[1] O documento discute a importância de quebrar paradigmas de segurança e implementar boas práticas de segurança em sistemas SCADA na TBG. [2] Ele analisa paradigmas comuns como a ideia de que antivírus e atualizações de SO não devem ser usados em SCADA e propõe alternativas como implementar antivírus e atualizações de forma segura. [3] Também descreve boas práticas implementadas no SCADA da TBG como uso de antivírus, Active Directory, firewalls e redundância para melhorar a segurança.
Aprendizado de máquinas aplicado à segurança cibernética de plantas industriais
CLASS 2016 - Palestra Nicolau Branco
1. Sistema SCADA da TBG
A importância da quebra de paradigmas e da
implantação de boas práticas de segurança
em sistemas SCADA
Nicolau Branco
Jorge Pepe Garrido
Rodrigo de Jesus
2.
3.
4. Conceitos, definições e premissas
SCADA – “Supervisory Control and Data Acquisition”
Supervisão e controle do gasoduto, remotamente, desde a CSC no Rio de Janeiro
Premissas:
• Funcionar ininterruptamente, de forma segura, confiável e eficaz
• Ser um sistema robusto, para garantir a continuidade operacional
Os "paradigmas" referem-se às práticas tradicionais comumente utilizadas nos Sistemas SCADA
Aperfeiçoamento das práticas utilizadas para cumprir as recomendações das normas:
• Segurança de tecnologia da informação (ISO/IEC 27000)
• Segurança de automação industrial e sistemas de controle (ANSI/ISA 62443)
SISTEMAS SCADA
5. Paradigmas
“Softwares de antivírus são incompatíveis e não devem ser utilizados em sistemas SCADA”
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser instalados
em sistemas SCADA”
“Não é possível ou é inviável estabelecer políticas de senhas complexas e periodicidade de troca de
senhas nos sistemas SCADA”
Criptografia em sistemas SCADA
SISTEMAS SCADA
6. Paradigma – Softwares de antivírus
“Softwares de antivírus são incompatíveis e não devem ser utilizados em sistemas SCADA”
• Ocasionar lentidão nos computadores industriais durante scans do antivírus
• Interromper comunicações entre dispositivos pela má interpretação de protocolos/rotinas
• Gerar a dependência com mais um fabricante de software
• Perda de garantia/sup. técnico de fabricantes que não homologam softwares de terceiros
• Incompatibilidade entre os softwares do antivírus e sistemas operacionais obsoletos
• Percepção de ineficácia por proteger apenas contra ameaças já conhecidas
• Necessidade de reiniciar aplicações industriais após atualizações do antivírus
• Necessidade de novo teste de aceitação de todo o sistema
Requisitos técnicos
Aspectos legais (leis, portarias, normas), cláusulas contratuais e acordos comerciais
Seguro vigente
SISTEMAS SCADA
7. Paradoxo – Softwares de antivírus
Paradoxo: “Como justificar o aumento da segurança do sistema SCADA através da instalação
de um software de antivírus se, para isso, será necessário gerar uma vulnerabilidade”?
VULNERABILIDADE Atualização periódica das vacinas de antivírus desde a internet
• Cópia de arquivos para a rede industrial utilizando-se mídias removíveis (USB ou CD/DVD)
Ou
• Criação de interface de comunicação entre a rede industrial e a rede corporativa
Atualização diretamente com o fabricante na internet
Atualização via servidor de antivírus corporativo
SISTEMAS SCADA
8. Alternativas para implantação de antivírus SCADA
Cópia de arquivos para a rede industrial utilizando-se mídias removíveis:
• Falta de escalabilidade
• Demanda de um processo diário de busca, checagem e cópia dos arquivos (dias úteis)
Criação de uma interface de comunicação entre a rede industrial e a rede corporativa:
• Interface direta entre as duas redes (restrição por ACL no roteador)
• Implantar arquitetura através de Firewall
• Implantar arquitetura através de Firewall com DMZ SCADA
As redes industriais não devem ter conexão com redes externas (Normas ANSI/ISA 62443)
SISTEMAS SCADA
9. Paradigma – Patches de atualização dos SO
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser
instalados em sistemas SCADA”
• A frequência de lançamento de Patches do SO >> Atualizações dos fabricantes SCADA
• Precisam ser homologados e testados junto com SCADA antes de serem aplicados
• Patches não homologados pelo fabricante SCADA podem torná-lo inelegível ao suporte técnico
• Sistemas SCADA abrigam SO obsoletos (SO sem suporte técnico nem correções/atualizações)
• Necessidade de reiniciar computadores (aplicações industriais) após atualizações do SO
• Norma ABNT NBR ISO/IEC 27002:2013
“Fornecedores estão frequentemente sob grande pressão para liberar correções... ...podem
causar efeitos colaterais negativos”
“... a desinstalação de uma correção pode não ser facilmente obtida após sua instalação”
“SO e aplicativos somente sejam implementados após testes extensivos e bem- sucedidos”
“... convém que uma estratégia de retorno às condições anteriores seja disponibilizada...”
SISTEMAS SCADA
11. Paradigma – Patches de atualização dos SO
“Patches de correção e atualizações de segurança dos sistemas operacionais não devem ser
instalados em sistemas SCADA”
Missão dos fabricantes, integradores, desenvolvedores, administradores e usuários SCADA:
• Analisar constantemente as vulnerabilidades, ameaças e riscos
• Criar critérios e classificar a criticidade dos impactos no ambiente SCADA
• Minimizar os impactos negativos à operação
• Manter a robustez e confiabilidade dos Sistemas SCADA
• Priorizar a homologação/incorporação de melhorias conforme requisitos do negócio
• Realizar esforços para proporcionar a implantação de atualizações críticas, para evitar que
vulnerabilidades e ameaças persistentes que já dispõem de soluções permaneçam ativas
SISTEMAS SCADA
12. Paradigma – Política de senhas no SCADA
“Não é possível ou é inviável estabelecer políticas de senhas complexas e periodicidade de troca
de senhas nos sistemas SCADA”
• Atividades críticas podem deixar de ser executadas por impossibilidade de autenticação
• Alguns equipamentos e sistemas não permitem a troca ou a utilização de senhas complexas
A ausência de uma Política de Segurança efetiva acarreta no seguinte cenário:
• Equipamentos e sistemas configurados com Login automático ou senha-padrão do fabricante
• Sistemas com senhas fracas (simples, curtas e fixas), para rápida digitação e fácil memorização
• Práticas inseguras para utilização, memorização, armazenamento e compartilhamento
Senhas anotadas em papel nas mesas de operação ou coladas em equipamentos
Senhas disponíveis em arquivos compartilhados ou sem nenhum tipo de codificação
Compartilhamento de senhas entre usuários que dispõem de diferentes privilégios
SISTEMAS SCADA
13. Paradigma – Política de senhas no SCADA
Cenários dos Sistemas SCADA Manutenção de práticas inseguras
Realização de atividades de rotina para manter a operação contínua, sem interrupções
Login automático e usuário/senha comuns para evitar interrupções nas centrais de
controle e unidades de produção durante as trocas de turno dos operadores
Estabelecer senhas individuais para realizar tarefas restritas (comandos e alarmes)
Realização de atividades críticas e de contingência requer eficiência e eficácia
Falha de autenticação impossibilita a realização das atividades
Distância entre as centrais de controle e os processos industriais (distribuição geográfica)
Dificuldade de percepção/resolução de problemas por gestores e administradores
Impossibilidade de configuração de senhas em equipamentos e sistemas por limitações de fábrica
SISTEMAS SCADA
14. Paradigma – Criptografia no SCADA
Dificuldades para implantar a criptografia de dados e meios de comunicação em Sistemas SCADA
• Sobrecarregar os recursos de processamento e memória dos dispositivos industriais para
realizar a codificação (criptografia) e decodificação das mensagens e dados
• Gerar latência nos meios de comunicação das redes industriais
• Impossibilidade de utilizar criptografia em equipamentos e protocolos de comunicação
industriais
• Possibilidade das ameaças utilizarem os meios de comunicação criptografados para
contaminação e proliferação no sistema SCADA, não sendo detectadas pelas camadas de
proteção existentes
SISTEMAS SCADA
15. Paradigma – Criptografia no SCADA
Dos quatro paradigmas apresentados, a utilização de criptografia de dados e dos meios de
comunicação é o mais difícil de ser quebrado, pelos seguintes motivos:
• Comprovada ocorrência de latência pela utilização da criptografia
• Limitações técnicas desde a fabricação dos equipamentos e desenvolvimento de protocolos de
comunicação industriais, que, geralmente, não são concebidos para incorporar este recurso
• Sistemas de controle e redes industriais privilegiam a confiabilidade em detrimento da
confidencialidade
• A confiabilidade da supervisão e, principalmente, do controle dos processos industriais está
acima da necessidade de confidencialidade dos dados que trafegam nas redes industriais
Execução dos scans dos CLP
Intertravamentos e rotinas de segurança
Envio de comandos e confirmação do recebimento pelos dispositivos em campo
SISTEMAS SCADA
16. Paradigma – Criptografia no SCADA
VPN (Virtual Private Networks)
• Acesso remoto para visualização das telas e variáveis do SCADA
• Manutenção remota dos sistemas SCADA
• Suporte aos técnicos de campo e operadores nas salas de controle (plantão e sobreaviso)
Em contrapartida, cria-se uma interface de comunicação com a rede SCADA
• Invasores podem utilizar este meio seguro para executar ações nocivas ao SCADA e à operação
• Ferramentas de monitoração e bloqueio podem não ser capazes de detectá-los
SISTEMAS SCADA
17. Quebrando paradigmas
Desafios dos profissionais de automação para a adoção das políticas de segurança
• Adotar uma Política de Segurança de acordo com os processos e tecnologias envolvidas
• Elaborar procedimentos específicos para o sistema SCADA
• Capacitar e reciclar constantemente todos os usuários do sistema SCADA
• Evidenciar para o pessoal de TI a existência da TO, suas interfaces e os riscos envolvidos
• Integrar as equipes de TI e TO para agregar experiências e buscar consenso na resolução de
problemas decorrentes das diferentes práticas e culturas
• Buscar novas tecnologias para prover soluções que atendam tanto às necessidades dos
usuários finais para o desempenho de suas funções, quanto aos requisitos das normas
Segurança de tecnologia da informação (ISO/IEC 27000)
Segurança de automação industrial e sistemas de controle (ANSI/ISA 62443)
SISTEMAS SCADA
18. Boas práticas de segurança adotadas no SCADA da TBG
• Capacitação e priorização no assunto “Segurança da Informação”
• Início do registro dos incidentes de segurança para criação de histórico de ocorrências
• Mapeamento e análise de todos os equipamentos, redes, sistemas, interfaces e serviços
• Estabelecimento de parâmetros para avaliar a criticidade individual/comparativa
• Pesquisa de mercado para obtenção de produtos (software/hardware) e soluções
• Mapeamento e análise das atividades mais críticas a serem executadas
SISTEMAS SCADA
19. Boas práticas de segurança adotadas no SCADA da TBG
Ações para tratamento das vulnerabilidades, ameaças e riscos:
Substituição de equipamentos antigos/obsoletos
Migração de sistemas operacionais obsoletos
Testes de homologação e instalação de atualizações de segurança nos sistemas operacionais
Implantação do antivírus no ambiente SCADA
Implantação do “Domínio SCADA” (ActiveDirectory)
Centralização das políticas de segurança e sincronização de data/hora (TimeServer)
Implantação do inventário do ambiente SCADA (SystemCenter)
Implantação de servidores, roteadores e switches redundantes
Redistribuição dos recursos de rede e Telecom para evitar pontos críticos
Instalação e implantação do Firewall SCADA e criação e migração para a DMZ SCADA
Privilegiar equipamentos, sistemas e aplicações com autenticação (Domínio SCADA)
SISTEMAS SCADA
20. Boas práticas de segurança adotadas no SCADA da TBG
Projeto Cyber Security SCADA – Implantação de antivírus, Active Directory e System Center
• Implantação de antivírus em todas as máquinas do domínio SCADA
• Implantação do “Domínio SCADA”
Gerenciamento dos ativos
Centralização das políticas de rede e atualização do antivírus
Implantação de TimeServer para ajuste de data/hora de todo ambiente SCADA
Redundância entre Central de Controle Principal e Reserva
Possibilitou implantar política de bloqueio ao acesso das portas USB
• Implantação do System Center
Inventário de hardware e software do ambiente SCADA
Geração de gráficos e relatórios automatizados
SISTEMAS SCADA