Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Brasileira

779

Published on

A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário esteve disponível para o …

A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário esteve disponível para o preenchimento, de 23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente.
Este documento apresenta os resultados da pesquisa e proporciona interpretações baseadas no conhecimento e experiência de seus redatores e participantes do processo de revisão. Fica a critério dos leitores obter suas próprias conclusões.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
779
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
52
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Página 1 Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Brasileira Julho de 2014 TI Safe Segurança da Informação www.tisafe.com Centro de Ciberseguridad Industrial www.cci-es.org
  • 2. Página 2 TI Safe Segurança da Informação LTDA A TI Safe Segurança da Informação é uma empresa brasileira fornecedora de produtos e serviços de qualidade para segurança da informação e redes industriais. Presente em grandes cidades do país oferece ampla gama de soluções para empresas e infraestruturas críticas. O portfólio da empresa conta com oferta de soluções para governança industrial, segurança de borda de redes de automação, proteção da rede interna, acesso remoto seguro, segurança de dados contra espionagem industrial, combate a cyber ameaças e treinamentos (presencial e on-line). Fundada em março de 2007 e atuando com pioneirismo, a TI Safe criou no ano de 2008 sua divisão para segurança SCADA e foi a primeira empresa brasileira a fornecer soluções para a segurança de redes industriais baseadas nas normas ANSI/ISA-99 e NIST SP 800-82. Atualmente a empresa é integrante do comitê internacional da norma ANSI/ISA-99 que estabelece boas práticas para a segurança de redes industriais e desenvolve pesquisas nesta área, tendo um livro e diversos trabalhos técnicos publicados e apresentados em eventos nacionais e internacionais. Rio de Janeiro: Centro Empresarial Cittá America - Barra da Tijuca - Av. das Américas, 700, bloco 01, sala 331. CEP – 22640-100 – Rio de Janeiro, RJ – Brasil. Telefone: +55 (21) 2173-1159 São Paulo: Rua Dr. Guilherme Bannitz, nº 126 - 2º andar Cj 21, CV 9035 - Itaim Bibi. CEP - 04532- 060 - São Paulo, SP – Brasil. Telefone: +55 (11) 3040-8656 Salvador: Av. Tancredo Neves nº 450 – 16º andar – Edifício Suarez Trade. CEP – 41820-901 – Salvador, BA – Brasil. Telefone: +55 (71) 3340-0633 e-mail: contato@tisafe.com www.tisafe.com Twitter: @tisafe
  • 3. Página 3 Centro de Ciberseguridad Industrial O Centro de Ciberseguridad Industrial (CCI) é uma organização independente sem fins lucrativos cuja missão é impulsionar e contribuir para a melhora da segurança cibernética industrial desenvolvendo atividades de análises, estudos e intercâmbio de informações sobre o conjunto de práticas, processos e tecnologias desenhadas para gerenciar o risco do ciberespaço derivado do uso, processamento, armazenamento e transmissão de informação utilizada nas organizações e infraestruturas industriais e como estas supõem uma das bases sobre as quais está sendo construída a sociedade atual. O CCI aspira tornar-se um ponto independente de encontros das organizações, privadas e públicas, e profissionais relacionados com as práticas e tecnologias da segurança cibernética industrial, assim como a referência para o intercâmbio de conhecimento, experiências e a dinamização dos setores envolvidos neste âmbito. C/ Maiquez, 18 28009 MADRID Tel.: +34 910 910 751 e-mail: info@cci-es.org www.cci-es.org Blog: blog.cci-es.org Twitter: @info_cci
  • 4. Página 4 Índice CERTIFICADO DE DOCUMENTAÇÃO DE ALTERAÇÕES 5 DESCRIÇÃO DA PESQUISA 6 ORGANIZAÇÕES INDUSTRIAIS PESQUISADAS 6 ORGANIZAÇÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8 RESPONSABILIDADE DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8 GRAU DE CAPACITAÇÃO EM SEGURANÇA CIBERNÉTICA INDUSTRIAL 10 GESTÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 11 AVALIAÇÃO DE RISCOS 11 GESTÃO DE INCIDENTES DE SEGURANÇA 12 PLANEJAMENTO DE AÇÕES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 13 ASPECTOS TÉCNICOS DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 14 CONEXÕES DE REDES 14 ACESSOS REMOTOS 15 USO DE NORMAS E PADRÕES 17 MEDIDAS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 18 MERCADO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 19 PREVISÃO DE NOVAS ATIVIDADES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 19 REQUISITOS EM NOVOS PROJETOS 21 CONTRATAÇÃO EM PROJETOS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 22 CERTIFICAÇÕES PROFISSIONAIS 23 CONCLUSÕES 24 REFERÊNCIAS BIBLIOGRÁFICAS E NA INTERNET 26 GLOSSÁRIO 26
  • 5. Página 5 Certificado de documentação de alterações Versão Data Autor Descrição RC1 15/07/2014 Marcelo Branquinho Geração do primeiro documento em língua portuguesa. RC2 15/07/2014 Leonardo Cardoso Primeira revisão.
  • 6. Página 6 Descrição da pesquisa A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário esteve disponível para o preenchimento, de 23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente. Este documento apresenta os resultados da pesquisa e proporciona interpretações baseadas no conhecimento e experiência de seus redatores e participantes do processo de revisão. Fica a critério dos leitores obter suas próprias conclusões. É importante frisar que os dados fornecidos nos formulários da pesquisa possuem caráter extremamente sigiloso e estão protegidos por acordos de confidencialidade que a TI Safe mantém com seus clientes. Nenhum nome de cliente, projeto, informação técnica ou financeira será revelado nesta pesquisa, que contém apenas dados quantitativos consolidados e não representa de nenhuma forma uma ameaça à confidencialidade dos dados de nossos clientes. Organizações industriais pesquisadas As organizações industriais pesquisadas englobam os principais setores da indústria brasileira, com uma maior presença das empresas do setor elétrico e petróleo e gás, mas incluindo também os setores de alimentos e bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear, mineradoras e indústrias químicas. Setores representados na pesquisa Alimentos e Bebidas 2% Energia 30% Indústria Química 4% Mineradoras 6% Nuclear 4% Petróleo e Gás 19% Siderúrgicas 9% Transportes e Logística 17% Aguas e Resíduos 9% Gráfico 1 – Setores representados na pesquisa. A variedade dos setores pesquisados é um resultado da heterogeneidade dos nichos de mercado representados no ecossistema e da transversalidade da segurança cibernética industrial, cuja implicações afetam a todos os setores da indústria. A presença de tantos setores diferentes na pesquisa é muito interessante uma vez que
  • 7. Página 7 proporciona uma amplitude de pontos de vista que contribuem para tornar mais valiosos os resultados obtidos. Todas as organizações que participaram da pesquisa são grandes indústrias brasileiras que são parte importante de nossa infraestrutura crítica. O fato das empresas participantes da pesquisa serem indústrias de grande porte é devido a que atualmente estas são as organizações que possuem o maior nível de conscientização a respeito da necessidade de implantar e manter medidas de segurança cibernética industrial, são as que estão diretamente afetadas por algum requisito regulatório e ainda, são as que dispoem de recursos humanos especializados que dão suporte aos diferentes centros de trabalho. Por outro lado, as empresas menores normalmente não são afetadas por requisitos regulatórios e ainda não contam com a segurança cibernética industrial como uma de suas prioridades. No entanto, esta é uma tendência que no futuro próximo deverá mudar na medida que cresça o nível de conscientização geral dos setores industriais, ou que estas empresas menores comecem a ser vítimas de ataques cibernéticos, algo que não está muito distante de acontecer dado o grande crescimento que estes incidentes tem tido em plantas industriais nos últimos anos, evidenciado pelo gráfico retirado do “1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras”1 , publicado em maio de 2014. Gráfico 2 – Evolução dos Incidentes de Segurança em redes de automação brasileiras (Dados de 2008 a 2014 – Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras)
  • 8. Página 8 Organização da Segurança Cibernética Industrial Responsabilidade da Segurança Cibernética Industrial Quem tem em sua organização a responsabilidade de proteger os sistemas que controlam os processos industriais? A responsabilidade de proteger os sistemas de controle de processos industriais é compartilhada entre vários departamentos; 65% das organizações têm atribuído essa responsabilidade para um único departamento, enquanto que 35% das organizações não têm responsabilidade definida para segurança cibernética industrial. Dentre as empresas pesquisadas, em quase metade a responsabilidade pela segurança cibernética industrial está atribuída à equipe de T.A. (Tecnologia de Automação). A partir dos resultados foi também verificado que apenas em 12% das empresas foi formado um comitê misto entre equipes de T.I. e T.A. para uma gestão conjunta da segurança cibernética industrial, o que é um indicador da baixa maturidade existente nesta área. Além disso, também pode ser interpretado como falta de maturidade organizacional em empresas em que a atribuição de responsabilidades não é feita de acordo com um processo formal, definido, mas leva em conta aspectos como as tradições e históricos das organizações que geralmente acabam em responsabilidades de polarização em determinados departamentos. Finalmente deve-se notar que é provável que as organizações pesquisadas tenham organogramas diferentes, o que torna a atribuição de responsabilidades para a segurança cibernética industrial diferente de empresa para empresa. Qual departamento em sua organização possui a responsabilidade de proteger as redes industriais? Não existe esta responsabilidade definida. 35% Comitê misto formado por T.I. e T.A. 12% Equipe de T.A. (Automação) 49% Equipe de T.I. (Corporativa) 4% Gráfico 3 – Responsabilidade de proteger as redes industriais.
  • 9. Página 9 Os responsáveis pelo negócio estão sensibilizados com as normas e os riscos da segurança das redes industriais? Os dados mostram que pouco mais da metade dos gestores das empresas pesquisadas (53%) se encontram muito pouco sensibilizados quanto às normas e riscos em redes industriais. Apenas 6% dos gestores atestaram estar muito sensibilizados para estes riscos, o que pode ter graves implicações sobre a continuidade e ao bom funcionamento dos processos de negócio. Está bastante claro que ainda há um longo caminho a percorrer em termos de esforços de conscientização em níveis de gerência. Nível de sensibilização dos responsáveis pelo negócio quanto às normas e riscos de segurança em redes industriais: Muito pouco sensibilizados 53% Normal 37% Muito sensibilizados 6% Não sei 4% Gráfico 4 – Nível de sensibilização dos responsáveis pelo negócio. Deve-se ter em conta que a abordagem a ser dada precisa ser a de educar não somente a direção das empresas, mas também a sociedade em geral na matéria de segurança cibernética industrial de uma forma diferente da que é feita para um ambiente de gerenciamento, onde geralmente é mais focada a confidencialidade das informações. A consciência da segurança cibernética industrial deve focar no perigo da manipulação mal intencionada de sistemas de controle para a população. Somente assim as medidas tomadas para assegurar estes ambientes deixarão de ser vistos como uma imposição dos departamentos interessados e serão vistos como uma contribuição para a segurança global.
  • 10. Página 10 Grau de capacitação em segurança cibernética industrial Qual o grau de capacitação de sua organização em segurança cibernética industrial? A capacitação das organizações em matéria de segurança cibernética industrial varia dentro de cada departamento. As organizações industriais brasileiras investem mais na capacitação dos departamentos que estão diretamente relacionados com a segurança das informações (T.I.) do que com as que são as responsáveis pela manutenção do funcionamento dos processos de negócio (T.A.). Existe aí uma inversão de valores uma vez que o core business das indústrias está baseado juntamente em seus processos produtivos que são geridos pelas redes de automação. Comparativo do grau de capacitação técnica das equipes em segurança cibernética industrial. 6 12 13 8 12 0 19 28 2 2 0 5 10 15 20 25 30 Alto. Médio. Baixo. Nenhum. Não sei. Nivel de capacitação Númerodeentrevistados Equipe de TI - Corporativa Equipe de TA - Automação Gráfico 5 – Comparativo do nível de capacitação entre equipes de TI e TA. Um dado bastante notável é que a grande maioria dos gestores de T.A. considera que seus colaboradores possuem nível baixo (28%) e médio (19%) de capacitação, e nenhum gestor considerou que sua equipe de automação estivesse adequadamente treinada. Isto reflete perfeitamente a carência que existe nas indústrias em elaborar e executar planos anuais de treinamento e capacitação em segurança cibernética industrial para as equipes de T.A. da mesma forma e nível de investimento que é praticado para os colaboradores das redes de tecnologia da informação.
  • 11. Página 11 Gestão da segurança cibernética industrial Avaliação de Riscos Sua empresa tem realizado avaliações do nível de risco dos sistemas de automação e controle? No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto que 31% admitiram fazer periodicamente avaliações técnicas como análises de vulnerabilidades e testes de invasão. O restante das empresas apresenta percentuais menores e semelhantes de realização de avaliações organizacionais (políticas, procedimentos) ou normativas (ANSI/ISA-99 e outras). Sua empresa tem realizado análise de riscos em sistemas de controle industriais? Realizamos avaliações normativas (ANSI/ISA-99 e outras) 18% Realizamos avaliações técnicas 31% Realizamos avaliações organizacionais 18% Não sei 4% Não temos feito avaliações de riscos. 29% Gráfico 6 – Análise de riscos em sistemas de controle industriais. Os dados que indicam que quase um terço das indústrias não tem realizado nenhum tipo de avaliação de riscos é tremendamente significativo, sobretudo pelo tamanho e criticidade das empresas que responderam à pesquisa. Este número de organizações que não realizam análises de riscos é considerado muito alto já que, sem estas análises, as empresas nem sequer conhecem os riscos que estão enfrentando. É importante que as avaliações de riscos tenham em conta dimensões além das meramente técnicas dos ativos da rede (mais habituais) e analisem também o ambiente operacional SCADA de uma forma global.
  • 12. Página 12 Gestão de incidentes de segurança Como é o processo de gestão de incidentes de segurança nas redes de automação da empresa? Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de incidentes de segurança cibernética industrial desenvolvido e em produção. Em 24% das empresas este processo não existe, e 27% atuam de forma reativa quando ocorrem incidentes de segurança. No entanto, 45% das empresas pesquisadas afirmaram estar definindo este processo. Gráfico 7 – Gestão de Incidentes de segurança. Sua empresa teria problemas em declarar publicamente incidentes de segurança cibernética ocorridos em redes de automação? A falta de fontes oficiais de informações sobre incidentes de segurança em redes industriais e SCADA no Brasil gera uma lacuna importante no ciclo de proteção das infraestruturas críticas. Sem dados estatísticos sobre incidentes, investimentos necessários na segurança de infraestruturas críticas não são realizados mantendo-as vulneráveis. A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de compartilhar publicamente os incidentes de segurança, 55% das empresas tratam internamente os incidentes de segurança e apenas 12% das empresas declaram seus incidentes de forma sigilosa aos fabricantes e consultorias especializadas de segurança. Como é o processo de gestão de incidentes de Segurança nas redes de automação da empresa? O processo ainda está sendo definido 45% Está definido, desenvolvido e em produção. 0% Não sei. 4% É feito de forma reativa. 27% Não existe este processo. 24%
  • 13. Página 13 Sua empresa teria problemas em declarar publicamente incidentes de segurança cibernética ocorridos em redes de automação? Nenhum problema, faz parte da filosofia da empresa compartilhar incidentes. 0% Incidentes são declarados somente aos fabricantes e consultorias de Segurança. 12% Nunca declaramos estes incidentes. Eles são tratados internamente. 55% Não sei. 33% Gráfico 8 – Declaração pública de incidentes de Segurança cibernética industrial. Planejamento de ações de segurança cibernética industrial Como se planejam habitualmente as ações de segurança cibernética industrial em sua organização? Quanto ao planejamento das ações de segurança cibernética, 36% das organizações industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de incidente, enquanto 27% das empresas planejam as ações ao longo do tempo. Estas ações, na maior parte das ocasiões estão motivadas por recomendações internas (15%) e na menor parte por recomendações operacionais externas (8%). Como se planejam habitualmente as ações de Segurança cibernética industrial em sua organização? Não sei. 6%Seguem as recomendações de uma consultoria externa. 8% Só são executadas quando há um acidente. 36% Seguem as recomendações da rede corporativa interna. 15% Para atender às diretrizes mínimas da legislação. 8% São planejadas, desenhadas e executadas ao longo do tempo. 27% Gráfico 9 – Planejamento de ações de segurança cibernética industrial.
  • 14. Página 14 A implementação de diretrizes mínimas de segurança pode ocorrer devido à restrições orçamentárias ou à falta de consciência da necessidade de medidas de segurança cibernética, o que faz com que os gestores da empresa se limitem ao cumprimento regulamentar mínimo aos quais estão sujeitos. Existem gestores que evitam implementar até mesmo as orientações mínimas sem a aprovação dessas diretrizes por parte dos fabricantes de sistemas supervisórios, e que atribuem a eles a responsabilidade por tomar tais medidas. É por isso que se torna imprescindível a criação de um marco legal que obrigue os fabricantes de segurança a implementar as medidas mínimas de segurança cibernética em suas soluções, não deixando este importante papel somente para os gestores das infraestruturas críticas. Aspectos técnicos da segurança cibernética industrial Conexões de redes As redes de automação de sua empresa estão segmentadas e protegidas? Aproximadamente um quarto (27%) das organizações industriais pesquisadas afirmou que existe separação total entre suas redes corporativas e industriais. As redes de automação de sua empresa estão segmentadas e protegidas? As redes de automação tem diferentes níveis de segmentação. 4%As redes corporativa e de automação estão conectadas diretamente. 6% As redes corporativa e de automação estão segmentadas por um firewall. 63% Não sei. 0% As redes de automação estão totalmente e fisicamente apartadas da rede corporativa. 27% Gráfico 10 – Segmentação e proteção de redes de automação. A maioria (63%) das organizações que reconhecem existir conexão entre as redes corporativa e de automação dispõem de firewall entre estas redes. No entanto existem preocupantes 6% de empresas que mantêm suas redes conectadas diretamente, o que representa um enorme risco de incidentes de segurança cibernética.
  • 15. Página 15 Acessos remotos Sua rede industrial possui dispositivos conectados à internet, independentemente dos mecanismos de proteção aplicados? A maioria das organizações pesquisadas (74%) afirma que suas redes industriais não possuem dispositivos conectados à internet, enquanto 22% afirmam terem dispositivos que estão conectados à internet de forma permanente ou temporária. Sua rede industrial possui dispositivos conectados à Internet? Sim, permanentemente conectado à internet 12% Sim, conectados temporariamente e sob demanda 10% Não sei 4% Não 74% Gráfico 11 – Dispositivos de redes de automação conectados à Internet. A existência de conexões à internet a partir das redes industriais, especialmente quando estas são permanentes, gera um dos principais riscos às organizações industriais. Atualmente existe um enorme interesse acerca do estado geral destas conexões, como demonstra a existência de projetos como o Shodan2 , Sonar3 e o trabalho de Kyle Wilhoit intitulado “Who’s really attacking your ICS equipment”4 , dentre outros. Estes projetos se dedicam a avaliar o estado dos sistemas industriais acessíveis através da internet e aumentar a consciência sobre o perigo que estes oferecem. A existência de sistemas de controle industriais acessíveis a partir da internet, combinada com a escassa segurança incorporada aos dispositivos industriais, e a criticidade de muitos dos processos controlados por estes dispositivos, faz com que o risco que estes sistemas proporcionam seja muito alto e inaceitável pelas organizações. É evidente que as conexões à internet destes sistemas não atendem a caprichos, e que existem razões plenamente justificáveis para mantê-las ativas, no entanto, deveriam ser adequadamente controladas e gerenciadas.
  • 16. Página 16 Sua rede industrial possui acessos remotos? A grande maioria das organizações industriais pesquisadas afirma fazer uso de acessos remotos, sendo que em 27% delas o acesso remoto está permanentemente disponível para conexões, enquanto em 42% das empresas os dispositivos de comunicação são ligados sob demanda. Sua rede industrial possui acessos remotos? Sim, conectados temporariamente e sob demanda. 42% Não. 31% Não sei. 0% Sim, permanentes. 27% Gráfico 12 – Acesso remoto. Em caso afirmativo na pergunta anterior, por qual motivo? Os motivos para o estabelecimento de acessos remotos aos sistemas de controle industriais das empresas pesquisadas são principalmente o suporte e manutenção remota dos mesmos. Gráfico 13 – Motivos para o uso do acesso remoto.
  • 17. Página 17 Uso de normas e padrões Quais normas estão sendo usadas no âmbito da segurança cibernética industrial da empresa? A maior parte das organizações utiliza normas para balizar o estabelecimento da segurança cibernética industrial na empresa. As famílias ANSI/ISA-99 e ISO27000 lideram a preferência dos entrevistados. Chama a atenção o fato de existirem indústrias que não utilizam nenhuma norma para implementar a segurança industrial, e ainda, que existem indústrias que usam apenas a família ISO27000 para implementar segurança em redes de automação, o que pode levar a graves erros de implementação devido às particularidades operacionais das redes em tempo real em comparação com as redes de tecnologia da informação. Normas usadas no âmbito da segurança industrial da empresa: Família ANSI/ISA 99 ISO 27001/27002 Nenhuma NIST 800-82 Outras NERC CIP NIST 800-53 Guia DSIC / GSI ISO22301 / BS 25999 0 5 10 15 20 25 30 # Entrevistados Gráfico 14 – Normas usadas para segurança cibernética industrial Dentre as normas específicas para segurança cibernética industrial, a ANSI/ISA-99 se posiciona como o padrão de fato, seguida de recomendações propostas e controles de segurança em NIST SP 800-82 e outras regulamentações setoriais, como a NERC CIP focada em proteção de infraestruturas críticas de sistemas de energia elétrica.
  • 18. Página 18 Medidas de segurança cibernética industrial Quais medidas de segurança industrial sua empresa já implantou? Todas as organizações pesquisadas afirmaram implantar algum tipo de medida de segurança cibernética. Dentre as medidas técnicas, as mais habituais são os antivírus, firewalls convencionais e soluções automatizadas de backup. Medidas de segurança industrial implantadas na empresa: Comunicações cifradas Gateways unidirecionais Gestão de segurança cibernética Gestão de identidades SIEM Gestão da Continuidade do negócio Correlação de eventos Auditorias de segurança externas Whitelisting Gestão de Recuperação de desastres Firewalls industriais Controle de aplicações industriais Auditorias de Segurança internas IDPS Políticas e Procedimentos Documentados Backup automatizado Antivírus Arquitetura de Rede documentada Firewalls Convencionais 0 5 10 15 20 25 30 35 40 45 # Entrevistados Gráfico 15 – Medidas de segurança cibernética industrial usadas.
  • 19. Página 19 Como esperado, as medidas de segurança cibernética corporativa mais maduras e estabelecidas são também as mais utilizadas em ambientes industriais (firewalls convencionais, antivírus, backups). Por outro lado, também não é uma surpresa que as medidas específicas de segurança cibernética Industriais (firewalls industriais, gateways unidirecionais, whitelisting) ainda tenham um uso bastante limitado, possivelmente ocasionado por sua implementação depender de departamentos de TI com pouca experiência no mundo industrial. No entanto, é esperado um aumento no uso de tecnologias específicas de segurança cibernética industrial conforme o aumento da cultura e consciência entre os usuários finais e as organizações, o que as levará a compreender que as soluções de segurança clássicas em ambientes de TI não são completamente válidas para ambientes de controle industrial. Mercado da segurança cibernética industrial Previsão de novas atividades de segurança cibernética industrial Existe previsão de iniciar novas atividades no âmbito da segurança cibernética industrial? Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já nos próximos 6 meses. Somente 20% das empresas pesquisadas ainda não contemplam as ações de segurança cibernética industrial em seus orçamentos. Existe previsão de iniciar novas atividades no âmbito da Segurança cibernética industrial? Sim, sem uma data determinada 12% Sim, no próximo ano 14% Não existe orçamento para os próximos anos 20% Sim, nos próximos 6 meses 54% Gráfico 16 – Previsão de novas atividades em segurança cibernética industrial. A existência de atividades planejadas para os próximos meses implica na existência de orçamentos dedicados para se dedicar a atividades de segurança cibernética industrial
  • 20. Página 20 e, portanto, demanda para os fornecedores de serviços e produtos, que verão essas atividades como uma forma de expandir sua oferta e diversificar os seus serviços. Será apenas uma questão de tempo para o surgimento de novos serviços inovadores que ajudarão a estimular esse mercado. Essa dinâmica não só alcançará os organismos diretamente envolvidos (fornecedores e usuários finais), mas também afetará os profissionais do setor, ao criar-se uma demanda para eles. Os profissionais verão uma oportunidade de diversificar ou converter suas carreiras profissionais e para isto precisarão de treinamento e formação5 , o que também contribuirá para o desenvolvimento do mercado educacional específico para o setor. Quais são as motivações para a execução de projetos e implantação de soluções de segurança cibernética industrial? Quais são as motivações para a execução de projetos e implantação de soluções de Segurança cibernética industrial? Processo de melhoria contínua. Exigência a partir de uma auditoria ou controle interno. Resposta a incidentes de segurança. Recomendações de consultores ou fabricantes. Exigência por parte de direção. Outras. Exigência de mercado ou clientes. 0 5 10 15 20 25 30 35 40 45 # Entrevistados Gráfico 17 – Motivação para execução de projetos de segurança cibernética industrial. As principais motivações (melhoria contínua, auditoria interna e resposta a incidentes de segurança) são consistentes com o cenário atual em que as ameaças aos processos industriais estão mudando com a introdução de componentes tecnológicos (principalmente tecnologia da informação), que incorporam um risco para o qual as indústrias não estão preparadas para lidar. Além disso, é significativa a baixa presença das necessidades do mercado e a explicação para isso é, sem dúvida, a baixa maturidade da disciplina em organizações de usuários, o que faz com que o mercado não reconheça a demanda por necessidades específicas de segurança cibernética industrial.
  • 21. Página 21 Em sua opinião, qual é a tendência dos investimentos financeiros de sua empresa em segurança cibernética industrial para os próximos anos? A maioria das organizações pesquisadas considera que o investimento em segurança cibernética industrial se manterá no nível atual, enquanto 45% acreditam que ele aumentará. Nenhuma das empresas pesquisadas aposta em uma diminuição do nível de investimentos. Em sua opinião, qual a tendência dos investimentos financeiros de sua empresa em segurança cibernética industrial para os próximos anos? Se manterá no nível atual 55% Diminuirá 0% Aumentará 45% Gráfico 18 – Tendência dos investimentos em segurança cibernética industrial. Requisitos em novos projetos Requisitos de segurança cibernética industrial são incluídos em novos projetos da empresa? A maioria das organizações industriais pesquisadas contempla requisitos básicos de segurança cibernética industrial em todos os aspectos de seus novos projetos. No entanto ainda é preocupante que 20% das organizações não os considerem. Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência das equipes de tecnologia da automação em segurança cibernética industrial.
  • 22. Página 22 Requisitos de Segurança cibernética industrial são incluídos em novos projetos da empresa? Inserimos referências da norma ANSI/ISA-99 como itens obrigatórios 43% Não sei. 6% Não são levados em consideração. 24% Inserimos referências da norma ANSI/ISA-99 como opcionais desejáveis 27% Gráfico 19 – Requisitos de segurança cibernética industrial em novos projetos. Contratação em projetos de segurança cibernética industrial Na empresa, quem toma a decisão de contratação de projetos de segurança cibernética para as redes de automação? A maior parte das decisões de contração sobre segurança cibernética industrial é realizada pela área de T.A. (47%), e já é bastante comum que um comitê multidisciplinar com integrantes das equipes de T.I. e T.A. tome estas decisões. Na empresa, quem toma a decisão de contratação de projetos de Segurança cibernética para as redes de automação? Comitê multidisciplinar de T.I. e T.A. 27% Não existe esta responsabilidade definida 18% Equipe de T.I. 8% Equipe de T.A. 47% Gráfico 20 – Decisões de contratação. Pelo resultado da pesquisa fica claro que, embora a responsabilidade de proteger os sistemas esteja dividida entre os setores de T.I., segurança física e T.A., a responsabilidade de compra recai claramente sobre a área de T.A.
  • 23. Página 23 Quem são os provedores de segurança cibernética para redes de automação de sua organização? Quanto a quais tipos de organizações são provedoras de segurança cibernética para organizações industriais, a pesquisa mostra que ainda não existe um perfil definido, mas que a tendência é que fabricantes juntamente com empresas especializadas em segurança cibernética industrial venham a ser os maiores provedores no futuro próximo. Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos internos para esta complicada tarefa. Quem são os provedores de segurança cibernética para redes de automação de seua organização? Recursos internos da empresa Fabricantes industriais em parceria com especialistas em segurança cibernética Empresas especializadas em segurança cibernética industrial Não existem tais fornecedores atualmente Fabricantes industriais somente. 0 5 10 15 20 25 30 35 40 # Entrevistados Gráfico 21 – Provedores de cegurança cibernética industrial. Certificações profissionais Como você avalia as certificações profissionais da equipe dos fornecedores no momento da contratação de serviços em segurança industrial? Apenas 8% das organizações não valorizam a existência de certificações profissionais em prestadores de serviços. Pouco mais da metade as considera um requisito fundamental, enquanto os 41% restantes fizeram uma avaliação positiva.
  • 24. Página 24 Como você avalia as certificações profissionais da equipe dos fornecedores no momento da contração de serviços em segurança industrial? Avalio positivamente. 41% Creio que não servem para nada. 8% As considero um requisito fundamental. 51% Gráfico 22 – Avaliação da importância de certificações. Conclusões Entre as organizações industriais pesquisadas não foi detectado uma maneira definitiva para enfrentar os desafios da segurança cibernética industrial. Uma das principais causas disto é a falta de referências e padrões reconhecidos. O mercado, as organizações industriais, prestadores de serviços e profissionais de segurança cibernética e automação de processos, requerem guias de referência que os ajudem a enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos anseios do governo e da sociedade brasileira. A maturidade do mercado brasileiro de segurança industrial em 2014 é equivalente ao cenário que os EUA possuíam em 2010, o que pode significar um atraso de 4 a 5 anos em relação ao nível de segurança cibernética industrial dos países com tecnologia mais avançada. Dentre as empresas brasileiras pesquisadas, a capacitação em segurança cibernética é maior nos departamentos de T.I. que no restante das áreas da empresa, o que faz com que as tecnologias de segurança comumente utilizadas em redes corporativas ainda sejam as mais utilizadas em redes de automação, quando deveriam ser as específicas para segurança de automação industrial, como firewalls industriais, gateways de segurança unidirecionais, IDPS com assinaturas específicas SCADA, dentre outras detalhadas em livro recentemente publicado pela TI Safe6 . É necessário aumentar o nível de consciência dos gestores das indústrias nacionais sobre a necessidade e as implicações da segurança cibernética industrial. No entanto, existe uma dificuldade significativa para expressar os impactos derivados dos riscos de incidentes em plantas industriais, e declará-los publicamente, como é feito em outros
  • 25. Página 25 países, até por força legislativa, que possuem bases específicas de incidentes de segurança industrial (como por exemplo o RISI - Repository of Industrial Security Incidents7 ). A maior parte dos projetos de segurança cibernética industrial atualmente desenvolvidos por empresas brasileiras são motivados por processos de melhoria contínua, resposta a auditorias internas e resposta a incidentes de segurança. As exigências do mercado não são uma parcela relevante da motivação que as empresas possuem para a execução de projetos de segurança cibernética industrial, mas sem dúvida esta tendência mudará nos próximos anos. Muitas organizações têm previsto o desenvolvimento de ações de segurança cibernética industrial dentro do próximo ano e em todos os setores da indústria nacional, o que implica no crescimento dos orçamentos destinados a esta finalidade.
  • 26. Página 26 Referências bibliográficas e na Internet 1 - TI Safe. (Maio de 2014). 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras. Acesso em 15 de Julho, 2014, http://www.slideshare.net/tisafe/1o-relatrio-anual-ti-safe-sobre-incidentes-de- segurana-em-redes-de-automao-brasileiras-2014 2- Shodan - http://www.shodanhq.com/ 3 - Project Sonar. https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome- to-project-sonar 4 - Trend Micro. (2013). Who’s really attacking your ICS equipment. Acesso em 15 de Julho, 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security- intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf 5- TI Safe. (17 de Setembro de 2013). Ementa da Formação em Segurança de Automação Industrial". Acesso em 17 de maio, 2014, http://pt.slideshare.net/tisafe/ementa-da-formao-em-segurana-de-automao- industrial 6 - Segurança de automação e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed. - Rio de Janeiro. Elsevier, 2014. 7 - RISI. http://www.risidata.com/ Glossário ANSI American National Standards Institute DSIC Departamento de Segurança da Informação e Comunicações, órgão subordinado ao Gabinete de Segurança Institucional da Presidência da República Federativa do Brasil GSI Gabinete de Segurança Institucional da Presidência da República Federativa do Brasil IDPS Intrusion Detection and Prevention Systems ISA The International Society of Automation ISO International Organization for Standardization NIST National Institute of Standards and Technology SIEM Security information and event management T.A. Tecnologia de Automação T.I. Tecnologia da Informação

×