Proteção de sistemas OT: o desafio

Durante muitos anos os sistemas industriais que compõem a Operation Tecnology (OT) eram baseados em protocolos e software proprietário do fabricante e operados de forma manual por humanos. Estes sistemas não se encontravam ligados às tradicionais redes informáticas. Estas razões, faziam destes sistemas um alvo pouco significativo e apelativo por parte dos hackers.

A evolução tecnológica levou ao aparecimento de diversos sensores, sistemas de monitorização e outras tecnologias que são parte integrante dos equipamentos OT ou têm influência direta sobre os mesmos. Estes sensores são exemplo do que é a Industrial Internet of Things (IIOT). Toda a informação recolhida por estes sensores é armazenada e tratada por sistemas que estão diretamente ligados à Information Tecnology (IT) levando assim a uma convergência entre o mundo IT e OT.

Esta convergência, extremamente importante para o tratamento dos dados dos sistemas de indústrias e para a sua eficiência produtiva, coloca on-line sistemas críticos para o negócio de setores económicos tão importantes como o setor energético e setor dos transportes, entre outros. Com o aumento da exposição destes sistemas, mas sobretudo devido à sua criticidade, estes têm-se tornado alvos preferenciais de ciberataques. Como exemplos recentes temos o ataque ao “Colonial Pipeline” e ao JBS USA provocando milhões de dólares de prejuízo. O ataque à “Water treatment plants” de São Francisco, USA é um exemplo de um ataque que pode pôr em risco a saúde pública.

Assim é crucial que os setores da indústria, gestão pública, transportes, entre outros, tomem medidas de proteção dos seus sistemas OT.

A proteção dos sistemas OT passará pela adoção de dois métodos complementares, que embora possam ser implementados de forma singular, é o seu conjunto que tornará essa proteção mais eficaz: implementação de Next Generation Firewall (NGFW) e de dispositivos de rede capazes de micro segmentação; implementação de sistemas de monotorização e remediação mais avançados como por exemplo SIEM e/ou EDR.

A proteção pode ser feita de várias formas: recorrendo ao uso de Next Generation Firewalls (NGFW) restringindo as comunicações entre os sistemas ao que é estritamente necessário, embora exista uma tendência para a convergência entre o OT e o TI, o uso NGFW distintas para proteção para proteção de ambos os ambientes traria uma vantagem na exposição provocada pelo ambiente IT ao ambiente OT. A implementação de micro segmentação, permite dividir a rede em pequenos segmentos onde estarão máquinas que estão autorizadas a comunicar umas com as outras. Todas as comunicações fora do seu segmento terão de ser autorizadas por política de firewall. Desta forma é minimizado a contaminação lateral das máquinas.

A adoção de sistemas mais avançados de análise e remediação como o SIEM e EDR são também de extrema importância e complementares aos descritos acima. Estes sistemas permitem ter uma visibilidade total sobre a rede e sobre as comunicações na mesma. O SIEM permite recolher dados da rede e correlacionar esses dados para que se possam tomar ações sobre esses mesmos eventos. Já o EDR permite ter um controlo das comunicações entre os equipamentos da rede, bem como fazer remediação de comunicações ou ações não desejadas.

Já existem soluções no mercado desenvolvidas com objetivo de proteger os Industrial Control Systems (ICS) e dos Supervisory Control and Data Acquisition (SCADA). Estas soluções têm conhecimento profundo dos protocolos usados por estes sistemas permitindo assim uma identificação mais célebre de comunicações fora do padrão.

Em suma, a evolução tecnológica dos sistemas OT e o aumento da sua exposição aos ataques dos hackers, bem como a sua criticidade, torna essencial e premente a proteção dos sistemas OT. Esta necessidade tem e deve ser consciencializada por parte das entidades envolvidas de forma a mitigar e a diminuir os custos financeiros e sociais resultantes de um ataque a estas infraestruturas.

Conteúdo co-produzido pela MediaNext e pela CSO