0
0
A seguir estão trechos de um livro que será lançado em 1º de novembro de 2023.
Muito tem sido escrito sobre as diferenças entre redes de TI convencionais e redes de tecnologia operacional (TO) ou sistemas de controle industrial (ICS): patching é mais difícil em redes de TO, antivírus é mais difícil, as redes TO usam protocolos e computadores muito antigos e há uma enorme resistência à mudança por parte das pessoas que gerenciam essas redes. Estas diferenças são, no entanto, todas superficiais. A diferença intrínseca entre estes dois tipos de redes são as consequências: na maioria das vezes, as piores consequências dos ataques cibernéticos são acentuadamente e qualitativamente diferentes nas redes de TI versus redes de TO.
Qual é essa diferença? O ransomware atinge nossa rede de TI e o que fazemos? Detectamos, respondemos e recuperamos. Identificamos os computadores afetados e os isolamos. Tiramos imagens forenses e apagamos o equipamento. Restauramos a partir de backups. Nós repetimos. Na pior das hipóteses, informações de identificação pessoal (PII) ou outras informações confidenciais são vazadas e sofremos ações judiciais. Todas essas são consequências comerciais. Dito de outra forma, nas redes de TI, o objetivo da gestão do risco cibernético é prevenir consequências comerciais, protegendo as informações – protegendo a confidencialidade, a integridade e a disponibilidade das informações comerciais.
Nas redes TO, entretanto, as piores consequências do comprometimento são quase sempre físicas. Coisas explodem e matam pessoas, avarias industriais causam desastres ambientais, as luzes apagam-se ou a nossa água potável fica contaminada. O objetivo do gerenciamento de riscos cibernéticos para redes de TO é geralmente garantir a operação correta, contínua e eficiente do processo físico . O objetivo não é “proteger a informação”, mas sim proteger as operações físicas da informação, mais especificamente de ataques de sabotagem cibernética que possam estar incorporados na informação. Esta é a diferença fundamental entre redes de TI e TO: nem vidas humanas, nem turbinas danificadas, nem desastres ambientais podem ser “restaurados a partir de backups”.
Isto significa que mesmo que pudéssemos, de alguma forma, usar uma varinha mágica e tornar todas as redes industriais totalmente corrigidas, totalmente antivírus, totalmente encriptadas e, de outra forma, completamente atualizadas com os modernos mecanismos de segurança cibernética de TI, esta diferença fundamental permaneceria. A diferença nas consequências hoje e sempre exige uma abordagem diferente para o gerenciamento de riscos em redes críticas de segurança e confiabilidade em comparação com redes de negócios.
Engenharia de Segurança
A boa notícia é que a profissão de engenharia tem ferramentas poderosas à sua disposição para lidar com os riscos cibernéticos de TO. Por exemplo, válvulas mecânicas de sobrepressão evitam a explosão de vasos de pressão. Essas válvulas não contêm CPUs e, portanto, não podem ser hackeadas. As embreagens limitadoras de torque evitam a desintegração das turbinas, não contêm CPUs e, portanto, podem ser hackeadas. Os gateways unidirecionais não são fisicamente capazes de permitir que informações de ataque passem em uma direção e, portanto, são invioláveis. Hoje, essas ferramentas poderosas são frequentemente negligenciadas, porque não têm análogos no espaço de segurança de TI.
Indo um pouco mais fundo, a profissão de engenharia gerencia riscos à segurança pública há mais de um século. É porque a má engenharia representa riscos para a segurança pública que a profissão de engenheiro é uma profissão legislada e auto-regulada em muitas jurisdições, semelhante às profissões médicas e jurídicas. A profissão de engenharia tem um enorme contributo a dar para a gestão dos riscos cibernéticos de TO, mas isto é pouco compreendido tanto dentro como fora da profissão.
Por que? Para começar, há 50 vezes mais profissionais de segurança de TI no mundo do que profissionais de segurança de TO e, portanto, os especialistas de TI são frequentemente as primeiras pessoas consultadas quando precisamos de soluções de segurança cibernética industrial. A maioria dos especialistas em segurança de TI não são engenheiros e, portanto, não estão cientes das responsabilidades nem das contribuições que podem ser feitas pela profissão de engenharia.
A profissão de engenharia como um todo não está muito melhor. Se os ataques cibernéticos com consequências físicas continuarem a duplicar anualmente, então o problema cibernético da TO atingirá proporções de crise antes do final da década. Mas, na maioria das jurisdições, a profissão de engenharia ainda não enfrentou o risco cibernético para o público e para as operações físicas. No momento em que este livro foi escrito, não havia nenhuma jurisdição no mundo onde a falha na aplicação de uma gestão robusta de riscos cibernéticos a projetos industriais pudesse custar a um engenheiro a licença para exercer a profissão.
Porém, há progresso. Na última meia década, uma série de abordagens para uma engenharia robusta de segurança cibernética se cristalizaram:
- Engenharia de processos: O livro-texto Security PHA Review for Consequence-Based Cybersecurity documenta uma abordagem para usar análises de engenharia de rotina de análise de riscos de processos (PHA) para implementar mitigações físicas invioláveis para ameaças cibernéticas aos trabalhadores, ao meio ambiente e à segurança pública.
- Engenharia de automação: o livro de Andrew Bochman e Sarah Freeman , The Countering Cyber Sabotage: Introducing Consequence-Driven, Cyber-Informed Engineering é principalmente um texto sobre avaliação de risco, mas inclui vários capítulos sobre mitigações invioláveis para ameaças cibernéticas, incluindo mitigações digitais invioláveis para ameaças cibernéticas para proteção de equipamentos.
- Engenharia de rede: meu livro Secure Operations Technology descreve a perspectiva da engenharia para proteger as operações físicas corretas contra ataques que possam estar incorporados nos fluxos de informações recebidas, em vez de tentar “proteger as informações”. Uma grande parte do texto concentra-se em diferentes maneiras de projetar redes industriais para permitir que informações de monitoramento saiam de uma rede sem introduzir qualquer forma de entrada de informações de ataque nas redes.
Neste tema, o Departamento de Energia dos EUA (DOE) também lançou a ” Estratégia Nacional de Engenharia Cibernética Informada ” (PDF) em junho de 2022. A estratégia busca desenvolver um corpo de conhecimento de engenharia para, entre outras coisas, “usar decisões de design e controles de engenharia para mitigar ou mesmo eliminar caminhos para ataques cibernéticos ou reduzir as consequências quando um ataque ocorre.”
Esperando ansiosamente
A principal questão abordada pelo novo livro é, quando se trata de segurança cibernética, ” quanto é suficiente? ” e sistemas de infraestrutura crítica realmente minuciosamente. Este é um processo muito caro. Pior ainda, mesmo os melhores programas de cibersegurança não proporcionam a proteção determinística que esperamos dos projetos de engenharia quando a segurança pública está em risco.
A engenharia de segurança tem o potencial, se aplicada de forma rotineira e sistemática, de eliminar de consideração muitas consequências de segurança e confiabilidade/segurança nacional. Isto tem o potencial de simplificar drasticamente a questão “ quanto é suficiente? ”, reduzindo a força e o custo necessários dos programas de segurança cibernética que abordam os riscos remanescentes nas redes de TO. Dada a crise que vemos chegar em termos de paralisações de TO, danos a equipamentos e coisas piores causadas por ataques cibernéticos, é chegado o momento para esta nova abordagem.
Mais informações sobre o livro podem ser encontradas no link.
FONTE: DARKREADING