Muitos profissionais possuem conceitos equivocados sobre zonas e conduítes, a forma como devem ser definidos e suas implicações do ponto de vista da cibersegurança industrial. Uma compreensão adequada de zonas e conduítes é de fundamental importância para evitar erros na avaliação de riscos, no design, na implementação e na manutenção.

O conceito de zonas e conduítes foi introduzido pelo comitê ISA99 da série de normas ISA/IEC 62443, muito antes das primeiras versões da norma serem publicadas em 2007. Hoje, vemos que muitas outras organizações utilizam esses mesmos termos de maneiras diferentes, aumentando a confusão para os usuários e comunidades profissionais.

Zona: consiste no agrupamento de ativos cibernéticos que compartilham os mesmos requisitos de cibersegurança.

Conduíte: consiste no agrupamento de ativos cibernéticos dedicados exclusivamente à comunicação e que compartilham os mesmos requisitos de cibersegurança.

Ao modelar zonas e conduítes, existem uma série de regras importantes que os profissionais devem levar em consideração. Abaixo, compartilhamos algumas regras práticas que serão úteis:

1. Uma zona pode ter subzonas.

2. Um conduíte não pode ter subconduítes.

3. Uma zona pode ter mais de um conduíte. Ativos cibernéticos (HOSTs) dentro de uma zona utilizam um ou mais conduítes para se comunicar.

4. Um conduíte não pode atravessar mais de uma zona.

5. Um conduíte pode ser usado por duas ou mais zonas para se comunicarem entre si.

Vejamos essas regras no seguinte quadro. Ele demonstra exemplos de configurações corretas e incorretas, bem como exemplos de conduítes.

Ativos cibernéticos industriais possuem uma característica muito especial: eles podem se conectar a mais de um conduíte, frequentemente a vários conduítes ao mesmo tempo. Um PLC pode facilmente se conectar a 10 ou mais conduítes. É importante considerar que muitas redes industriais são do tipo redundante.

Alguns Tipos Comuns de Conduítes

Sistemas industriais possuem centenas de protocolos em diferentes meios, senão milhares de protocolos de todos os tipos, natureza e função. Muitos deles são determinísticos, entre outras qualidades técnicas que não vale a pena mencionar aqui.

• Rede da planta baseada em Ethernet com vários protocolos industriais, incluindo OPC.
• Rede de controle do sistema de controle distribuído (Exemplo: Yokogawa Centum VNet/IP).
• Rede de campo industrial (Exemplo: Profibus DP, DNP3 e muitos outros).
• Rede de campo industrial: Foundation Fieldbus, HART7 e outros.
• Rede sem fio: ISA100, Wireless HART e outros.
• Um simples cabo serial RS-232/422/485 para permitir a comunicação entre dois computadores.

Segmentação Inicial

Antes de Realizar a Avaliação de Riscos Detalhada (Cyber-PHA)

A norma ISA/IEC 62443 sugere uma série de critérios mínimos ou elementares para realizar uma segmentação inicial de zonas e conduítes antes de realizar um estudo detalhado de riscos cibernéticos, também chamado de Cyber-PHA (Análise de Riscos Cibernéticos de Processos Perigosos), Cyber-HAZOP ou Cyber-LOPA. Muitas pessoas acreditam que a recomendação é tudo o que precisa ser feito, mas estão enganadas. A recomendação está correta, mas não é suficiente.

Segmentação Ótima

Após Concluir a Avaliação de Riscos Detalhada (Cyber-PHA)

Após a realização da avaliação de riscos detalhada, haverá uma segmentação ótima de zonas e conduítes, juntamente com uma lista muitas vezes extensa de recomendações e contramedidas. A segmentação simples é necessária, mas por si só não é suficiente. Uma série de recomendações deve acompanhar a segmentação ótima. Cada zona ou conduíte (nó) terá um nível de segurança requerido SL-T (Security Level Target) e um nível de segurança atual SL-A alcançado (Security Level Achieved), tudo sem entrar em muitos detalhes técnicos.

Leia a versão original em inglês no site da ISA: https://gca.isa.org/blog/how-to-define-zones-and-conduits