As prioridades dos grupos de Tecnologia da Informação geralmente se concentram na manutenção da segurança do sistema, por meio de: confidencialidade, integridade e disponibilidade. Os grupos de Tecnologia da Operação se concentram principalmente em manter as operações em execução, por meio de: segurança, confiabilidade e confidencialidade.
O padrão IEC 62443 ajuda a proteger os sistemas TO habilitados para IoT, expandindo isso para sete requisitos básicos:
- Controle de acesso: Proteja o componente verificando a identidade de qualquer usuário solicitando acesso a um componente antes de ativar a comunicação com esse componente. Quando usado em conjunto com o log de eventos de segurança, isso incluirá a garantia de “não repúdio”, ou seja, uma pessoa não pode negar que executou uma ação específica.
- Use o Controle: Proteja-se contra ações não autorizadas nos componentes dos recursos, verificando se os privilégios mínimos necessários foram concedidos antes de permitir que um usuário execute as ações. Isso pode neutralizar que um hacker faça acesso ao sistema e tenha alguma função administrativa com este usuário , fornecendo sempre que possível o menor nível de acesso.
- Integridade de dados: Certifique-se de que os componentes funcionem conforme o esperado durante os estados operacionais e não operacionais, como produção e armazenamento de energia ou desligamento para manutenção. Considere o exemplo de um cliente de uma concessionária de energia sendo cobrado pela energia. As faturas devem ser baseadas em dados confiáveis e integros. A concessionária e o cliente não podem permitir uma violação de dados. Ou considere um disjuntor que vai falhar. Se o sistema SCADA for hackeado e for forçado a indicar que está tudo bem, isso pode causar uma falha inesperada e perigosa.
- Confidencialidade de dados: Proteção de informações de natureza confidencial ou sensível geradas por componentes, em repouso ou em trânsito na rede. Considere se as informações carregadas em um servidor no data center foram acessadas por um hacker. Essas informações de negócios são proprietários e podem definir o quão bem-sucedido é o data center, o que pode ser também altamente valioso para um concorrente.
- Restringir o fluxo de dados: Garanta a uma rede segmentada considerando estratégia de desconexão,sem interdependência, gateway unidirecional em redes de automação, firewalls e zonas de desmilitarizadas DMZ devem ser definidas para evitar o fluxo de dados desnecessário. A segmentação de rede é uma estratégia eficiente que diminui a superfície de em pode impedir um ataque cibernético de um sistema conectado a outro (por exemplo, da rede elétrica para a rede corporativa).
- Resposta apropiada ao um evento ou incidente: Responda às violações de segurança notificando a autoridade adequada, relatando as evidências necessárias da violação e tomando medidas corretivas apropriadas e ágeis quando incidentes forem descobertos em situações críticas ou de segurança operacional.
- Disponibilidade de recursos: Garanta a disponibilidade do aplicativo ou dispositivo contra a degradação ou negação de serviços essenciais.
Quando comparamos as prioridades entre TI e segurança de TO (destacados em verde na lista acima), as equipes de TO tem uma prioridade difernte. No caso de sistemas de distribuição elétrica, a principal prioridade será manter a segurança e a disponibilidade de energia (consulte a Figura 4).
| Tecnologia da Informação | Tecnologia Operacional |
| 1- Confidencialidade | 1- Segurança |
| 2- Integridade | 2- Confiabilidade & Resiliência (Pessoas & ativos físicos) |
| 3- Disponibilidade | 3- Confidencialidade (Disponibilidade & Integridade) |
(Figura 4- Diferença nas prioridades de segurança entre as equipes de TI e OT)
Próximos passos
Guiado pelo padrão IEC 62443, há uma série de etapas importantes que os projetistas de sistemas, proprietários e gerentes de instalações devem seguir para garantir que seus sistemas de distribuição elétrica conectados – incluindo soluções de rede, controle e sistema de segurança – sejam os mais cíber seguros possíveis.
- Consultoria: Encontre um especialista em distribuição de energia elétrica com um conhecimento profundo dos requisitos de segurança cibernética para ajudá-lo com uma avaliação de vulnerabilidades e riscos para definir os níveis de segurança de que você precisa, em conformidade com o IEC 62443.
- Provedor de soluções: Escolha um provedor de tecnologia de sistema elétrico que tenha adotado o padrão IEC 62443 e tenha um processo de ciclo de vida de desenvolvimento seguro em vigor que:
- Garante práticas de design resilientes
- Fornece uma resposta formal ao cliente em caso de vulnerabilidades descobertas
- Testa e valida totalmente a segurança de todos os componentes e sistemas
- Demonstra certificação de cibersegurança de terceiros
- Pode fornecer soluções personalizadas e flexíveis que se alinham com seus requisitos do seu negócio
- Prestadores de serviços: Escolha parceiros com os recursos necessários:
- Integrador de sistemas com profunda experiência em TI e TO, incluindo segurança cibernética no contexto de sistemas operacionais críticos
- Serviços de segurança cibernética que podem fornecer uma resposta rápida para ajudar os clientes a avaliar e se recuperar de um ataque cibernético
Conclusão
Com o uso crescente de dispositivos habilitados para IoT e conectividade em todos os sistemas de distribuição elétrica, bem como a tendência de convergência dos sistemas de TI e TO, é fundamental que os projetistas de sistemas elétricos e os usuários finais atendam à necessidade de segurança cibernética. Isso inclui a avaliação adequada de ameaças e vulnerabilidades potenciais, bem como a especificação dos níveis apropriados de segurança do dispositivo ao nível do sistema. O padrão IEC 62443 está simplificando e resumida nesse processo, estabelecendo uma orientação clara dentro de sete requisitos básicos e quatro níveis de segurança padronizados para redes TO. Projetistas elétricos, provedores de soluções e provedores de serviços estão adotando o padrão para ajudar seus clientes a projetar e oferecer suporte a infraestruturas elétricas que atinjam os níveis necessários de segurança cibernética.
Sobre o autor
Adam Gauci nasceu em Toronto, Ontário, Canadá e recebeu o título de bacharel em Engenharia da Computação pela Queen’s University em Kingston, Ontário. Sua experiência de trabalho anterior inclui Hydro One Networks como engenheiro de proteção e controle e Cooper Power Systems como engenheiro de aplicação de campo. Atualmente, ele está trabalhando na Schneider Electric como Líder de Marketing de Segurança Cibernética da EcoStruxure Power, com sede em Montpellier, França. O Sr. Gauci é um Engenheiro Profissional registrado na província de Ontário.
Adicione um comentário