Controladores digitais com segurança cibernética

jun, 2014

Edição 100 – Maio de 2014
Artigo: Segurança
Por Ronaldo José*

Requisitos de blindagem da CPU aplicados em processos críticos – turbocompressores em plataformas e refinarias de petróleo e turbogeradores em usinas térmicas e hidrelétricas.

Após os ataques terroristas de 11 de setembro nos Estados Unidos, o governo americano adotou uma série de novas medidas para proteger o país contra potenciais novos ataques. Uma das vertentes dessas medidas trata da defesa contra o terrorismo cibernético ou guerra cibernética (também chamado por alguns como a “guerra do futuro”), em que a presença humana é dispensada para execução de uma ação terrorista ou militar.

Instalações industriais, como refinarias, petroquímicas, plataformas de petróleo e usinas de geração (termoelétricas e hidroelétricas), além de estações de tratamento de água, entre outras, são consideradas áreas sensíveis, de infraestrutura crítica, logo, uma interrupção no fornecimento pode prejudicar todo o país.

Este artigo irá destacar o papel dos controladores digitais neste novo cenário, as diferenças entre as arquiteturas tradicionais de proteção cibernética e as mais adequadas nos dias atuais, além de abordar a importância de a indústria e os governos passarem a se preocupar seriamente com esse problema. Isso tendo em vista os casos de blecautes ocorridos em 2013 e a suspeita da ação de hackers em alguns desses episódios, bem como um caso notório ocorrido há pouco mais de seis anos no Espírito Santo de blecaute energético (desarme de turbinas e linhas de transmissão), tendo sido mencionado pelo presidente dos Estados Unidos dois anos depois como resultado de uma ação de hackers. Na ocasião, ataques deixaram cidades às escuras em outros países (conforme anunciou Barack Obama em novembro de 2009), ainda que as autoridades brasileiras não tenham admitindo os casos.

Os primeiros relatos de terrorismo cibernético ou guerra cibernética datam da década de 1970, especificamente no auge da Guerra Fria. Satélites e linhas de comunicação americanas e soviéticas eram utilizadas, ainda que em escala reduzida, para penetrar em sistemas informatizados civis e militares de um e do outro, no intuito de roubar dados sensíveis ou causar danos, especialmente queda nos sistemas de telecomunicações ou sistemas de telecomando (como linhas de transmissão de energia), por meio de meios específicos manipulados pelos “hackers” americanos e soviéticos daquela ocasião.

Atualmente, com o mundo globalizado e totalmente interligado por meio da internet e de outros meios de comunicação, o raio de alcance para uma ação terrorista ou militar cibernética é milhares de vezes maior que no passado, o que demanda sistemas de proteção adequados a esta nova concepção (como firewalls e gateways dedicados).

Ocorre que as arquiteturas tradicionais de proteção cibernética, falando especificamente do meio industrial, por meio do emprego de software e hardware dedicados (é o caso de senhas de sistemas operacionais com níveis de acesso e proteção privilegiada específica, firewalls físicos e virtuais, gateways, etc.) encontram-se em certa medida defasadas e não garantem uma proteção 100% confiável, além de focar apenas a proteção externa e não interna ou ambas, o que seria o ideal.

No Brasil, a situação atual de boa parte das instalações industriais providas de controladores digitais é bem preocupante, no que se refere à proteção cibernética.

Arquitetura tradicional de proteção cibernética de controladores digitais

Basicamente, as arquiteturas tradicionais de proteção cibernética nas instalações industriais providas de controladores digitais fazem o emprego de sistemas firewalls (físicos e/ou virtuais e gateways) que são instalados em algum ponto das redes de comunicação.

Estes sistemas garantem a proteção dos controladores digitais contra ataques de “hackers externos”, que se utilizam da infraestrutura universal de comunicação para tentar acessos não autorizados às instalações protegidas. Estes sistemas de proteção também permitem a introdução de níveis de acessos privilegiados e reservados somente ao pessoal autorizado da instalação, por meio de senhas de software (repetindo: senhas de software). Mesmo assim, estes sistemas não são uma garantia de 100% em termos de proteção contra os “hackers externos”.

No entanto, as arquiteturas tradicionais de proteção não garantem uma real proteção contra o “hacker interno”, somente garantem proteção contra o “hacker externo”, como já mencionado no parágrafo anterior.

É aí que reside um dos grandes problemas. Mas quem é o “hacker interno”?

O “hacker interno” geralmente é algum profissional de dentro da instalação (mas não limitado a este), que passa a figurar (ocultamente) por motivo de alguma insatisfação. Ele é, muitas vezes, mais nocivo à organização do que o “hacker externo”, pelo simples fato de conhecer profundamente a instalação e poder utilizar estes conhecimentos para prejudicar sua organização como forma de compensar sua eventual insatisfação.

Um exemplo de sabotagem da organização seria o acesso direto aos controladores digitais (acesso pós-firewall), algo impossível para um “hacker externo”, provocando um TRIP ou shutdown do turbocompressor, interrompendo a produção de combustível em uma refinaria ou TRIP de um turbogerador, interrompendo a produção de energia em uma hidroelétrica ou termoelétrica. Como o controlador digital não possui blindagem da CPU, o “hacker interno” sente-se à vontade e livre para sua incursão, já que não deixará rastros, além dos danos externos da eventual sabotagem.

Outros tipos de “hackers internos” também podem ser fornecedores frequentes da instalação, terceirizados, espiões industriais, civis e até militares, e

ntre outros tipos e situações.

O que muda com a blindagem da CPU do controlador digital?

De maneira resumida, a nova CPU blindada passa a ter integrada em sua estrutura um firewall interno embarcado, o que não ocorre nas CPUs tradicionais. Entretanto, para se chegar a este nível, um longo caminho é percorrido pelo fabricante do controlador digital, por se tratar de um verdadeiro upgrade do produto.

Uma série de pesados ensaios e procedimentos é exigida para que o equipamento possa ser certificado em nível de CPU por entidade especializada em segurança cibernética de equipamentos digitais. Trata-se da “Certificação Achilles”. Para isso, a North American Electric Reliability Corporation (Nerc) determina uma série de requerimentos CIP (Critical Infrastruture Protection – Níveis 2 a 9), considerada para a obtenção da Certificação Achilles pelo fabricante do controlador digital.

Benefícios da blindagem de CPU em controladores digitais – Certificação Achilles

1. Comunicação encriptada;

2. Autenticação via password diretamente sobre a CPU blindada, isto é, a senha fica armazenada no firewall embarcado da CPU;

3. Senhas reforçadas e com possibilidade de emprego de caracteres especiais;

4. Porta simples para comunicação SSH (Secure Shell Communication) dedicada e segura;

5. Logs e atualizações de dados de acesso através de comunicação segura;

6. Risco de penetração praticamente reduzido a 0% para usuários não autorizados, mesmo em caso de tentativa de acesso pós-firewall externo;

7. Proteção contra o “hacker interno”;

8. Elevado aumento da confiabilidade da arquitetura de proteção cibernética como um todo, já que o firewall interno somado ao firewall externo poderá garantir proteção contra os hackers interno e externo.

Custo

Atualmente, poucos fabricantes de controladores digitais (todos estrangeiros, nenhum nacional por enquanto) conseguiram obter a certificação internacional Achilles para segurança cibernética da CPU. Aqueles que possuem essa certificação em seu portfólio, por hora, têm oferecido ao mercado as versões anteriores de seus controladores digitais sem a blindagem da CPU e versões dos mesmos controladores com a blindagem da CPU, mas a custos distintos.

No entanto, a tendência para os próximos anos é que os fabricantes que possuam versões blindadas das CPUs de seus controladores padronizem apenas essa versão, deixando de comercializar as antigas.

Conclusão

Fica demonstrada aos usuários de controladores digitais aplicados em processos críticos, especialmente aos ligados a abastecimento e fornecimento energético no Brasil, a importância da necessidade de se preocupar seriamente com a segurança cibernética das arquiteturas de automação de suas instalações, passando a considerar em seus projetos novos e de retrofits a necessidade urgente de especificar controladores digitais que possuam a certificação internacional Achilles para garantia da blindagem da CPU do equipamento.

Somente com esta blindagem é que o usuário poderá enfim ter a tranquilidade esperada no quesito segurança cibernética e compreendido que apenas os firewalls e gateways externos tradicionais de mercado não são a garantia plena de proteção dos ativos instalados contra acessos não autorizados, evitando sabotagens.

 


Referências

– Cyber Security Enhancements for MicroNet PLUS – Klammer, Troy – Woodward Industrial Controls – Fort Collins – CO / USA – March 31th, 2011

– NERC – CIP 002 to 009 Requirements – Achilles Certification


*Ronaldo José da Silva é engenheiro mecatrônico. Atualmente, é gerente de contas da Woodward.


 

Comentários

Deixa uma mensagem

%d blogueiros gostam disto: