Notícia 

Webinar promovido pela Abiquim discutiu segurança cibernética

A Abiquim promoveu nesta quarta-feira, 24 de agosto, o sétimo webinar em comemoração aos 30 anos do Programa Atuação Responsável. Dois especialistas falaram sobre A Gestão da Segurança de Processos e a Interface com a Segurança Cibernética e sua integração com a segurança nos processos industriais.

André Passos Cordeiro, Diretor de Relações Institucionais e Presidente Executivo em exercício da Abiquim, abriu o webinar, lembrando que essa sequência de lives vai culminar no 18º Congresso do Atuação Responsável, em 5 de outubro. Segundo ele, o objetivo do programa é tornar todos os parceiros da Abiquim ambientalmente responsáveis e a indústria química brasileira como uma das mais sustentáveis do mundo.

O primeiro palestrante foi o especialista em tecnologia da informação e professor da Universidade de Brasília, Rafael Rabelo Nunes, que falou sobre a importância da cibersegurança para as empresas e entidades público-privadas. Segundo ele, desde o início da pandemia os incidentes de segurança vêm acontecendo com grande repercussão. “Várias marcas e organizações foram impactadas com incidentes de grandes proporções desde 2020. Isso acontece porque tudo está caminhando para ser inteligente”, alertou. Temos cidades inteligentes, carros inteligentes, agronegócio inteligente, casa inteligente e isso também ocorre na indústria: sensores coletam dados sobre temperatura, pressão, acionam válvulas, e isso exige uma rede interconectada e essa rede tem a mesma tecnologia da rede de computadores que usamos. Esses sensores coletam informações, geram dados e isso é viabilizado pela tecnologia 5G. “Se tenho condição de fazer o controle remoto, existe também a possibilidade de haver incidentes”, alertou.

O risco cibernético é a classe de risco que mais preocupa os gestores de riscos corporativos, seguido por riscos de compliance, operacionais, de resiliência das operações e riscos financeiros. Os atacantes são hackers, nome genérico para designar a pessoa que tem habilidade para invadir sistemas. Em geral são excelentes programadores e conhecedores da arquitetura de redes, computadores, sistemas.

Segundo Nunes, a origem das vulnerabilidades pode ser muito intrigante. “No Log4Shell os hackers aproveitaram a vulnerabilidade extremamente crítica desse componente Java, muito utilizado até em segurança. Essa vulnerabilidade permite ter acesso de ?administrador-root? no servidor que hospeda o serviço. Ele foi descoberto no final de 2021. Era uma vulnerabilidade existente há décadas”.

Segurança da informação é a proteção da integridade, da disponibilidade, da confidencialidade da informação. A integridade significa que só pessoas autorizadas podem modificar a informação; a disponibilidade é estar acessível quando ela for necessária. A segurança cibernética é o espaço cibernético, é um ambiente complexo resultante da interação de pessoas, ressaltou o professor da Universidade de Brasília.

Nunes indicou o site www.cybok.org onde se pode obter gratuitamente orientações a respeito do tema. “São tópicos como segurança nos dispositivos móveis, na web, segurança de redes, criptografia, aspecto humano e regulação, privacidade, gerenciamento de riscos e muitos outros conteúdos com o que precisa ser feito para se atingir a segurança na área industrial.” Segundo ele, deve-se encarar a segurança cibernética como mais uma área de risco, já que não existe 100% de segurança.

Os controles mínimos a serem implementados estão em normas como a ISO 27.000 e CIS Controls V8. Para Nunes, o mínimo que se deve fazer em termos de segurança é: 1) Manter todos os softwares atualizados; 2) Fazer o hardening (mapeamento) de todos os sistemas e dispositivos para mitigar os riscos de ataques; 3) Melhorar os processos de identificação e autenticação em serviços e sistemas.

O segundo palestrante foi o engenheiro eletrônico e Consultor da RSE Consultoria, Ruy Carvalho de Barros, que falou sobre as ferramentas de análise de risco. Ele disse que no cenário atual vê-se o crescimento no número de ataques às infraestruturas críticas, particularmente às instalações industriais. Para o especialista, vivemos ainda a indústria 3.0, em que sistemas de controle e de automação rodam em sistemas operacionais muitas vezes antigos, em que não se consegue fazer atualizações. E daí todos os sistemas têm vulnerabilidades.

“Quando falo de infraestruturas críticas falo dos segmentos industriais ligados à energia elétrica, de transportes, de produção de petróleo, gás natural, áreas de comunicação e TI, e em todas temos sistemas de controle e de supervisão que possuem vulnerabilidades”, disse Barros. Segundo ele, essas áreas de infraestruturas críticas são o alvo principal dos hackers/crackers. Antes os invasores queriam demonstrar que podiam invadir os sistemas, mas hoje é diferente. “Hoje o conceito da invasão é tirar algum proveito, fazer solicitação de pagamento de resgate em troca de infraestrutura, e durante a pandemia isso aconteceu de forma mais intensa”.

Ele citou também a questão relacionada à indústria 4.0 e sua integração com a tecnologia da automação (TO). Este processo de aumento da conectividade e integração, segundo Barros, funciona em ambientes de private clouds, de maneira que essa conexão em TO cada vez fica mais evidente e preocupante. E na medida em que isso ocorre o ambiente se torna mais propício a invasões.

Ataques à redes corporativas ocorrem por várias falhas, como firewalls mal configurados, alerta Ruy Carvalho Costa

Os mecanismos de ataque cibernético nas redes corporativas ocorrem por meio de conexões não autorizadas, firewalls mal configurados, laptops infectados, modems, drives USB, pela rede de PLCs, e por isso um plano de prevenção é fundamental.

O representante da RSE Consultoria mostrou gráficos com os impactos dos crimes cibernéticos, que vêm aumentando, principalmente nos últimos anos, e disse que diante desse novo cenário é importante entendermos que existe uma tarefa árdua a partir de agora: é preciso pensar no monitoramento e controle contínuo dos ciberataques nos sistemas de controle e automação, com o rastreamento de ações não oriundas da lógica do sistema. Outro ponto importante a ser pensado é que o projeto nasça inteligente, com soluções que permitam o crescimento dos sistemas de automação sem impacto na segurança dos processos da planta industrial.

Para o especialista, os Sistemas de Controle Industrial (SCIs) precisam ter uma preocupação em entregar essa solução. Ou seja, o fabricante tem que pensar numa arquitetura que preveja a possibilidade de ataques de hackers ou crackers, uma preocupação que ainda está fora do ambiente industrial.

Barros listou algumas normas, como ISA/IEC 62443, NIST 800-53, NERC CIP, ISO 27000, IEC 62351, IEC 61162-460 e informou que as diversas normas abrangem diferentes aspectos técnicos, detalhes de operação e mesmo a atuação dos prestadores de serviços. A ISA, sigla em inglês da Sociedade Internacional de Automação, foi a primeira a trabalhar com normas da segurança da automação e tem normas com grande abrangência, trabalhando também com certificação de produtos e na área de segurança.

Para o consultor, a norma mais importante em termos de cibersegurança é a ISA-99 /IEC/62443. Ele disse que já existem profissionais certificados no Brasil que podem refletir sobre o que suas instalações necessitam em termos de melhoria de projetos, e também melhorias nas redes de processos e redes corporativas.

Ao encerrar fez uma comparação entre duas normas: IEC 61508 com a IEC 62443. Mostrou a possibilidade de uso de ferramentas e diferentes camadas de segurança e camadas “não hackeáveis”. Ele concluiu a palestra alertando que a cibersegurança em sistemas de controle industrial complementa a segurança de processos e não a substitui.

Na parte do evento os palestrantes responderam perguntas dos participantes. A íntegra do webinar estará disponível no canal da Abiquim no Youtube dentro de alguns dias.

Publicado em 25/08/2022

Voltar para a relação de notícias