← Voltar para a categoria TI, Gerenciamento de Sistemas e Software

As novas diretivas da UE podem aumentar a segurança cibernética industrial?

A segurança cibernética não é um novo tópico, mas é cada vez mais um fator central na moderna gestão de riscos no setor industrial. No entanto, não se trata apenas de gerenciamento de risco, mas também de responsabilidade pessoal.

As ameaças relacionadas à produção, como perdas de produção, qualidade prejudicada ou atrasos de entrega, não são mais os únicos riscos. A gestão e a privacidade dos dados são igualmente importantes em qualquer ambiente de produção responsável e moderno. Isso deve ser apoiado por padrões de gerenciamento bem organizados e estruturas que podem lidar com a ameaça em constante evolução de ameaças cibernéticas.

Este artigo discute como a indústria moderna está ameaçada por ameaças cibernéticas e descreve novas diretrizes da UE e padrões orientadores que incentivarão e ajudarão as empresas a se adaptarem.

Por Tom Lind, Vice-Presidente, Tecnologia e Novas Soluções, Industry Business Group, FINLÂNDIA (Autor correspondente) e Jonni Talsi, Engenheiro-chefe, Segurança Cibernética, Energy Business Group, SUÍÇA

Tom lind

Tom Lind

jonni talsi

Jonni Talsi

â € <O estado atual das ameaças cibernéticas no setor industrial

Ao considerar a segurança cibernética no setor industrial, os desafios são tradicionalmente associados à TI pessoal, automação de escritório, gerenciamento de negócios e ERP (Enterprise Resource Planning).

A maior parte dos incidentes não é intencional, causada pela falta de conhecimento de um indivíduo. Esta falha óbvia pode ser alterada aumentando a conscientização cibernética do seu pessoal com um programa de treinamento suficiente, que abrange os conceitos básicos de phishing por email, anexos maliciosos e fraudes eletrônicas.

Os benefícios do aumento da digitalização ou automação no setor industrial são bem conhecidos. O que é menos conhecido é como os Sistemas de Controle Industrial (ICS) podem se tornar um alvo para ataques cibernéticos. Ciber-ataques recentes estão usando malwares para perturbar ou assumir o controle de infra-estrutura crítica como subestações elétricas.

Também não é apenas infra-estrutura; também há relatos de que hackers também estão atacando sistemas de segurança (1). Esses números crescentes de incidentes sublinham o fato de que o ICS está sendo cada vez mais alvo de ataques cibernéticos.

O setor industrial, especialmente as plantas de processo (alimentos, produtos químicos, produtos florestais, etc.) são vulneráveis ​​a ataques cibernéticos de fontes conhecidas e desconhecidas. Ciber-ataques bem sucedidos podem levar a perda de produção, tempo de inatividade não planejado (resíduos de qualidade de produção), distúrbios nos processos de caixa a pedido e à cadeia de suprimentos.

O impacto não se limita apenas aos processos de produção. A tecnologia de construção, como sistemas de controle climático, sistemas de controle de acesso controlados remotamente e redes de vigilância pode ser surpreendentemente vulnerável.

O dano a essas tecnologias também pode prejudicar a produção indiretamente ou mesmo ter um impacto catastrófico no ambiente ou comunidade local. Por exemplo, um ataque aos sistemas de aquecimento, ventilação e ar condicionado (HVAC) em um hospital ou laboratório pode afetar diretamente a saúde das pessoas.

Compreender como a digitalização pode afetar o bem-estar das pessoas precisa ser entendido, gerenciado e protegido em conformidade. A jornada começa pela avaliação de partes críticas da infra-estrutura e tecnologia de construção.

Ao avaliar processos industriais, é vital:

- Esteja ciente e compreenda possíveis incidentes cibernéticos -

Avalie e identifique "meus riscos e como eles são tratados" -

Compreenda o tempo e esforço necessários para recuperar de volta à produção após um ataque cibernético

- Construa e aumente a sua capacidade de resiliência

Muitas vezes, não há planos claros. As cópias de segurança não são testadas e mesmo distúrbios menores podem facilmente causar situações de recuperação caóticas. Isso destaca por que as ameaças cibernéticas devem ser um elemento padrão da sua estratégia geral de gerenciamento de riscos no setor industrial.

Sobre as próximas mudanças nas diretivas de segurança cibernética - "o que há para mim?"

No 1995, a União Europeia introduziu a "Diretiva de proteção de dados" (Diretiva 95 / 46 / CE) para regular o processamento de dados pessoais para atender às leis de privacidade e direitos humanos. No entanto, a partir de maio 25 2018, novas diretivas entrarão em vigor.

O "Regulamento Geral de Proteção de Dados" (GDPR) substituirá as diretrizes anteriores. O objetivo do GDPR é proteger os cidadãos da UE das violações de privacidade e dados, incluindo penalidades pesadas por violações. Dentro desta nova diretiva, há medidas que procuram proteger as operações industriais (2). Esses incluem:

  • As autoridades devem ser notificadas dentro de 72hrs de primeiro conhecimento de uma violação de segurança cibernética. Isto aplica-se não só à unidade de produção, mas também aos seus clientes, fornecedores e outras partes interessadas.
  • Qualquer pessoa, cujos dados são geridos por um controlador de dados (por exemplo, dados de clientes registrados), pode, a qualquer momento, gratuitamente, obter uma confirmação relacionada ao uso de dados.
  • Os controladores de dados precisam apagar os dados pessoais uma vez que perdeu seu objetivo original, já não são relevantes ou o sujeito de dados retira o consentimento.
  • A proteção de dados deve ser incluída no início do projeto de sistemas, em vez de uma adição. Deve ser do mais alto padrão e proteger a privacidade de qualquer assunto em causa
  • Estabelecimento e nomeação de um agente de proteção de dados (DPO) O que é evidente com essas novas medidas é o nível de maior transparência para o processamento de dados, tentativas de ataques cibernéticos ou violações. Não haverá esconderijo se ocorrerem erros que possam prejudicar a reputação de uma empresa. Portanto, apenas ter um papel de gerente de TI tradicional não será mais suficiente. Esses novos desafios significam que é necessário nomear um Diretor de Segurança da Informação (CISO).

Confiabilidade

O aumento da digitalização na produção significa que existe uma maior interação entre diferentes sistemas que são controlados ou monitorados através de algoritmos baseados em computador. As redes de sensores sem fio, medindo algo em um determinado ambiente e transmitindo isso para uma unidade central (por exemplo, sistemas de aviônica de piloto automático) são aplicações típicas nesta área.

Tudo isso é combinado com a interação humana. Todas essas peças móveis criam sistemas cibernéticos (CPS). O CPS precisa ser incorporado nas práticas de gerenciamento de risco (3).

A confiabilidade é parte integrante do conceito da CPS, com aspectos de segurança, privacidade, segurança, confiabilidade e resiliência. A confiabilidade deve ser um requisito básico de qualquer site industrial moderno e um pré-requisito para o fabrico sustentável e avançado e para o ambiente empresarial digital.

Do ponto de vista da gestão de riscos, a combinação do GDPR e a confiabilidade podem ser realizadas fazendo o seguinte:

  • A CPS pode incluir componentes físicos, analógicos e cibernéticos. Os engenheiros devem determinar como avaliar o impacto de suas escolhas em termos de métricas de trade-off de vários níveis
  • Risco de segurança, operacional e de reputação
  • Segurança, taxas de erro (existe a possibilidade de que os dados possam ser usados ​​contra o processador?)
  • Confiabilidade, taxas de falha
  • Privacidade, taxas de divulgação indesejadas
  • Resiliência, taxas de recuperação

O planejamento de resiliência é feito para mitigar contra um ataque e ajudar com a recuperação. A recuperação de dados após uma violação de segurança deve ser planejada com um processo claramente definido. Idealmente, isso deve ser praticado também. Em muitos casos, as rotinas de backup de dados limpas podem ser a diferença entre uma recuperação rápida e uma catástrofe total. A chave é a rapidez com que isso pode ser feito para mitigar danos (por exemplo, perdas de produção).

Transformando teorias em prática

O padrão ISO 27001 é um padrão comumente conhecido e amplamente utilizado para gerenciamento de segurança da informação e define seus riscos relacionados. Este padrão tradicionalmente foi considerado mais como um padrão de gerenciamento de TI, mas em ambientes com crescente digitalização, não pode mais ser utilizado em instalações de produção modernas.

ISA99 / IEC62443 enfatiza os sistemas de controle industrial em quatro camadas diferentes (Geral, Políticas e Procedimentos, Sistema e Componente). Além disso, o ISA99 / IEC62443 representa uma abordagem mais avançada da segurança cibernética industrial, abordando especificamente a perspectiva de ciber segurança para controle de sistemas. (4)

Com uma selva de padrões, diretrizes e estruturas; selecionar o caminho certo para sua empresa e a configuração industrial é fundamental. Somente uma vez que você selecionou os mais relevantes, você pode estabelecer as bases da sua segurança cibernética do ICS. Igualmente importante é a capacidade de manter e desenvolver sua segurança cibernética. Pöyry desenvolveu uma abordagem simples para fazer isso, como ilustrado no fluxograma abaixo:

Abordagem de melhoria contínua à segurança cibernética industrial

Figura 1. Abordagem de melhoria contínua para processar plantas da indústria (5).

Gestão de ativos e segurança cibernética

As indústrias de processamento ou produção são, tipicamente, empresas muito intensivas em ativos. Do ponto de vista do proprietário, há uma grande quantidade de incerteza e risco que é considerado no futuro portfólio de produção e ambiente de negócios.

Eles têm que considerar importantes fatores externos, como a economia global, as mudanças de demanda / oferta, o preço das matérias-primas, as restrições dos funcionários, a política, etc. O gerenciamento de ativos moderno inclui uma série de questões desafiadoras, tais como:

- Como manter ativos e ainda atender a todos os objetivos operacionais, de sustentabilidade e de negócios estabelecidos?

- Qual é a demanda de investimento anual necessária para atender a qualquer um dos objetivos?

- Devemos substituir ou reconstruir?

- Como podemos atenuar os riscos relacionados a ativos associados a cenários de mercado futuros pouco claros?

Como você pode ver, há um enorme montante que o proprietário tem que contemplar e gerenciar. Mas é vital que a segurança cibernética tenha uma consideração igual. Portanto, qualquer plano de gerenciamento de ativos deve incluir CPS. Por exemplo, as atualizações de geração de equipamentos não podem apenas incluir remodelação ou modernização de hardware.

Tem que incluir ICS de segurança cibernética (por exemplo, privacidade de dados). Normalmente, os gerentes de negócios tendem a se concentrar na redução de custos e eficiência de tempo. Enquanto isso, as práticas de aquisição no processamento se concentram mais nos custos de ativos diretos, sendo a manutenção e as despesas operacionais secundárias.

Muitas vezes, a segurança cibernética cai na agenda. No entanto, a falta de construção da segurança cibernética na fase de investimento significa que a sua nova fábrica moderna será de fato antiga e ineficiente a partir do primeiro dia.

Resumo

Já não é suficiente apenas fornecer eficiências ou sustentabilidade avançada. A integração da digitalização em operações industriais está expondo dramaticamente processos industriais a riscos de segurança cibernética desconhecidos. O gerenciamento de ativos tradicionais por si só não pode garantir sua segurança.

No entanto, todos esses desafios podem ser gerenciados, mas requer uma abordagem sistemática, enquanto melhora e atualiza continuamente. Uma estrutura adequada para o próprio negócio de todos deve ser escolhida, mas estar bem planejado não é suficiente se os planos não estiverem habilitados. Isso faz a diferença. Pode-se reformular este fato da seguinte forma: "A segurança cibernética é uma jornada, não um destino!"

Agradecimentos

Os autores desejam agradecer o valioso apoio do Sr. Petri Kankkunen por comentários valiosos sobre o conteúdo deste artigo.

caso

1 www.ics-cert.kaspersky.com/wp- conteúdo / uploads / sites / 6 / 2017 / 10 / KL-ICS- CERT-H1- 2017-report-en.pdf

2. www.eugdpr.org/key-changes.html

3. www.nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-201.pdf

4. www.en.wikipedia.org/wiki/Cyber_security_standards

5. www.poyry.com/cybersecurity

Informador de Indústria de Processos

Notícias relacionadas

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.