Especialistas sugerem medidas para proteger sua fábrica dos ciberataques

De repente, sem alerta ou alarme, as máquinas de uma importante indústria química começaram a despejar material tóxico no meio ambiente. Esta desobediência das máquinas aos seus programadores lógicos implicou perda de tempo, de produção e um sério problema ambiental.

O desastre aconteceu em importante indústria química, e o irresponsável causador deste desastre econômico e ecológico se chama "cracker" ? gíria do inglês para os vilões do mundo virtual, que tem a função quebrar a segurança de um sistema.

Os termos hacker e cracker são bastante parecidos e comumente confundidos. Apesar de estarmos acostumados a ouvir casos de invasão de computadores praticados por hackers, a maioria destes ataques são, na realidade, realizadas pelos crackers. Atualmente a mídia impressa, eletrônica e audiovisual está utilizando o termo correto porque “hacker” transformou-se em uma profissão. Os crackers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na Internet.

Diferentes nas intenções, "hackers" e "crackers" são iguais na motivação para superar desafios e especialistas na invasão de computadores e redes. Uma vez dentro dos sistemas, comportam-se como piratas, vândalos ou simplesmente como curiosos desastrados.

Eles representam um risco crescente para qualquer indústria, corporação ou chão-de-fábrica, mas existem formas de minimizar os riscos.

Mais exposição, maior risco
A busca incessante de produtividade e qualidade desencadeou na indústria um intenso processo de automação. A informática turbinou este processo criando os meios de integrar máquinas, seções, empresas e corporações envolvidas na mesma cadeia produtiva.
As vantagens desta integração são óbvias, mas a contrapartida veio com a exposição da indústria e de seus processos produtivos ao mundo externo. Os modernos sistemas de gestão, preconizando o relacionamento do chão-de-fábrica com outras redes internas e com as redes dos fornecedores, ampliaram esta janela para o mundo externo e também os riscos.
Os ataques, que podem vir dos piratas e vândalos externos, são apenas metade dos problemas.
Em vários países, uma atenção especial precisa ser dada ao ciberterrorismo e aos riscos criados pelo pessoal interno. Levantamento realizado nos Estados Unidos revelou que metade dos incidentes foram provocados por funcionários displicentes ou então pela alteração criminosa de softs e hardwares por funcionários descontentes.

Prevenção e precaução
Repetidos estudos mostram algumas providências e táticas úteis contra a invasão, por estranhos mal-intencionados, das redes da empresa e, especialmente, das redes do chão-de-fábrica.
A primeira providência é identificar as vulnerabilidades das instalações. Uma grande indústria norte-americana descobriu 500 interfaces de sua LAN com o mundo externo. E dois terços de suas redes de controle de processos estavam conectadas com o mundo externo.
É de fundamental importância ter uma política de segurança para os sistemas que controlam os processos de produção. Ela definirá as responsabilidades, os comportamentos esperados para que o ambiente se mantenha seguro e deve mostrar o envolvimento da alta direção com o assunto. Esta política explicita o que a empresa quer alcançar, mas não dirá como os objetivos serão alcançados.
A experiência da maioria recomenda criar uma arquitetura de múltiplos planos de rede. Na sua versão mais simples, isto significa dividir a empresa em dois planos - um para a rede de negócios e outro para a rede de controle dos processos, com um firewall entre eles, ou seja, uma combinação de softs e hards que confina a uma rede os eventos nocivos, impedindo seu alastramento. Esta tem sido a opção mais freqüente no Brasil.
Partir da premissa de que sistemas de segurança formulados para os negócios e para a empresa não atendem às necessidades do chão-de-fábrica. A razão está nas margens de tolerância diferentes entre as áreas de negócios e de produção. Na primeira, os erros são indesejáveis, mas admitidos dentro de uma margem de tolerância.

Os riscos na área de produção
Na área da produção, contudo, os problemas representam;
■ perdas de tempo, de material, de equipamento,
■ ameaças à integridade e
■ à vida das pessoas.

Na área da produção, por exemplo, a proteção a um CLP pode ser considerada muito mais importante do que a proteção a um servidor - em geral a primeira preocupação das áreas de negócios das empresas.

CLP – O que você precisa saber ?
Controlador Lógico Programável (CLP ou em inglês, Programmable Logic Contoller – PLC).
Os CLPs, são freqüentemente definidos como miniaturas de computadores industriais que contem um hardware e um software que são utilizados para realizar as funções de controles. Um CLP consiste em duas seções básicas: a unidade central de processamento (CPU – central processing unit) e a interface de entradas e saídas do sistema. A CPU, que controla toda a atividade do CLP, pode ser dividida em processador e sistema de memória. O sistema de entradas e saídas são conectados fisicamente nos dispositivos de campo (interruptores, sensores, etc.) e provem também uma interface entre a CPU e o meio externo.
Operacionalmente, a CPU lê os dados de entradas dos dispositivos de campo através da interface de entrada, e então executa, ou realiza os controles de programa que tinham sido armazenados na memória.

Separação de redes
Esta diferença cultural entre as duas áreas, segundo os especialistas, recomenda separação das redes. Eventuais conexões entre elas, quando necessárias, exigem monitoração permanente.
Não basear a segurança nas tecnologias usuais oferecidas por servidores hospedeiros na Internet. Ela é insuficiente quando comparada com as necessidades da produção industrial.
É ingenuidade de muitas indústrias supor que os dispositivos de controle nunca serão atacados. Controladores Lógicos Programáveis e Sistemas de controle distribuídos precisam resistir a intrusos para reduzir o impacto sobre os processos industriais.

Portas desnecessariamente abertas são uma brecha na segurança.
Instalar um firewall não é suficiente. Como o próprio nome diz, uma porta corta-fogo não é um alarme. O sistema de segurança, portanto, precisa ter um sistema de detecção de intrusos capaz de monitorar o trânsito e identificar ações potencialmente danosas.
O principal obstáculo das gerências encarregadas da política de segurança é encontrar argumentos para justificar os investimentos junto à alta direção, porque é difícil quantificar as vantagens.

Levantamentos realizados nos Estados Unidos mostram que, apesar da atenção que o risco terrorista colocou sobre o assunto, o topo da hierarquia da empresa ainda exige uma avaliação do retorno do investimento.
Mas eles existem:
a) uma rede mais segura aumenta a confiança para usar serviços remotos que podem reduzir custos;
b) sistemas mais seguros obrigam os funcionários a sucessivas verificações que podem reduzir erros e equívocos operacionais.

O total isolamento da rede dedicada ao controle de processos é uma solução radical e exclui algumas vantagens da integração entre sistemas automatizados, além de não impedir os ataques do pessoal interno. A recomendação é selecionar e trabalhar sempre com pessoas e máquinas conhecidas. As barreiras do firewall são sempre importantes, mas não impedem ataques de vírus e de outros invasores, a não ser que sejam configuradas para impedir todo o tráfego de entrada e saída.
Uma cautela adicional pode ser um computador industrial que não parece computador, sem interfaces externas, que fica ao alcance apenas da gerência e pode exportar os dados necessários para as operações da planta.

Separação de equipamentos
O sistema de segurança baseado na arquitetura de dois planos, um para a rede do negócio e outro para a rede dos processos produtivos não é suficiente para proteger plantas industriais de operações críticas. Especialistas recomendam que, além desta separação, cada setor e cada equipamento tenha sua própria proteção e cada funcionário tenha acesso apenas aos equipamentos com os quais trabalha.
A última linha de defesa está nos sistemas operacionais que rodam os aplicativos. Tanto a Unix como o Windows baseiam a segurança no conceito Discretionary Access Control e prevêem apenas duas categorias de usuários: o administrador do sistema, ao qual se dá amplo acesso a todos os recursos, e os usuários comuns, aos quais se dá acesso aos aplicativos e aos arquivos de que eles precisam para seus trabalhos. Pelo conceito DAC, o usuário tem liberdade de modificar qualquer arquivo para o qual foi habilitado.
É possível pensar neste sistema de segurança como um edifício que tem bloqueios apenas na sua entrada principal. Transposto este bloqueio, está livre o acesso a todas as suas áreas.

Maior controle
Sistemas considerados mais seguros estão baseados no Mandatory Access Control. Seu conceito é antigo, mas apenas recentemente surgiram os hardwares capazes de viabilizá-lo amplamente na prática.

Este sistema de segurança cria os meios, apoiados pelo sistema operacional, que permitem a um administrador central aplicar uma política de acesso a toda a rede. Ele estabelece domínios individuais de segurança, isolados entre si, exceto quando se deseja admitir acessos privilegiados bem especificados; inclusive admite uma grande variedade de usuários e é capaz de confinar os danos causados por um software criminoso a um domínio individual.

Entre estes dois sistemas de segurança existe uma radical diferença de filosofia. O DAC parte do princípio que controle mandatório de acesso parte da premissa de que todos os recursos do sistema são acessáveis e de que a segurança é obtida pela restrição do acesso a alguns componentes.

A filosofia do MAC é radicalmente diferente. Suas premissas são as de que nenhum recurso é acessável e de que todas as operações devem ser explicitamente habilitadas. Com esta diferença de filosofia de segurança, o controle mandatório de acesso tem sido preferido pelos especialistas como a melhor tendência disponível, tanto para evitar as agressões internas quanto externas às redes.

Fonte:
NEI-Departamento Editorial de Noticiário de Equipamentos Industriais-NEI a partir de informações dos engenheiros de Automação e Controle Lucas Toledo e Luis Eduardo Gomes, da Advantech Brasil S/A, aos quais agradecemos, e de pesquisa na seguinte literatura:
Worlds in collision ? Ethernet and the factory floor ? Eric Byres, Research Manager; Joel Carter, Research Assistant; Amr Elramly, Research Associate, todos do British Columbia Institute of Technology, e Dan Hoffmann, Associate Professor da University of Victoria.
Securing critical industrial networks ? Ron Derynck, diretor de Estratégias de Produto da Verano Inc.

Comentário:
Na verdade, com a utilização de tecnologia de informação em todas as atividades humanas, isso implica que todas as atividades estão vulneráveis a ataques cibernéticos de conseqüências imprevisíveis, mas potencialmente muito graves.
■ Em 2000, na Austrália, um empregado descontente desligou um sistema de tratamento de águas residuais lançando centenas de milhares de litros de esgotos no ambiente.
■ Segundo vários responsáveis por organizações de segurança do governo dos EUA a rede elétrica do país foi invadida por espiões de países estrangeiros que poderão ter instalado programas que a afetem ou que a cheguem mesmo a desligar se esse for o comando enviado a partir dos seus centros de comando.
■ Plataformas robotizadas - As plataformas de petróleo são verdadeiras fábricas quase inteiramente automatizadas e totalmente interligadas por sistemas eletrônicos de sensores e atuadores, que monitoram e controlam a produção 24 horas por dia.
Um ataque malicioso que consiga entrar no sistema de controle da plataforma poderá eventualmente controlar todo o seu processo produtivo. Com um pouco mais conhecimento do próprio processo, o invasor seria capaz de gerar erros que levariam a "conseqüências desastrosas," segundo os pesquisadores.
O avanço das tecnologias e a necessidade de diminuição dos custos traçaram uma tendência clara de que a exploração petrolífera em alto mar seja progressivamente robotizada nos próximos anos, o que poderá deixá-las ainda mais vulneráveis a ataques, caso medidas adequadas de segurança não forem adotadas.
A principal origem das fragilidades encontradas pelos pesquisadores é a interligação das plataformas com os controles em terra. A exploração de petróleo segue o que se chama "operação integrada," em que o contato plataforma marítima-central de controle em terra é totalmente transparente - a maioria dos processos na plataforma é controlada pelo pessoal em terra por meio de PCs em rede. Isso tipo de integração também é usado em indústrias químicas e petroquímicas.
■ 18 de Janeiro de 2010 - A McAfee, maior empresa do mundo dedicada à tecnologia de Segurança da Informação, divulgou orientações para auxiliar as empresas a identificarem se foram alvo do mesmo ciberataque sofisticado que foi aplicado a uma lista crescente de empresas, incluindo o Google. Um ciberataque de alto risco, que foi atribuído à China, visava a captura de importantes informações de propriedade intelectual.