Hoje as empresas vêm cada vez mais se preocupando com a segurança dos seus funcionários. Porém, os trabalhadores dentro das plantas não são a única preocupação das organizações, a infraestrutura física, as instalações, a continuidade do negócio e a sociedade são também englobados dentro de políticas de segurança e riscos.
Entretanto existe um sistema crítico em muitas empresas que vem sendo continuamente negligenciado, apesar de ser óbvio a necessidade de se garantir a sua segurança. Este artigo analisa riscos a segurança das organizações oriundo de um tipo mais atual de ameaça, aqueles que atacam os ativos de eletrônicos e o se propagam pela internet, pendrives, CDs, DVDs, Email e etc. Trataremos então de ciberataque (hackers, crackers, black hat, etc) sob a perspectiva de sistemas de controles de automação.
Os sistemas de supervisão e controle vem se modernizando a cada dia. Quando eu iniciei minhas atividades no desenvolvimento de Sistemas de Supervisão e Controle os ativos (CLPs, sensores, atuadores, softwares, etc) desses ambientes normalmente se encontravam em redes que estavam logicamente e fisicamente separadas das redes corporativas e, principalmente, das redes com acesso a internet. Hoje isso já não é mais possível, os sistemas de controle moderno demandam que os dados sejam compartilhados entre outros setores da empresa alguns desses setores em locais fisicamente distantes, como outras filiais localizadas em outras cidades e até mesmo em outros continentes.
Temos então hoje o cenário perfeito para que hackers (O termo correto seria cracker ou mesmo black hat, mas isso é assunto de outro artigo) e todo tipo de possíveis ameaças não invadam roubem ou destruam somente sistemas empresariais, mas temos agora um ambiente que pode pôr em risco pessoas e instalações que estejam envolvidas com esse tipo de sistema, imagine o que um criminoso mal intencionado poderia fazer ao tomar controle de uma fábrica de explosivos, ou tomar controle das comportas de uma represa que fica nas proximidades de uma pequena cidade, ou refinarias de petróleo, os exemplos são vastos e alarmantes. Este artigo é o primeiro de uma série de artigos que procura analisar os tipos de sistemas de supervisão e controle, suas principais vulnerabilidades e os métodos mais imediatos de combate às invasões cibernéticas e outro tipo de ameaças de segurança.
Introdução
Hoje um grande desafio é a segurança de sistemas de supervisão e aquisição de dados (SCADA), sistemas controle de tempo real, internet das coisas e da IIOT. Ameaças de altas complexidades como o Stuxnet, Blackenergy e DragonKnight são ameaças relativamente recentes e estão se aproveitando de sistemas projetados em um momento em que a segurança de sistemas de controle não era uma premissa importante a ser considerada. Mesmo atualmente a segurança é menosprezada como um fator menor a ser analisado, eventualmente a mídia especializada relata sistemas conectados à internet sem nenhum tipo prévio de análise de segurança ou mesmo fabricantes de equipamentos que não possuem nenhum tipo de proteção ou análise de vulnerabilidades.
É nesse contexto que podemos observar diferença críticas no papel da segurança em sistemas do tipo SCADA, IoT e IIoT versus segurança associados à sistemas empresariais. Uma organização pode ser mais preocupado com espionagem industrial, roubo de dados financeiros ou informações estratégicas, ou simplesmente negação de serviço em sistemas de TI (DDOS). Apesar destas destes riscos serem altamente alarmantes para uma empresa, eles são diferentes dos riscos associados a sistemas de controle e sistemas do tipo SCADA, nestes o impacto pode ser a perda do controle da plantas, parada de máquinas e sistemas produtivos e em casos extremos podem significar a morte de funcionários e de pessoas no entorno das instalações. Sem contar que sistemas de controle, principalmente do tipo SCADA são também vulneráveis a perda de registros históricos, problemas com integridade dos dados e outras ameaças comuns a sistemas empresariais também.
Uma visão geral do problema
A verdade é que em muitos casos controles de segurança utilizados pelo setor de TI podem e devem ser usados como forma de mitigar os riscos de plantas controladas e monitoradas. Em contrapartida, porém, pode não ser prático e nem mesmo seguro aplicar controles de segurança que seriam básicos em um rede ou instalação empresarial, por vários fatores, entre eles o grau de preocupação do pessoal que trabalha com sistemas de controle e automação.
Os riscos comuns de segurança incluem ameaças no local de trabalho, violência, roubo, sabotagem, ataques terroristas, transgressão, destruição de produção, vandalismo e contaminação. Porém muitos desses riscos dizem respeito ao acesso físico de instalações e mesmo tornando a segurança perimetral da planta mais rígida, não vai impedir ataques cibernéticos. O ataque cibernético pode ser realizada a partir de outro país, utilizando de tecnologias de camuflagem tornando impossíveis de serem rastreadas e detectadas sem a devida planejamento.
De forma resumida, um indivíduo mal intencionado sem nenhuma técnica de engenharia social poderia usar SHODAN para determinar o número IP de um sistema SCADA localizado do outro lado do mundo. Baixar o código de exploração de vulnerabilidades para os sistemas do tipo SCADA da Metasploit e, realizar o ataque através da rede TOR garantindo o seu anonimato, talvez dentro de algumas horas.
Portanto, as empresas precisam implementar soluções novas e inovadoras que cobrem todo o escopo dos requisitos de segurança em diferentes contextos e cenários.
Nos próximos artigos iremos falar sobre:
- Os riscos em diferentes sistemas de controle e diferentes protocolos;
- Tipos de ataques a sistemas SCADA;
- Vulnerabilidades e ações de defesa;
- Respostas a incidentes e a riscos;
originalmente publicado em: https://www.linkedin.com/pulse/seguran%C3%A7a-da-informa%C3%A7%C3%A3o-em-sistemas-de-supervis%C3%A3o-e-ab%C3%ADlio/?trackingId=kGCL%2BURqGtMPhUOErciGCw%3D%3D