A cibersegurança nos ambientes industriais
Todos nós, com certeza, já lemos sobre o alarmante aumento dos ciberataques na América Latina, principalmente desde o início da pandemia de COVID-19. E agora, o que inicialmente foi visto com algum ceticismo pelas indústrias da região, acabou rapidamente se tornando uma prioridade estratégica.
Vale ressaltar que desde 2015 o setor industrial global tem se esforçado, e muito, para implementar o modelo de produção e automação 4.0, que, por sua vez, gerou um aumento significativo na conectividade dos dispositivos de IoT (sensores, PLCs, drives de velocidade variável, robôs, IHM, etc.), aumentando o risco de exposição aos ataques cibernéticos se esses dispositivos não estiverem protegidos de forma adequada. Além disso, um dos grandes impactos da pandemia foi necessidade de ter conectividade em qualquer lugar, inclusive nas residências das equipes de trabalho, e de oferecer acesso remoto a fornecedores que trabalham na manutenção e resolução de falhas. Tudo isso teve uma consequência imediata, fazendo com que o perímetro de segurança eletrônica das empresas precisasse se estender muito além das instalações das fábricas ou dos edifícios corporativos, e aumentando a complexidade e a necessidade de ter uma estratégia adequada de segurança cibernética, não apenas para proteger o perímetro físico das empresas ( edifícios corporativos, fábricas) mas também o novo e muito mais disperso perímetro eletrônico (edifícios corporativos, fábricas, a nuvem, trabalhadores remotos, fornecedores, conexões de home office, etc.).
Para demonstrar de forma bem clara a ameaça representada pelos ataques cibernéticos em todo o mundo, durante a sessão de Davos em janeiro de 2021, o Fórum Econômico Mundial apresentou um mapa de risco global, no qual é possível observar que os ciberataques estão em 9° lugar na lista dos 10 maiores riscos para a economia mundial. A lista inclui também ameaças como desastres naturais, mudanças climáticas, danos ao meio ambiente causados pela atividade humana, comprometimento da biodiversidade, doenças infecciosas, etc.
Da mesma forma, o Banco Interamericano de Desenvolvimento, em sua sessão de 2016 em Cancún, no México, apresentou seu primeiro estudo sobre o status da segurança cibernética na América Latina, no qual fez uma análise em vários níveis (cultura e sociedade, educação, marcos legais, tecnologias, etc.) para avaliar, usando uma escala de 1 a 5, o quanto os países da nossa região estão preparados para enfrentar essa ameaça. No final de 2020, o BID publicou a segunda edição desse estudo, onde podemos constatar que, salvo algumas exceções, houve pouco avanço nas diferentes estratégias na América Latina. O gráfico a seguir resume a situação de 2016 a 2020.
Por outro lado, é preciso levar em conta que, quando foram desenvolvidos há alguns anos, a maioria dos protocolos utilizados nos sistemas de controle industrial não contemplava a integração dos elementos de segurança. No início dos anos 2000, acreditava-se que a segurança por isolamento era uma boa prática, mas com o passar dos anos, e especialmente desde o famoso ataque à rede elétrica na Ucrânia em dezembro de 2015, esse tipo de solução como única estratégia de defesa foi abandonada.
Hoje o consenso internacional defende que para que um protocolo ou mecanismo de comunicação de uma rede de controle industrial possa ser considerado seguro (em sua forma mais básica) precisa ter pelo menos essas 3 características:
- Integridade: A capacidade de impedir que terceiros alterem o conteúdo de uma mensagem enviada entre dois sistemas
- Privacidade: A capacidade de impedir que terceiros leiam mensagens transmitidas entre dois sistemas
- Autenticação: A capacidade de garantir que a pessoa e a máquina ou dispositivo usado para enviar uma mensagem a um determinado ponto estão autorizados a fazê-lo.
Concluindo, podemos afirmar que, embora o modelo 4.0 continuará sendo a bandeira das estratégias de transformação em todos os setores industriais, a cibersegurança será um dos elementos mais imprescindíveis para garantir seu sucesso e minimizar o risco de exposição das empresas. A questão não é quanto as empresas vão gastar em tecnologias de segurança, mas quanto vão precisar investir para proteger seus ativos mais valiosos, e que nível de risco estão dispostas a assumir com essa decisão.
Para mais informações, acesse: https://www.cisco.com/c/en/us/solutions/industries/manufacturing/industrial-security-solutions.html
Tags: