Conforme os fabricantes continuam a adotar a tecnologia Industry 4.0 e IIoT, a segurança cibernética está se tornando cada vez mais crítica a cada dia que passa. Proteger uma rede com sucesso requer não apenas vigilância constante, mas também estratégias para proteger sua organização em todos os níveis. Entretanto, mesmo com a melhor preparação, sempre há chance de ataque. O autor Andrew Ginter resumiu isso com suas 3 leis de segurança SCADA:
Nada é 100% seguro, todo software pode ser hackeado e cada informação pode ser um ataque.
Parece assustador, certo? Bem, dirigir um carro também seria assustador se você concentrasse apenas no que poderia dar errado. É por isso que temos cintos de segurança, airbags e seguro. Da mesma forma, o objetivo da segurança da rede é reduzir o risco, não eliminá-lo. Com isso em mente, reunimos uma cartilha de práticas recomendadas que você pode implementar para proteger melhor sua rede.
1. Segurança corporativa
Ao considerar a segurança cibernética no nível empresarial, a simplicidade é a melhor política. Soluções complexas não melhoram a segurança quando aplicadas de maneira ampla. No entanto, o conhecimento profundo de seu ambiente – modelos de máquina e acesso, suas versões de software, níveis normais de tráfego na rede – o ajudará a obter uma melhor compreensão do seu sistema e permitirá que você reconheça rapidamente qualquer atividade anormal.
2. Segurança SCADA
Para o escopo de uma rede SCADA, certifique-se de proteger cada conexão, seja PLC para servidor, banco de dados para servidor, cliente para banco de dados ou nuvem para cliente (a lista continua). É vital que todas as conexões sejam protegidas. Isso pode ser feito de várias maneiras, mas todas elas se concentram na autenticação e na autorização. Mais comumente, a autenticação vem na forma de nomes de usuário e senhas. Soluções adicionais, como autenticação de dois fatores, incluindo biometria, infraestrutura de chave pública (PKI), cartões-chave e tokens USB oferecem outra camada de proteção. Depois que um usuário verifica quem ele é por meio de autenticação, a autorização determina os privilégios que ele deve ter em um sistema. Isso pode ser baseado em função, baseado em rede ou um híbrido de ambos.
3. Segurança de rede
O melhor método para manter uma rede protegida é usar TLS (às vezes chamado de SSL), que criptografa todos os dados por HTTP para evitar o sequestro de sessão protegendo bancos de dados e o Gateway. Ele também criptografa a comunicação OPC UA e MQTT para garantir a transferência privada de dados. A auditoria é outra ferramenta poderosa para manter a segurança. Executando auditorias periódicas, você pode rastrear quem fez o quê de onde, criando logs, trilhas e perfis para garantir que tudo o que acontecer em sua rede, você tenha registrado.
4. Segurança do dispositivo
A segurança do dispositivo pode ser dividida em duas categorias: proteção de estações de trabalho e servidores e proteção de PLCs. Para computadores e servidores, consiste em remover programas desnecessários, manter o software atualizado, configurar firewalls em servidores redundantes, usar apenas as portas necessárias e desabilitar o acesso remoto. Se o acesso remoto for necessário, certifique-se de usar uma VPN para autenticação multifator. No que diz respeito aos PLCs, é melhor usar segmentação de rede – mantendo os dados OT em uma rede privada separada – utilizando VLAN com criptografia e configurando um gateway de borda de rede como uma ponte. Outra opção é implementar gateways unidirecionais (também chamados de diodos de dados), que permitem que as informações passem da rede SCADA para a rede de TI em apenas uma direção, garantindo o isolamento e mantendo o fluxo de dados.
5. Segurança Física
Pode parecer contra-intuitivo, mas a segurança física é parte integrante da segurança cibernética. Uma das formas mais comuns de ataque é sequestrar fisicamente um servidor ou estação de trabalho. Para combater isso, você pode implementar soluções para toda a empresa, como guardas, crachás e monitoramento de vídeo, bem como controle de dispositivos para laptops, telefones e chaves USB. Além disso, ter políticas e treinamento eficazes ajudará muito a manter sua rede protegida contra agentes mal-intencionados e erros honestos.
Comece a proteger seu sistema agora
As dicas listadas acima irão beneficiar qualquer sistema SCADA, mas alavancar um software robusto e focado na segurança como o Ignition by Inductive Automation pode oferecer uma incrível paz de espírito (junto com um ótimo suporte).
Com a chegada da computação distribuída e de borda, a transmissão e exposição de dados industriais na rede se faz mais necessário, e em nossa última webinar, mostramos o porquê de o Ignition ser a ferramenta mais preparada para criar soluções seguras na convergência de dados industriais.
Acabamos de fazer o upload da apresentação sobre a proteção do software Ignition contra ataques em nosso canal do YouTube.
Essa é a sua chance de se capacitar ainda mais quando se trata do Ignition!