O avanço constante da tecnologia possibilitou uma série de inovações no setor industrial, entre os quais podemos destacar o uso de inteligência artificial, Internet das Coisas e robótica avançada.

Contudo, esses avanços ampliaram as possibilidades de atuação de cibercriminosos, o que pode trazer uma série de prejuízos para organizações que não investem em segurança cibernética.

Nesse sentido, a adoção de padrões estabelecidos na ISA 62443 contribui para reduzir os riscos diante de ciberataques, uma vez que eles garantem a adoção das melhores práticas associadas à segurança cibernética nas indústrias.

Neste artigo, explicamos o que é a ISA 62443 e como ela auxilia na proteção de redes industriais. Para facilitar sua leitura, dividimos nosso texto por tópicos. São eles:

• O que é a ISA 62443

• Qual a importância da ISA 62443 para as indústrias

• Desafios de gestão de cibersegurança em ambientes industriais

• Sobre a ISA

• Sobre o senhasegura

• Conclusão

Boa leitura!

O que é a ISA 62443

Devido ao avanço da Internet das Coisas Industrial (IIoT) e dos Sistemas de Controle Industrial (ICS), os dispositivos industriais e de manufatura encontram-se cada vez mais desenvolvidos.

Conectado a redes como a internet, os ICS são favorecidos pelo gerenciamento remoto, convergência e automação de rede.  Porém, por meio dessas redes, agentes maliciosos conseguem acessar o ICS. 

Como consequência, há riscos de ataques cibernéticos que podem ocasionar roubo de propriedade intelectual, perda de serviços essenciais, e prejuízos para a reputação das empresas com multas e perda de negócios.

Para proporcionar cibersegurança ao ICS, em 2002, a Sociedade Internacional de Automação (ISA) criou o comitê ISA99, que se propôs a desenvolver padrões sobre segurança cibernética nesse contexto.

Oito anos depois, em 2010, foi adotada a numeração ANSI/ISA-62443 a fim de alinhar a ISA99 com a Comissão Eletrotécnica Internacional (IEC 62443).

 A ANSI/ISA-62443 e a IEC 62443 são iguais. Por isso, os integrantes do setor costumam se referir a elas como um único padrão: ISA/IEC 62443. A partir dos padrões ISA/IEC 62443, temos uma estrutura de controles de segurança criados com o objetivo de reduzir riscos de ICS diante de ciberataques. 

Os especialistas em segurança global da ISA atuam de acordo com padrões e relatórios técnicos elaborados para a ISA/IEC 62443. Esses padrões são atualizados e aplicados aos setores industriais cada vez que surgem novas vulnerabilidades e podem ser encontrados nos documentos que estabelecem processos de segurança do ICS.

Qual a importância da ISA 62443 para as indústrias

Há alguns anos, as novas soluções digitais estão impulsionando a Quarta Revolução Industrial. Nesse sentido, fábricas inteligentes foram criadas a partir da automação industrial, possibilitada pela integração entre diferentes tecnologias e a ISA 62443 estabelece as melhores práticas associadas à segurança cibernética de indústrias.

Entre as inovações presentes no setor industrial, destacam-se:

• Inteligência artificial

Esse conceito é baseado em máquinas capazes de simular a inteligência humana, contando com algoritmos, sistemas de aprendizados, redes neurais artificiais e outras características, apresentando capacidades como raciocínio e tomadas de decisão.

• Digitalização

Nesse caso, nós nos referimos a tecnologias que garantem eficiência aos processos de produção impactando no desenvolvimento de produtos e modelos de negócios, na medida em que contempla projeto e implementação de plano de digitalização, sensoriamento, aquisição e tratamento de dados.

Na prática, a Indústria 4.0 pode ser aplicada a segmentos como saúde, transporte, logística, construção, óleo e gás, mineração, utilidades, energia e manufatura.

Conforme aplicam os conceitos da Indústria 4.0 para sair à frente da concorrência, as organizações podem perceber que é fundamental otimizar o gerenciamento de Tecnologia Operacional a fim de reduzir ameaças cibernéticas nos processos industriais. 

Sendo assim, algumas diretrizes são introduzidas com o objetivo de proteger as indústrias de ciberataques. Entre essas medidas, podemos destacar, o Framework de Cibersegurança do NIST, os Controles de Segurança CIS e o conjunto de padrões ISA 62443.

• Big data

Big data consiste em uma abordagem que possibilita lidar com dados que chegam em grande variedade, volume e velocidade, utilizados para resolver problemas. Softwares tradicionais não são capazes de operar esses conjuntos de dados, por isso, é necessário contar com serviços de máquina e técnicas estatísticas para extrair informações e tendências que fogem da capacidade humana de avaliação.

• Cibersegurança

Aqui nos referimos às infraestruturas de software e hardware utilizadas para proteger ativos da informação, lidando com ameaças que colocam em risco a informação armazenada, transportada e processada por sistemas interligados.

• Computação em nuvem

A computação em nuvem, por sua vez, trouxe flexibilidade, economia e escalabilidade para os negócios, na medida em que fornece serviços de computação, como armazenamento, servidores, rede, software, banco de dados e análise e inteligência pela internet, gerando eficiência e reduzindo custos operacionais.

• Internet das Coisas

A Internet das Coisas se refere à possibilidade de conectar objetos utilizados no dia a dia das pessoas à internet, coletando e transmitindo dados por meio da nuvem. Esse conceito pode ser aplicado tanto no contexto doméstico como no cenário organizacional, inclusive considerando a Internet das Coisas Industrial, ou IIoT.

• Robótica avançada

Refere-se a dispositivos que funcionam de modo autônomo, interagindo com seu ambiente ou com as pessoas. Seu comportamento pode ser modificado a partir de dados de sensores.

• Integração de sistemas

Diferentes sistemas de computação funcionando de modo coordenado, o que possibilita a troca de informação entre eles. Desse modo, as organizações conseguem obter uma percepção abrangente acerca de seus negócios. 

A integração de sistemas também influencia nas tomadas de decisão com informações em tempo real.

• Manufatura digital

Sistemas integrados com base em computadores, que permitem criar definições de processos de manufatura e produto ao mesmo tempo por meio de simulações, visualizações 3D e análises.

• Manufatura aditiva

Produção de itens a partir de um desenho digital e sobreposição de finas camadas de produtos como plástico, cerâmica, areia, ligas metálicas e metal. Esse trabalho é viabilizado por meio de uma impressora 3D.

• Sistemas de simulação

Utilização de técnicas e computadores que permitem simular processos do mundo real por meio de modelos digitais.

Desafios de gestão de cibersegurança em ambientes industriais

Quando falamos em cibersegurança, há grandes desafios enfrentados pelo setor industrial. Entre eles, destacamos:

• Dispositivos legado

Grande parte dos equipamentos usados no setor industrial são muito antigos, afinal, muitas fábricas existem há bastante tempo e não tiveram suas máquinas renovadas. Esse fator pode impedir a implantação de sistemas de segurança.

Para solucionar essa questão, é necessário substituir plantas antigas por mais novas ou aplicar uma proteção moderna em torno dos processos antigos, sem alterar os sistemas. 

Entendemos que as empresas devem considerar a atualização constante de seus equipamentos uma vez que a tecnologia evolui dia após dia, oportunizando a prática de ciberataques cada vez mais sofisticados. 

Além disso, organizações que se apoiam em inovação garantem uma série de benefícios, além da proteção, como qualidade, produtividade e competitividade.

• Falta de mão de obra especializada

Atualmente, existem poucos profissionais especializados em cibersegurança industrial, o que se torna outro desafio enfrentado pelo setor. 

Porém, o mais recomendado é contratar os serviços de uma empresa especializada, que conte com profissionais capacitados para atender às demandas da empresa.

• Falta de investimento

Em geral, o investimento na indústria ainda é baixo. Os líderes entendem que é necessário investir em cibersegurança, porém isso ainda não é colocado em prática em grande parte das organizações.

Muitas vezes, a falta de investimento se deve ao fato de os empresários não saberem como implantar a segurança cibernética em sua indústria. Para isso, é preciso contar com uma empresa especializada, que reconheça as necessidades particulares daquela organização e proponha as melhores soluções.

Sobre a ISA

Fundada em 1945, a International Society of Automation (ISA) consiste em uma associação profissional sem fins lucrativos, que visa conectar a comunidade de automação, aumentando sua competência técnica e impulsionando carreiras.

Os padrões desenvolvidos pela ISA são utilizados em grande escala, além disso, a entidade:

• Oferece capacitações;
• Certifica profissionais;
• Publica livros e artigos técnicos;
• Hospeda conferências e exposições; e
• Oferece programas de networking para seus membros.

Uma das importantes iniciativas da ISA foi a criação da ISA Global Cybersecurity Alliance, que promove conscientização sobre cibersegurança e reúne organizações interessadas para lidar com crescentes ameaças cibernéticas de maneira proativa. 

A ISA ainda é proprietária da Automation.com, que produz conteúdo referente à automação e patrocina a The Automation Federation, entidade que representa “A Voz da Automação”.

Também é responsável pelo ISA Security Compliance Institute e o ISA Wireless Compliance Institute.

Sobre o senhasegura

O senhasegura integra o MT4 Tecnologia, grupo de empresas focadas em segurança da informação fundado em 2001 e atuante em mais de 50 países. 

Seu principal objetivo é assegurar soberania digital e segurança aos seus clientes, concedendo o controle de ações e dados privilegiados e evitando roubo e vazamento de informações. 

Para isso, acompanha o ciclo de vida do gerenciamento do acesso privilegiado por meio da automação de máquinas, antes, durante e após os acessos. O senhasegura também busca:

• Evitar interrupções das atividades das empresas, que possam prejudicar seu desempenho;
• Auditar automaticamente o uso de privilégios;
• Auditar automaticamente alterações privilegiadas a fim de identificar abusos de privilégio;
• Oferecer soluções avançadas de PAM;
• Reduzir riscos cibernéticos;
• Colocar as organizações em conformidade com critérios de auditoria e com padrões como HIPAA, PCI DSS, ISO 27001 e Sarbanes-Oxley.

Para estar em conformidade com os padrões ISA 62443, é necessário implantar o Gerenciamento de Acesso Privilegiado (PAM), possibilitando o uso controlado de privilégios administrativos.

O sistema de controle de padrão ISA 62443-2-1:2009 refere-se a contas de acesso e implementação de política de autorização. Isso significa que privilégios de acesso implementados para contas de acesso devem ser estabelecidos de acordo com a política de segurança e autorização da organização.

Por meio da atuação do senhasegura, é possível definir e reforçar políticas de segurança e autorização em diversos sistemas industriais.

Já o sistema de controle associado à ISA 62443-3-3:2013 está relacionado à autenticação e identificação de usuário humano. Deve oferecer a funcionalidade de reforçar tal identificação e autenticação em todas as interfaces que fornecem acesso de usuário humano em sistema de controle para suportar segregação de papéis e privilégio mínimo de acordo com as políticas de segurança de aplicação e procedimentos.

O senhasegura possibilita conceder ou revogar privilégios a usuários específicos, garantindo que cada usuário tenha o privilégio mínimo, conforme a política de segurança da organização.

Conclusão

Lendo este artigo, você aprendeu que:

• ICS é favorecido pelo gerenciamento remoto, convergência e automação de rede, mas atores maliciosos conseguem acessá-lo;
• Ataques cibernéticos causados por essa vulnerabilidade podem ocasionar diversos tipos de prejuízo para um negócio;
• A Sociedade Internacional de Automação (ISA) criou o comitê ISA99, que se propôs a desenvolver padrões sobre segurança cibernética;
• Posteriormente, adotou-se a numeração ANSI/ISA-62443 para alinhar a ISA99 com a Comissão Eletrotécnica Internacional (IEC 62443);
• Estão sendo criadas fábricas inteligentes com as seguintes tecnologias: inteligência artificial, digitalização, big data, cibersegurança, computação em nuvem, Internet das Coisas, robótica avançada, integração de sistemas, manufatura digital, manufatura aditiva e sistemas de simulação;
• Essas tecnologias garantem eficiência aos processos de produção, mas exigem a adoção de padrões de segurança como a ISA 62443;
• Entre os desafios de gestão de cibersegurança em ambientes industriais podemos destacar máquinas antigas, falta de mão de obra especializada e falta de investimento;
• Para estar em conformidade com os padrões ISA 62443, é necessário implantar o Gerenciamento de Acesso Privilegiado (PAM). Por meio dele, é possível definir e reforçar políticas de segurança e autorização em diversos sistemas industriais.

Nosso artigo sobre ISA 62443 foi útil para você? Então, compartilhe este conteúdo com outra pessoa que possa se interessar pelo tema.