Versão em inglês: https://gca.isa.org/blog/cybersecurity-risk-assessment-according-to-isa-iec-62443-3-2

À medida que a segurança cibernética para automação industrial continua a evoluir, torna-se cada vez mais importante entender, avaliar e gerenciar os riscos de segurança cibernética. Ataques recentes, como o da Instalação de Tratamento de Água de Oldsmar, enfatizam ainda mais a necessidade de gerenciamento de riscos de segurança cibernética e demonstram como os incidentes cibernéticos têm o potencial de causar não só consequências financeiras como também significativas de segurança e ambientais.

O objetivo do gerenciamento eficaz da segurança cibernética deve estar em manter o sistema de automação industrial consistente com os critérios de risco corporativos. Em muitas organizações, a propriedade de preocupações de segurança cibernética em automação industrial cabe a engenheiros de controles ou cargos semelhantes, que podem ter tempo limitado disponível para se concentrar em questões de segurança, tornando essencial que o risco de segurança cibernética seja gerenciado de uma maneira eficiente em termos de tempo e eficaz.

O primeiro passo no gerenciamento de riscos é entender o nível atual de risco dentro de um sistema. O processo para realizar uma avaliação de risco de segurança cibernética, conforme descrito na norma ISA/IEC 62443-3-2, é dividido em duas partes:

• Avaliação Preliminar de Risco
• Avaliação Detalhada de Risco

Avaliação Preliminar de Risco

A Avaliação Preliminar de Risco (anteriormente referida como Avaliação de Risco de Segurança Cibernética de Alto Nível) é o ponto de partida para as atividades de análise de risco. Seu objetivo é definir o escopo de avaliações futuras, estabelecer o diagrama de zonas e conduítes, estabelecer metas iniciais de nível de segurança para dispositivos e identificar áreas de alto risco para posterior análise.

As etapas para completar esses objetivos em uma grande área de processos são detalhadas no fluxo de trabalho abaixo.

O método fundamental por trás da Avaliação Preliminar de Risco é que ela assume uma probabilidade de ameaça e se concentra em avaliar o pior cenário caso um ativo cibernético seja comprometido. Isso permite um método relativamente rápido para determinar as áreas de risco mais elevadas dentro de um sistema de automação. Este método fornece progressão fácil da definição de alvos em níveis de segurança do dispositivo para o estabelecimento de uma estratégia de segmentação de rede eficaz, agrupando dispositivos com requisitos de segurança semelhantes em zonas e separando zonas com dispositivos limite, como firewalls ou diodos de dados. A combinação dos resultados da Avaliação Preliminar de Risco com os requisitos de operacionalidade do sistema de automação leva a uma arquitetura de rede que suporta uma comunicação eficiente e segura entre dispositivos.

Embora o estabelecimento de uma segmentação de rede eficaz, conforme descrito acima, seja mais fácil em novos projetos,  os resultados da Avaliação Preliminar de Risco ainda fornecem benefícios para as instalações existentes, fornecendo uma compreensão dos ativos cibernéticos de maior risco no sistema de automação. Isso restringe o foco da Avaliação Detalhada de Risco às áreas que mais precisam dela, levando a uma redução no custo geral e no tempo necessário para as atividades de avaliação de risco de segurança cibernética.

Avaliação Detalhada de Risco

A Avaliação Detalhada de Risco de Segurança Cibernética é a segunda análise de risco realizada para segurança cibernética. Seu objetivo é obter uma compreensão definitiva do nível atual de risco dentro de uma instalação, considerando potenciais vetores de ameaça e medidas existentes/planejadas, garantir que os critérios de risco corporativo sejam atendidos e fornecer requisitos detalhados de segurança cibernética para cada zona.
As etapas para concluir uma Avaliação Detalhada de Risco em uma grande área de processo são detalhadas no fluxo de trabalho a seguir

O ponto de partida para a Avaliação Detalha de Risco é o resultado da Avaliação Preliminar de Risco. Além dos resultados da Avaliação Preliminar de Risco, os perigos completos da Análise Preliminar de Risco e os critérios de risco corporativo devem estar disponíveis se surgirem mais perguntas sobre a classificação de consequências para o local.
As outras informações para a Avaliação Detalhada de Risco são originadas na análise de vulnerabilidade. Isso pode ser feito como parte do método de Avaliação Detalhada de Risco ou antes do início da Avaliação Detalhada.

A análise de vulnerabilidade analisa a rede existente, dispositivos conectados, configurações, versões de software e fatores adicionais para identificar quais vulnerabilidades estão presentes atualmente em uma instalação e podem ser visadas por invasores. Isso fornece informações importantes para a Avaliação Detalhada de Risco ao considerar os pontos de acesso ao sistema e avaliar a probabilidade de um ataque bem-sucedido – e a facilidade com que um invasor pode se mover entre dispositivos na rede de controle.

O primeiro passo para a conclusão da Avaliação Detalhada de Risco é documentar os potenciais vetores de ameaça que forneceriam aos invasores acesso ao sistema. Dependendo da abordagem adotada, esta pode ser uma tarefa desafiadora. Vi avaliações em que os proprietários de ativos receberam uma lista de mais de 300 vetores de ameaças para revisar e identificar quais poderiam fornecer acesso ao sistema.

Embora essa abordagem esteja tentando ser abrangente, considerando vetores de ameaça detalhados, ela não é eficaz por algumas razões fundamentais. Primeiro, ao dividir os vetores de ameaça em tantas partes, a quantidade de tempo necessária para concluir a avaliação é muito maior, porque mesmo para vetores de ameaça que não se apliquem ao sistema em questão, muitas granularidades devem ser consideradas. Em segundo lugar, o nível de detalhes sobrecarrega completamente o pessoal da fábrica porque eles não estão familiarizados com os detalhes da análise de segurança cibernética e aí receberam centenas de termos novos que não entendem. Por fim, isso não acaba resultando em uma análise mais completa do sistema porque o pessoal da fábrica com o conhecimento necessário para avaliar o sistema não pode falar ao mesmo nível de granularidade que os vetores de ameaça selecionados.

Em vez de confundir bastante a primeira parte da avaliação de risco com centenas de vetores de ameaças individuais, é útil olhar para categorias gerenciáveis de ataques. Este método ajuda a fornecer uma visão completa das maneiras pelas quais os invasores podem acessar o sistema, mas ainda é compreensível para o pessoal da fábrica envolvido na avaliação de risco. O banco de dados Common Attack Pattern Enumeration and Classification (CAPECTM) fornece superfícies comuns de ataque que podem ajudar muito nesse processo. [1]

Se você estiver achando que nada no banco de dados “Common Attack Pattern Enumeration and Classification” parece fazer sentido, não se preocupe. Eles fornecem seis superfícies de ataque que podem ser entendidas por qualquer pessoa, independentemente de seu nível de experiência em segurança cibernética:

• Engenharia Social: acessar o sistema manipulando ou explorando pessoas
• Cadeia de Suprimentos: alterar o sistema durante a produção de componentes, armazenamento ou entrega
• Comunicações: bloquear, manipular ou roubar comunicações
• Segurança Física: acessar o sistema superando medidas de segurança fracas
• Software: acessar o sistema via vulnerabilidades em aplicativos de software
• Hardware: acessar o sistema manipulando o hardware físico de dispositivos de rede

Ao começar com categorias amplas e depois passar para o nível de detalhes necessário para avaliar as ameaças, uma Avaliação Detalhada de Risco pode ser mais eficiente e mais completa porque os funcionários com o conhecimento crítico para o sistema de controle poderão contribuir ativamente para a discussão e fornecer seu valioso conhecimento sobre o sistema. O nível de granularidade necessário é uma diferença fundamental entre as Avaliações de Alto Nível (Preliminar) e Detalhada de Risco.

Outra diferença da Avaliação Preliminar de Risco, em que a probabilidade foi assumida, é que a probabilidade de uma ameaça deve ser considerada. Ao determinar a probabilidade de um ataque, depois de considerar a superfície de ataque, geralmente é útil começar fazendo perguntas importantes sobre o agente de ameaça:

• Que agentes de ameaça poderiam executar este ataque?
• Internos ou externos?
• Habilidosos ou não?
• São necessários recursos a nível nacional?

As perguntas acima podem ser úteis para entender a probabilidade do ataque. Também é importante entender as diferenças entre a probabilidade de uma perspectiva de segurança funcional e a perspectiva de segurança cibernética.

Um engenheiro de controle deve considerar um evento de perda de contenção que tenha uma frequência tolerável de 10-4 anos, enquanto o pessoal de TI deve considerar as centenas de milhares de tentativas de invasões de segurança cibernética a cada ano. Devido à falta de atuais repositórios de incidentes de segurança cibernética bem conservados, é difícil estimar a probabilidade de eventos de segurança cibernética com o mesmo nível de confiança que as causas de uma avaliação de risco de segurança. Como resultado, a comunidade de segurança está um pouco dividida sobre a melhor abordagem para determinar a probabilidade na Avaliação Detalhada de Risco.

Alguns especialistas acreditam que – como a probabilidade não pode ser determinada com precisão – ela deve ser estimada, e apenas a gravidade da consequência deve ser usada para priorizar riscos. A outra abordagem é fazer estimativas conservadoras que considerem o nível de habilidade e acesso necessários para executar o ataque. Não há uma resposta simples, mas ao adotar qualquer abordagem, é importante manter o foco no objetivo da avaliação de risco de segurança cibernética: fornecer um panorama preciso do risco relativo de segurança cibernética para concentrar recursos nas áreas mais eficientes.

Em muitos casos, as consequências identificadas na Avaliação Preliminar de Risco podem ser aplicadas diretamente à Avaliação Detalhada de Risco, mas devem ser revisadas para garantir que sejam precisas e que nenhuma outra consequência possa resultar em um risco maior.

Após identificar pares de consequências de ameaças para um sistema, o próximo passo é identificar quais medidas estão em vigor para evitar um ataque bem-sucedido. Essas medidas seriam qualquer proteção que reduza a probabilidade de um ataque bem-sucedido.

Esta etapa pode ser alcançada reduzindo o potencial de um invasor acessar o sistema (isto é, usando firewalls/switches gerenciados e configurados corretamente, dispositivos com melhores capacidades/recursos de segurança ou o método de privilégio mínimo para atribuir contas de acesso); aumentando a probabilidade para que um ataque seja identificado e interrompido antes de seu objetivo final (isto é, revisando registros de firewall para padrões de acesso incomuns, implementando sistemas de detecção de invasão e verificando assinaturas de código antes de baixar para o solucionador lógico); ou tendo medidas para parar ou mitigar o objetivo final de um ataque ou meio de redução de risco de segurança não suscetível a ataque (isto é, terminais codificados em configurações de solucionador lógico, válvulas de alívio de pressão e circuitos de controle pneumático).

Após concluída a Avaliação Detalhada de Risco, os diagramas de zona e conduíte e as metas de nível de segurança da Avaliação Preliminar de Risco devem ser finalizados. A Avaliação Preliminar de Risco serve para fornecer uma compreensão rápida das áreas de alto risco, e a Avaliação Detalhada de Risco fornece uma compreensão robusta de quais são as ameaças e medidas nessas áreas de alto risco. Os resultados das avaliações de risco fornecem os elementos essenciais para definir os requisitos de segurança e a fase de projetação subsequente de Automação Industrial e Sistemas de Controle (AISC), incluindo a verificação do nível de segurança. Eles também promovem o fluxo efetivo de informações entre as etapas do ciclo de vida. Ao entender o nível de risco de uma instalação, decisões informadas que abordem as preocupações de segurança cibernética podem ser tomadas para promover uma operação segura.

[1]Common Attack Pattern Enumeration and Classification: A Community Resource for Identifying and Understanding Attacks, MITRE Corporation, 2018.