[1] O documento discute a importância de quebrar paradigmas de segurança e implementar boas práticas de segurança em sistemas SCADA na TBG. [2] Ele analisa paradigmas comuns como a ideia de que antivírus e atualizações de SO não devem ser usados em SCADA e propõe alternativas como implementar antivírus e atualizações de forma segura. [3] Também descreve boas práticas implementadas no SCADA da TBG como uso de antivírus, Active Directory, firewalls e redundância para melhorar a segurança.

1. Sistema SCADA da TBG
A importância da quebra de paradigmas e da
implantação de boas práticas de segurança
em sistemas SCADA
Nicolau Branco
Jorge Pepe Garrido
Rodrigo de Jesus

4. Conceitos, definições e premissas
SCADA – “Supervisory Control and Data Acquisition”
Supervisão e controle do gasoduto, remotamente, desde a CSC no Rio de Janeiro
Premissas:
• Funcionar ininterruptamente, de forma segura, confiável e eficaz
• Ser um sistema robusto, para garantir a continuidade operacional
Os "paradigmas" referem-se às práticas tradicionais comumente utilizadas nos Sistemas SCADA
Aperfeiçoamento das práticas utilizadas para cumprir as recomendações das normas:
• Segurança de tecnologia da informação (ISO/IEC 27000)
• Segurança de automação industrial e sistemas de controle (ANSI/ISA 62443)
SISTEMAS SCADA

5. Paradigmas
“Softwares de antivírus são incompatíveis e não devem ser utilizados em sistemas SCADA”
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser instalados
em sistemas SCADA”
“Não é possível ou é inviável estabelecer políticas de senhas complexas e periodicidade de troca de
senhas nos sistemas SCADA”
Criptografia em sistemas SCADA
SISTEMAS SCADA

6. Paradigma – Softwares de antivírus
“Softwares de antivírus são incompatíveis e não devem ser utilizados em sistemas SCADA”
• Ocasionar lentidão nos computadores industriais durante scans do antivírus
• Interromper comunicações entre dispositivos pela má interpretação de protocolos/rotinas
• Gerar a dependência com mais um fabricante de software
• Perda de garantia/sup. técnico de fabricantes que não homologam softwares de terceiros
• Incompatibilidade entre os softwares do antivírus e sistemas operacionais obsoletos
• Percepção de ineficácia por proteger apenas contra ameaças já conhecidas
• Necessidade de reiniciar aplicações industriais após atualizações do antivírus
• Necessidade de novo teste de aceitação de todo o sistema
 Requisitos técnicos
 Aspectos legais (leis, portarias, normas), cláusulas contratuais e acordos comerciais
 Seguro vigente
SISTEMAS SCADA

7. Paradoxo – Softwares de antivírus
Paradoxo: “Como justificar o aumento da segurança do sistema SCADA através da instalação
de um software de antivírus se, para isso, será necessário gerar uma vulnerabilidade”?
VULNERABILIDADE  Atualização periódica das vacinas de antivírus desde a internet
• Cópia de arquivos para a rede industrial utilizando-se mídias removíveis (USB ou CD/DVD)
Ou
• Criação de interface de comunicação entre a rede industrial e a rede corporativa
 Atualização diretamente com o fabricante na internet
 Atualização via servidor de antivírus corporativo
SISTEMAS SCADA

8. Alternativas para implantação de antivírus SCADA
Cópia de arquivos para a rede industrial utilizando-se mídias removíveis:
• Falta de escalabilidade
• Demanda de um processo diário de busca, checagem e cópia dos arquivos (dias úteis)
Criação de uma interface de comunicação entre a rede industrial e a rede corporativa:
• Interface direta entre as duas redes (restrição por ACL no roteador)
• Implantar arquitetura através de Firewall
• Implantar arquitetura através de Firewall com DMZ SCADA
As redes industriais não devem ter conexão com redes externas (Normas ANSI/ISA 62443)
SISTEMAS SCADA

9. Paradigma – Patches de atualização dos SO
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser
instalados em sistemas SCADA”
• A frequência de lançamento de Patches do SO >> Atualizações dos fabricantes SCADA
• Precisam ser homologados e testados junto com SCADA antes de serem aplicados
• Patches não homologados pelo fabricante SCADA podem torná-lo inelegível ao suporte técnico
• Sistemas SCADA abrigam SO obsoletos (SO sem suporte técnico nem correções/atualizações)
• Necessidade de reiniciar computadores (aplicações industriais) após atualizações do SO
• Norma ABNT NBR ISO/IEC 27002:2013
 “Fornecedores estão frequentemente sob grande pressão para liberar correções... ...podem
causar efeitos colaterais negativos”
 “... a desinstalação de uma correção pode não ser facilmente obtida após sua instalação”
 “SO e aplicativos somente sejam implementados após testes extensivos e bem- sucedidos”
 “... convém que uma estratégia de retorno às condições anteriores seja disponibilizada...”
SISTEMAS SCADA

10. PARADIGMA – PATCHES DE ATUALIZAÇÃO DOS SISTEMAS OPERACIONAIS

11. Paradigma – Patches de atualização dos SO
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser
instalados em sistemas SCADA”
Missão dos fabricantes, integradores, desenvolvedores, administradores e usuários SCADA:
• Analisar constantemente as vulnerabilidades, ameaças e riscos
• Criar critérios e classificar a criticidade dos impactos no ambiente SCADA
• Minimizar os impactos negativos à operação
• Manter a robustez e confiabilidade dos Sistemas SCADA
• Priorizar a homologação/incorporação de melhorias conforme requisitos do negócio
• Realizar esforços para proporcionar a implantação de atualizações críticas, para evitar que
vulnerabilidades e ameaças persistentes que já dispõem de soluções permaneçam ativas
SISTEMAS SCADA

12. Paradigma – Política de senhas no SCADA
“Não é possível ou é inviável estabelecer políticas de senhas complexas e periodicidade de troca
de senhas nos sistemas SCADA”
• Atividades críticas podem deixar de ser executadas por impossibilidade de autenticação
• Alguns equipamentos e sistemas não permitem a troca ou a utilização de senhas complexas
A ausência de uma Política de Segurança efetiva acarreta no seguinte cenário:
• Equipamentos e sistemas configurados com Login automático ou senha-padrão do fabricante
• Sistemas com senhas fracas (simples, curtas e fixas), para rápida digitação e fácil memorização
• Práticas inseguras para utilização, memorização, armazenamento e compartilhamento
 Senhas anotadas em papel nas mesas de operação ou coladas em equipamentos
 Senhas disponíveis em arquivos compartilhados ou sem nenhum tipo de codificação
 Compartilhamento de senhas entre usuários que dispõem de diferentes privilégios
SISTEMAS SCADA

13. Paradigma – Política de senhas no SCADA
Cenários dos Sistemas SCADA  Manutenção de práticas inseguras
Realização de atividades de rotina para manter a operação contínua, sem interrupções
 Login automático e usuário/senha comuns para evitar interrupções nas centrais de
controle e unidades de produção durante as trocas de turno dos operadores
 Estabelecer senhas individuais para realizar tarefas restritas (comandos e alarmes)
Realização de atividades críticas e de contingência requer eficiência e eficácia
 Falha de autenticação impossibilita a realização das atividades
Distância entre as centrais de controle e os processos industriais (distribuição geográfica)
 Dificuldade de percepção/resolução de problemas por gestores e administradores
Impossibilidade de configuração de senhas em equipamentos e sistemas por limitações de fábrica
SISTEMAS SCADA

14. Paradigma – Criptografia no SCADA
Dificuldades para implantar a criptografia de dados e meios de comunicação em Sistemas SCADA
• Sobrecarregar os recursos de processamento e memória dos dispositivos industriais para
realizar a codificação (criptografia) e decodificação das mensagens e dados
• Gerar latência nos meios de comunicação das redes industriais
• Impossibilidade de utilizar criptografia em equipamentos e protocolos de comunicação
industriais
• Possibilidade das ameaças utilizarem os meios de comunicação criptografados para
contaminação e proliferação no sistema SCADA, não sendo detectadas pelas camadas de
proteção existentes
SISTEMAS SCADA

15. Paradigma – Criptografia no SCADA
Dos quatro paradigmas apresentados, a utilização de criptografia de dados e dos meios de
comunicação é o mais difícil de ser quebrado, pelos seguintes motivos:
• Comprovada ocorrência de latência pela utilização da criptografia
• Limitações técnicas desde a fabricação dos equipamentos e desenvolvimento de protocolos de
comunicação industriais, que, geralmente, não são concebidos para incorporar este recurso
• Sistemas de controle e redes industriais privilegiam a confiabilidade em detrimento da
confidencialidade
• A confiabilidade da supervisão e, principalmente, do controle dos processos industriais está
acima da necessidade de confidencialidade dos dados que trafegam nas redes industriais
 Execução dos scans dos CLP
 Intertravamentos e rotinas de segurança
 Envio de comandos e confirmação do recebimento pelos dispositivos em campo
SISTEMAS SCADA

16. Paradigma – Criptografia no SCADA
VPN (Virtual Private Networks)
• Acesso remoto para visualização das telas e variáveis do SCADA
• Manutenção remota dos sistemas SCADA
• Suporte aos técnicos de campo e operadores nas salas de controle (plantão e sobreaviso)
Em contrapartida, cria-se uma interface de comunicação com a rede SCADA
• Invasores podem utilizar este meio seguro para executar ações nocivas ao SCADA e à operação
• Ferramentas de monitoração e bloqueio podem não ser capazes de detectá-los
SISTEMAS SCADA

17. Quebrando paradigmas
Desafios dos profissionais de automação para a adoção das políticas de segurança
• Adotar uma Política de Segurança de acordo com os processos e tecnologias envolvidas
• Elaborar procedimentos específicos para o sistema SCADA
• Capacitar e reciclar constantemente todos os usuários do sistema SCADA
• Evidenciar para o pessoal de TI a existência da TO, suas interfaces e os riscos envolvidos
• Integrar as equipes de TI e TO para agregar experiências e buscar consenso na resolução de
problemas decorrentes das diferentes práticas e culturas
• Buscar novas tecnologias para prover soluções que atendam tanto às necessidades dos
usuários finais para o desempenho de suas funções, quanto aos requisitos das normas
 Segurança de tecnologia da informação (ISO/IEC 27000)
 Segurança de automação industrial e sistemas de controle (ANSI/ISA 62443)
SISTEMAS SCADA

18. Boas práticas de segurança adotadas no SCADA da TBG
• Capacitação e priorização no assunto “Segurança da Informação”
• Início do registro dos incidentes de segurança para criação de histórico de ocorrências
• Mapeamento e análise de todos os equipamentos, redes, sistemas, interfaces e serviços
• Estabelecimento de parâmetros para avaliar a criticidade individual/comparativa
• Pesquisa de mercado para obtenção de produtos (software/hardware) e soluções
• Mapeamento e análise das atividades mais críticas a serem executadas
SISTEMAS SCADA

19. Boas práticas de segurança adotadas no SCADA da TBG
Ações para tratamento das vulnerabilidades, ameaças e riscos:
 Substituição de equipamentos antigos/obsoletos
 Migração de sistemas operacionais obsoletos
 Testes de homologação e instalação de atualizações de segurança nos sistemas operacionais
 Implantação do antivírus no ambiente SCADA
 Implantação do “Domínio SCADA” (ActiveDirectory)
 Centralização das políticas de segurança e sincronização de data/hora (TimeServer)
 Implantação do inventário do ambiente SCADA (SystemCenter)
 Implantação de servidores, roteadores e switches redundantes
 Redistribuição dos recursos de rede e Telecom para evitar pontos críticos
 Instalação e implantação do Firewall SCADA e criação e migração para a DMZ SCADA
 Privilegiar equipamentos, sistemas e aplicações com autenticação (Domínio SCADA)
SISTEMAS SCADA

20. Boas práticas de segurança adotadas no SCADA da TBG
Projeto Cyber Security SCADA – Implantação de antivírus, Active Directory e System Center
• Implantação de antivírus em todas as máquinas do domínio SCADA
• Implantação do “Domínio SCADA”
 Gerenciamento dos ativos
 Centralização das políticas de rede e atualização do antivírus
 Implantação de TimeServer para ajuste de data/hora de todo ambiente SCADA
 Redundância entre Central de Controle Principal e Reserva
 Possibilitou implantar política de bloqueio ao acesso das portas USB
• Implantação do System Center
 Inventário de hardware e software do ambiente SCADA
 Geração de gráficos e relatórios automatizados
SISTEMAS SCADA

21. Cenários e arquiteturas do antivírus no SCADA da TBG
SISTEMAS SCADA

22. Implantação de servidores redundantes
SISTEMAS SCADA

23. Implantação de roteadores redundantes
SISTEMAS SCADA

24. Implantação de switches redundantes
SISTEMAS SCADA

25. Implantação de Firewall e DMZ SCADA
SISTEMAS SCADA

26. Obrigado