Toda vez que há um desastre aéreo, as autoridades e os órgãos competentes, de qualquer país do mundo comunicam em um primeiro momento que tais acidentes são causados por múltiplos fatores, dentre eles os que estão relacionados a equipamentos, procedimentos e ao comportamento humano. Os problemas e incidentes de segurança digital (ou cibersegurança) que eventualmente são identificados no contexto de indústrias (atenção: nem todos são identificados!) também têm múltiplos fatores, mas podemos destacar dois grupos: questões técnicas e questões organizacionais.
As questões técnicas dizem respeito a como os recursos técnicos (hardware, software e redes) são utilizados no ambiente da “TI industrial” (também chamada de TO: tecnologias operacionais); as questões organizacionais dizem respeito a como responsabilidades, procedimentos (atualização de software, gestão de riscos etc.) e orçamentos são alocados para pôr em prática os recursos técnicos necessários para um ambiente de TO defensável.
Um dos principais motivos do aumento da quantidade e da gravidade de incidentes de segurança em ambientes industriais é, sem dúvida nenhuma, o aumento da conectividade da TO. Na chamada Terceira Revolução Industrial houve a introdução de controles computadorizados e automação na área industrial; com a Quarta Revolução Industrial (Indústria 4.0) busca-se, entre outros benefícios, um alto grau de conectividade entre equipamentos. Mas atenção: a conectividade por si não é o problema. A questão reside no fato de que sistemas (ex: SCADAs) e protocolos de dados (ex: Modbus) de TO foram criados antes da disseminação da Internet e, portanto, não estavam expostos a ações e ataques do mundo exterior. A TO mal planejada e mal configurada em uma empresa expõe as suas instalações industriais a riscos desnecessários e indesejáveis.
Ataques a instalações industriais são relativamente recentes e não dependem exclusivamente da Internet. Uma das primeiras ocorrências que se tem conhecimento aconteceu na Austrália em 2000 (“Maroochy”) onde um sistema SCADA radiocontrolado de uma estação de tratamento de esgotos recebeu comandos via rádio que causaram o derramamento de mais de 800 mil litros de esgoto não tratado em parques, rios e até mesmo na área de um hotel. Um dos ataques mais famosos ocorreu no Irã em 2010 (“Stuxnet”), quando foram afetadas diversas instalações industriais, dentre elas uma usina de enriquecimento de urânio.
Mais recentemente, em 2016, subestações de distribuição de energia elétrica na Ucrânia foram atacadas causando a interrupção do fornecimento de energia (“Industroyer”). Houve pelo menos dois ataques relatados nos EUA em 2016: “Kemury” (nome fictício), uma estação de tratamento de água que atendia a 2,5 milhões de consumidores na qual hackers conseguiram alterar configurações relacionadas ao fluxo e à quantidade de produtos químicos utilizados para tratamento da água, e “Rye Brook”, onde hackers iranianos conseguiram acesso a uma pequena barragem de controle de inundação com cerca de 30km de distância do Central Park, em Nova York (EUA).
O impacto mais evidente das tecnologias da Indústria 4.0 no que se refere à segurança dos ambientes industriais está relacionado à IIoT: a chamada “Internet das Coisas Industriais”. Devido às suas características inatas de alta conectividade, tais dispositivos podem ser instalados em ambientes industriais sem o devido cuidado com aspectos de segurança. Em muitos casos os mecanismos tradicionais de segurança colocados em prática a partir do projeto da rede são desconsiderados (bypassados). É o problema do “basta…”: “basta acoplar, ligar e começar a coletar dados”. Sim, para coletar dados é simples, mas é necessário controlar o grau de exposição do ambiente de TO, para que este não fique desnecessariamente vulnerável a ataques.
A(s) rede(s) no ambiente de TO quando mal planejadas, mal configuradas e mal inventariadas convidam os mais diversos tipos de ataque. Há pelo menos duas dimensões a serem consideradas em ataques neste contexto: o grau de penetração na rede e o grau de dano aos dados. Ataques de negação de serviço, distribuídos (DDoS) ou não (DoS), e invasões, caracterizam o grau de penetração na rede; o grau de dano aos dados pode ser caracterizado como roubo (espionagem, que não afeta ou interrompe a produção), sequestro (que interrompe a produção) e adulteração (não interrompe a produção, mas altera o seu comportamento previsto). Há exemplos recentes em todos os casos.
Tal como os aviões, a utilização dos princípios e tecnologias preconizados pela Indústria 4.0 precisam decolar de forma segura e todo e qualquer incidente precisa ser evitado. Os avanços tecnológicos recentes que possibilitam a captura de dados de forma ampla e barata trazem novos desafios para a cibersegurança nos ambientes industriais. Mas não basta apenas ter muitos sensores, muitos equipamentos interconectados. Controlar adequadamente e de forma consciente a menor exposição necessária do ambiente de TO a ataques externos é um dos fatores de sucesso para adoção da IIoT nas indústrias.
*Marcos Villas é M.Sc. em Computação, D.Sc. em Administração, sócio-fundador da RSI Redes e professor da PUC-Rio.
