiver em conformidade, provavelmente não poderá licitar o trabalho.

“Para a maioria dos fabricantes que não estão em infraestrutura crítica, perder um dia de produtividade por causa de um problema de segurança não é uma emergência nacional, mas prejudica seus resultados financeiros”, diz Scott Sawyer, diretor de tecnologia da Paperless Parts. “Onde isso está realmente entrando em jogo é a propriedade intelectual. O Departamento de Defesa realmente se preocupa com essa área.”

Está impactando fabricantes de todos os tamanhos.

“Mesmo as empresas de 100 a 200 pessoas estão lutando com isso”, diz Sawyer. “De repente, eles precisam descobrir como vão se tornar compatíveis.”

Como as empresas estão lidando? Alguns que estão tentando manter contratos ou atrair novos com a indústria de defesa estão trazendo consultores – e estão implementando programas de segurança. As economias estaduais e locais podem ser adversamente afetadas por esses tipos de regulamentações. Pode ser caro. Assim, as organizações estão oferecendo financiamento para ajudar as empresas a se tornarem compatíveis com os padrões de segurança por meio de parcerias de extensão de fabricação (MEP).

Para saber mais sobre os esforços do Departamento de Defesa e o NIST, assista a este vídeo.

É uma boa notícia para quem está por dentro do problema de segurança, mas a maioria dos fabricantes ainda está no escuro. Especialmente lojas menores, explica Sawyer.

“Alguns têm uma falsa sensação de segurança. Acham que não correm risco porque são pequenos e fora do comum e sua localização física é rural, não têm muitos funcionários e mantêm um perfil de marketing baixo”, diz Sawyer. “Mas, você sabe, isso é exatamente, em certo sentido, o que poderia torná-los um alvo. Eles são um alvo mais fácil do que um Lockheed Martin, Raytheon ou Northrop Grumman porque não têm segurança.”

Essas empresas maiores são alvos, mas também são muito mais sofisticadas em lidar com especificações confidenciais e segurança física, explica Sawyer. Sawyer saberia - ele trabalhou na indústria de defesa por vários anos antes de se mudar para a manufatura.

As empresas de defesa educam seus funcionários para não falar sobre o trabalho quando saem da fábrica. Muitos são instruídos a deixar o crachá de trabalho fora de vista quando saem. Mas mesmo esses esforços não impediram invasores motivados de obter propriedade intelectual importante.

“Se você acredita na fabricação americana e é patriota, parte disso deve incluir o cuidado com a segurança da informação”, diz Sawyer.

Como sua loja está lidando com a segurança hoje? Você está se preparando ou no modo “ignorância é felicidade”? Fale sobre isso no fórum. [registro obrigatório]