Em um mundo de conectividade onipresente, o equipamento confiável é essencial para ambientes de rede seguros. No entanto, à medida que mais fabricantes e setores desenvolvem e implementam dispositivos inteligentes da Internet Industrial das Coisas (IIoT), a segurança dos sistemas que fornecem operações essenciais se torna mais importante e mais difícil de gerenciar. Essas complexidades são devidas, em parte, à falta de um padrão global de cibersegurança e de avaliação de conformidade aceito para validar os produtos conectados.
Hoje, países do mundo inteiro desenvolvem requisitos sem levar em consideração a conformidade global. Essa lacuna de conformidade dificulta a determinação de padrões que o fabricante deve criar e seguir, principalmente à medida que os produtos são fabricados e vendidos em todo o mundo. Com isso, acredito que parceiros do setor e órgãos de padrões devem tomar medidas proativas para codificar as expectativas de segurança e as melhores práticas para ecossistemas de IIoT. Isso ajudará a garantir que a segurança seja fortalecida de forma consistente nos produtos e, consequentemente, economizará bilhões de dólares no projeto do sistema e nos custos de recuperação contra ataques cibernéticos.
Com o aumento da integração dos dispositivos de IIoT em sistemas e soluções legados, as infraestruturas críticas e outras redes de sistema de controle industrial ficam mais vulneráveis a ataques cibernéticos que são cada vez mais difíceis de mitigar. Atualmente, a perda geral causada pelo crime de cibersegurança é estimada em US$ 600 bilhões1, 0,8% do PIB global. Vários incidentes nos últimos anos manifestados em uma série de graves violações de segurança que atraíram a atenção mundial, o malware “Industroyer” ou “Crash Override” em 2015 que esmagou a rede elétrica ucraniana, e os enormes ataques de botnet de Mirai em 2016, que comprometeu as câmeras e os roteadores de segurança da IoT lançando vários ataques de negação de serviço distribuídos.
As características exclusivas das tecnologias de IIoT apresentam desafios técnicos e econômicos. De uma perspectiva técnica, os dispositivos de IIoT têm recursos de computação e armazenamento limitados; eles não são projetados para suportar medidas de segurança eficazes, como criptografia ou vulnerabilidade avançada e gerenciamento de patches. A solução para este desafio requer o desenvolvimento de algoritmos criptográficos leves e modelos de negócios que permitem atualizações mais oportunas para produtos de IIoT, além da projeção de sistemas para suportar atualizações de firmware over-the-air. Na minha opinião, a segurança de uma rede ou de um sistema é tão forte quanto seu elo mais fraco. As organizações devem aplicar a higiene básica da cibersegurança e analisar continuamente as ameaças emergentes para garantir que os sistemas sejam implantados com segurança. Além disso, as empresas devem fazer um inventário de tudo o que está conectado às suas redes e empregar um modelo de confiança zero. Isso exigirá parceria e colaboração com fornecedores confiáveis para identificar ameaças.
Embora as soluções mencionadas sejam viáveis, a falta de padrões para produtos globais em relação à segurança de IIoT retarda drasticamente a adoção e a implementação dessas opções. Padrões, diretrizes e regulamentos de segurança cibernética descoordenados de várias entidades, em todo o mundo, dificultam (se não impossibilitam) o alinhamento dos requisitos universais de segurança cibernética de IIoT para os fabricantes. Muitos países, regiões e governos de nível local desenvolvem suas próprias práticas recomendadas e seus próprios padrões de cibersegurança para dispositivos de IIoT e infraestruturas críticas, criando uma falta de paridade. Em muitos casos, esses órgãos governamentais não têm o conhecimento necessário para contabilizar as complexidades dos dispositivos de IIoT e suas respectivas aplicações.
Além disso, os padrões e requisitos de cibersegurança são altamente fragmentados por região e país, pois os governos começaram a regular as tecnologias de IIoT de maneiras muito diferentes e, às vezes, conflitantes. Isso cria desafios para os fabricantes e integradores de sistemas que tentam criar e implementar serviços para um mercado global.
Os órgãos do setor e de padrões devem apoiar os programas de avaliação de conformidade adequados para ajudar a validar os requisitos globais de produtos e sistemas e resolver as complexidades do cumprimento com os vários requisitos de diferentes países e regiões.
Acredito piamente que os órgãos de padrões podem liderar os esforços em desenvolvimento de padrões globais de cibersegurança de IIoT, incluindo programas de avaliação de conformidade apropriados. Os padrões globais também prepararão o caminho para parcerias corporativas e acadêmicas; essas relações ajudarão a construir o fluxo de talentos mais forte necessário para lidar com a falta de mão de obra qualificada na cibersegurança e, especialmente, na IIoT.
Acredito piamente que os órgãos de padrões podem liderar os esforços em desenvolvimento de padrões globais de cibersegurança de IIoT, incluindo programas de avaliação de conformidade apropriados.
O desafio à nossa frente é gerar mais diálogo entre os órgãos de padrões levando conhecimento aos fabricantes, fornecedores e consumidores de IIoT em relação aos riscos associados a produtos e soluções não seguros. Embora eu acredite que os órgãos de padrões possam ajudar a orientar conversas sobre segurança cibernética, a cibersegurança em si é um esforço colaborativo – e a colaboração leva tempo, especialmente nos setores que reagem mais lentamente aos avanços tecnológicos.
À medida que os setores começam, lentamente, a impulsionar a segurança cibernética, há etapas que os proprietários de negócios e gerentes de instalações podem tomar hoje para reduzir os riscos de cibersegurança em sistemas e redes:
Integrar a cibersegurança ao projeto e ao desenvolvimento dos produtos
A segurança é uma jornada contínua. Complexidades do produto, cenários de ameaças e tecnologias evoluem; por isso, é crucial ter protocolos em vigor para cada fase do ciclo de vida de desenvolvimento dos produtos – desde a modelagem de ameaças até a análise de requisitos, a verificação e a manutenção contínua. Esses procedimentos auxiliam as organizações a detectar ameaças emergentes, identificar maneiras de se defender contra elas e ajudar os clientes a maximizar a eficiência, a confiabilidade e a segurança. O processo de Ciclo de Vida de Desenvolvimento Seguro (SDLC) da Eaton é um excelente exemplo de modelo em que a segurança é integrada em cada fase do desenvolvimento do produto.
Aplicar a higiene básica de cibersegurança nas redes
A higiene básica da cibersegurança garante a manutenção de um inventário atualizado de ativos e o conhecimento sobre o que está conectado a uma rede. Isso deve incluir ativos físicos e de dados, aplicação de patches quando vulnerabilidades forem descobertas, garantia de políticas de controle de acesso fortes e garantia de monitoramento contínuo de logs e sistemas para identificação de comportamentos anormais. As organizações também devem trabalhar para programar uma série de atualizações de cibersegurança com base em suas avaliações de nível de risco realizadas em cada patch de segurança.
Colaborar com organizações de terceiros que tenham conhecimento
Desenvolver procedimentos rigorosos em cada estágio do desenvolvimento de produtos ajuda a estabelecer critérios mensuráveis de cibersegurança para produtos e sistemas conectados à rede. Parcerias com terceiros confiáveis podem ajudar as organizações a expandir suas práticas recomendadas de cibersegurança, pois essas instituições muitas vezes criam diretrizes amplamente aceitas na comunidade internacional. Nossa colaboração com o UL é um modelo de trabalho, pois a Eaton agora testa produtos com inteligência ou lógica incorporada aos principais aspectos dos padrões UL 2900-1 e IEC 62443, que exigem protocolos de teste obrigatórios para verificação de vulnerabilidades, fragilidades de software e malware.
Os fabricantes não podem mais operar sob diferentes padrões de segurança. Os criminosos cibernéticos e as tecnologias usadas continuam evoluindo; além disso, os diversos padrões não têm a uniformidade necessária para combater as ameaças mais recentes.
Chegou a hora de conduzir uma avaliação de conformidade global para a cibersegurança entre os setores. Setores e órgãos de padrões em todo o mundo devem acelerar o diálogo necessário para abordar os desafios atuais da cibersegurança e acompanhar o ritmo das tecnologias em mudança antes que seja tarde demais para se recuperar.
Referências
1, 2 - Lau, Lynette (fevereiro de 2018). A “pandemia” de cibercrime pode ter custado ao mundo US$ 600 bilhões no ano passado.Obtido de: https://www.csis.org/analysis/economic-impact-cybercrime.
Enviar e-mail
