Bem-vindo ao website da Schneider Electric

Bem-vindo ao nosso site.

Pode selecionar outro país para consultar os produtos disponíveis ou aceder ao nosso website global para obter informações sobre a empresa.

Escolha outro país ou região

  • Como proteger sistemas de controle industrial contra ataques cibernéticos

Worker with tablet computer in front of oil rig, oil and gas, sustainability reporting, internet of things.
O método de Defesa em Profundidade elaborado pela National Security Agency (NSA) e incluído na estratégia da Schneider Electric para segurança cibernética

Os órgãos federais hoje reconhecem a intensificação de ameaças de invasão cibernética e estão tomando medidas para proteger seus sistemas de controles industriais (ICS), que incluem sistemas de gestão de instalações e energia, SCADA, e sistemas de CLP. Entretanto, melhorar a segurança cibernética permanece um desafio constante e em evolução.

Os ataques cibernéticos aumentam cada ano

De acordo com o Estudo do Custo do Crime de Ataque Cibernético de 2013, o custo médio anual de crimes cibernéticos naquele ano foi de $11,6 milhões; solucionar um ataque resultou numa média de 65 dias. A equipe CERT (Prontidão para Emergência de Computadores) dos EUA descobriu que o número de incidentes de ataques cibernéticos relatado pelos órgãos federais aumentou em 782% entre 2006 e 2012. Além da consequência na economia, os órgãos federais devem levar em conta as consequências do crime cibernético em termos do impacto nas suas missões e vidas como cidadãos.

Frost & Sullivan, uma firma global de pesquisa, análise de mercado e consultoria, relata que os vetores de ataque cibernético incluem: invasão física, fator humano, falta de experiência em segurança e buracos na rede.

Um ataque cibernético pode causar prejuízo significativo pela paralisação ou interrupção da produção ou processo, bem como danos nos equipamentos e infraestrutura, e pode ocasionar penalidades por não conformidade com regulamentações. Muitos usuários finais tomaram algumas medidas para proteção contra ataques cibernéticos, mas eliminar vulnerabilidades requer superar vários obstáculos.

Barreiras para melhorar a segurança cibernética

De acordo com a pesquisa da Frost & Sullivan, as barreiras que dificultam os órgãos federais a melhorarem a segurança cibernética incluem:

  • Natureza aberta e de trabalho conjunto dos sistemas de controle industrial: Mais órgãos federais adotaram sistemas operacionais para vantagens de produtividade; entretanto, os sistemas abertos são mais vulneráveis a ataques.
  • Conscientização e ação inadequadas do usuário final: Usuários podem não saber do risco de ataques cibernéticos ou hesitar para implantar estratégias de segurança por temerem um impacto nas funções do sistema.
  • Aumento do uso de soluções TI prontas para utilização: Economia e facilidade de operação e integração colaboraram para que os órgãos mudassem para soluções de TI padronizadas, expondo-os a ameaças que visam sistemas similares usados no setor comercial.
  • Falta de experiência: Uma força de trabalho industrial focada nos sistemas de automação e processos não tem necessariamente experiência em redes de TI industrial.

Uma estratégia de proteção e prevenção

Para ajudar a lidar com essas barreiras, muitos órgãos estão fazendo parcerias com provedores de soluções para ajudar a melhorar a segurança tanto nos sistemas existentes como nos novos. Por exemplo, o método de "Defesa em Profundidade”, desenvolvido pela National Security Agency (NSA), destaca uma estratégia multicamadas que fornece segurança integral a nível industrial.

A Schneider Electric, em parceria com a Industrial Defender, uma provedora de soluções de software, oferece uma plataforma unificada para segurança, conformidade e gestão de mudança baseada no método de Defesa em Profundidade. Uma opção da solução é usar "Listas de e-mails e sites autorizados" que impede eventuais ameaças permitindo o funcionamento na rede apenas dos aplicativos aprovados.

Embora o método de “Defesa em Profundidade" incentive os órgãos a criar e implementar uma estratégia de segurança abrangente, este método às vezes é mal interpretado como sendo "tudo ou nada". Mas é também possível seguir adiante com melhorias na segurança em etapas medidas.

Implantação de um plano em etapas

De acordo com o Princípio de Pareto, aproximadamente 80% dos impactos resultam de 20% das causas. Reconhecer que a enormidade do problema pode, em alguns casos, intimidar a pessoa e provocar uma certa passividade, por isso, dividir a estratégia de segurança cibernética em etapas muitas vezes viabiliza a tarefa:

Passo 1: Identificar o maior impacto em uma empresa em termos de falha de segurança

Passo 2: Identificar em qual área específica das operações da fábrica está relacionada a este impacto.

Passo 3: Destacar as maiores vulnerabilidades em relação àquela área de operação

Passo 4: Minimizar ou eliminar tais vulnerabilidades.

Após seguir essas etapas, uma empresa pode passar à próxima área de impacto ou questão de vulnerabilidade. Em vez de renovar todo um sistema e virar vítima da "paralisia analítica", um método centrado em etapas garante que as mudanças significativas com o maior nível de impacto ocorram imediatamente. Também evita que a organização se pulverize e ajuda a obter o melhor valor pelos dólares investidos.

Para saber mais sobre como proteger sistemas de controle industriais contra ataques cibernéticos baixe o white paper, “Cibersegurança para Ambientes de Automação e Controle Industrial.”

Saiba mais