Por Bruno Oka
Edifícios inteligentes podem ser definidos como prédios que contam com sistemas de controle baseados em tecnologias digitais de Internet das Coisas (IoT), com conectividade, softwares analíticos e baseados em nuvem com o objetivo de:
• Identificar e implementar eficiências (particularmente nas áreas de sustentabilidade, eficiência energética e custos operacionais);
• Estender o desempenho e a longevidade da construção de ativos de infraestrutura;
• Melhorar a experiência, o conforto e a produtividade dos ocupantes do edifício.
Neles é possível capturar valor por meio de eficiências, diferenciação e até mesmo novas fontes de receita, mas em razão do grande número de dispositivos conectados à internet também ficam expostos a ameaças de segurança cibernética. Sabendo a criticidade e confidencialidade das informações contidas nos sistemas, violações podem gerar prejuízos de milhões, além de interromper funções essenciais e ameaçar a reputação das empresas em um nível que pode prejudicar a confiança do consumidor, funcionário e investidor.
Para mitigar os riscos de segurança cibernética, proprietários de edifícios, operadores e até mesmo ocupantes precisam mudar a maneira como os sistemas de controle de edifícios inteligentes são arquitetados e gerenciados.
1) Avaliar e proteger os sistemas de controle de edifícios inteligentes
A defesa em profundidade é uma prática recomendada de Tecnologia da Informação (TI). Esse processo permite avaliar as ameaças; projetar e desenvolver uma solução para isolar e segmentar os componentes mais vulneráveis da rede; manter a operação do sistema quando houver comportamento anormal ou possíveis intrusões; e implementar um programa de auditorias periódicas de segurança cibernética e relatórios para garantir que as proteções sejam mantidas ao longo do ciclo de vida do sistema
2) Escolher dispositivos IoT e fornecedores que sigam uma abordagem de ciclo de vida de desenvolvimento seguro
Ao considerar a instalação de novas tecnologias de IoT para aprimorar um edifício inteligente, é preciso avaliar os produtos e processos de fornecedores que consideram a segurança cibernética uma forte prioridade, visto que eles têm a capacidade de evoluir e se adaptar à medida que novas vulnerabilidades e ataques são identificados ao longo do ciclo de vida dos produtos. As proteções cibernéticas nos níveis de componente e software se concentram primeiro na proteção de cada dispositivo, host e aplicativo, bem como na conexão e comunicação entre esses dispositivos, o software do sistema de controle do edifício e, finalmente, por meio dos serviços em nuvem.
3) Implementar arquiteturas de sistema OT seguras
Um sistema projetado usando esses princípios garante proteção contra intrusões que se originam tanto de dentro da rede quanto de conexões com redes externas. Porém, é importante notar que em um projeto de sistema seguro, as mudanças na programação ou atualizações nos componentes do sistema exigirão mudanças nos processos e procedimentos internos.
Por isso, é importante construir uma estratégia para monitorar o sistema em tempo real, enviando alertas para eventuais comportamentos suspeitos ou anômalos na rede ou em algum dos dispositivos monitorados. Um design seguro e controles e processos de segurança detalhados de defesa atualizados regularmente combinados ao monitoramento e relatórios ativos e contínuos vão garantir que o sistema permaneça protegido e manterão garantias de que as conexões com outras redes e nuvens não comprometerão a resiliência de controles centrais.
4) Zonas de monitoramento de segurança de TI e OT
A ponte entre os sistemas de controle de edifícios seguros e outras redes potencialmente menos seguras pode ser permitida aplicando as melhores práticas de segmentação de perímetro de segurança cibernética de TI, com o uso de tecnologias de firewall seguras e uma Zona de Monitoramento de Segurança. O objetivo é filtrar, monitorar e controlar todos os dados e tráfego entre a Rede do Sistema de Controle Seguro e as redes externas. Ao fazer isso, é possível implantar quaisquer ferramentas de proteção de segurança cibernética.
*Bruno Oka, consultor de negócios de Segurança Cibernética na Schneider Electric