Painel SCADA Rede Nacional de Segurança da Informação e Criptografia Centro de Defesa Cibernética do Exército Brasileiro CDCiber

Transcrição

1 Painel SCADA 2014 Rede Nacional de Segurança da Informação e Criptografia Centro de Defesa Cibernética do Exército Brasileiro CDCiber Relatório 2 Segurança em Sistemas de Controle e Automação Industrial das Infraestruturas Críticas: Plano de ações para o Brasil

2 Sumário Sumário Executivo Introdução Desenvolvimento de mapa de rota para segurança SCADA Plano de capacitação Normatização e aspectos regulatórios, aspectos de certificação e homologação Iniciativas de P&D Criação de um ICS-CERT Nacional Comentários finais... 12

3 Sumário Executivo O principal conceito de segurança e proteção da Infraestrutura Crítica Brasileira está diretamente relacionado com a capacidade de atuar com a prevenção, detecção e resposta aos graves incidentes que a atingem. Existem diversos investimentos em planos estratégicos para gerenciar riscos e executar as ações necessárias para retomar a normalidade após uma situação de emergência provocada por catástrofe natural (como terremoto, furacão e inundação) ou ainda intencional (terrorismo, ataques cibernéticos, por exemplo). Porém, devido às peculiaridades de cada planta industrial, esses planos precisam ser adaptados para as necessidades e requisitos específicos. O grande desafio consiste assim, em formular e executar uma estratégia de segurança e proteção da Infraestrutura Crítica nacional sintonizada com as principais normas de segurança e que utilizem equipamentos e práticas testadas e certific adas. Assim, uma estratégia de segurança e proteção da Infraestrutura Crítica deve permitir a criação de planos para agir de forma preventiva e também para minimizar o impacto provocado por incidentes, incluindo os consequentes transtornos na demora do restabelecimento dos serviços. Para tratar das questões acima colocadas, realizou-se, nos dias 30 e 31/07/2014, o 1º. Painel sobre Segurança em Sistemas SCADA, nas dependências Quartel General do Exército Brasileiro. O painel foi organizado pela RENASIC Rede Nacional de Segurança da Informação e Criptografia) e teve o apoio do CPqD na sua coordenação técnica. Seguem os principais objetivos do painel: Construir uma visão geral do problema de segurança em sistemas de controle e automação industrial das infraestruturas críticas, a partir de apresentações de diferentes atores desta cadeia; Levantar quais são os principais problemas e necessidades da segurança sistemas de controle e automação industrial das infraestruturas críticas relacionados com a realidade brasileira; Colher um conjunto de recomendações orientadas à proteção das infraestruturas do país contra possíveis ataques, oriundos de qualquer fonte, inclusive as mais sofisticadas, com ênfase nos seus aspectos técnicos e operacionais.

4 Os dois primeiros itens são cobertos pelo relatório Segurança em Sistemas de Controle e Automação Industrial das Infraestruturas Críticas: situação atual o qual encontra-se disponível no site da RENASIC ( O terceiro item é tratado pelo presente relatório, onde são apresentados os planos de ação associados às seguintes questões identificadas durante o painel: Desenvolvimento de mapa de rota para segurança SCADA no Brasil; Plano de capacitação; Normatização e aspectos regulatórios, aspectos de certificação e homologação; Iniciativas de P&D; Criação de um ICS-CERT Nacional. Tais planos de ação serão desenvolvidos por grupos de trabalho multidisciplinares que terão como objetivo comum gerar normas e boas práticas para a melhoria imediata, a curto, médio e longo prazo do nível de segurança cibernética da infraestrutura crítica nacional.

5 1. Introdução Cada vez mais o tema de proteção da Infraestrutura Crítica tem se tornado um assunto de grande relevância para a soberania das nações e vem recebendo atenção crescente a ponto de alguns países e organizações terem criado entidades com funções específicas para tratar do assunto. Embora as estratégias adotadas pelos países sejam distintas, o objetivo final é sempre o mesmo: proteger a Infraestrutura Crítica e seus elementos-chave contra ameaças e vulnerabilidades relacionadas a situações de emergência, desastres naturais e atividades terroristas e/ou espionagem. Isso pode ser alcançado com a estruturação de políticas e órgãos competentes, técnicas e mecanismos que envolvem, por exemplo, metodologias de proteção de Infraestrutura Crítica e sistemas cuja aplicação possibilite identificar, analisar, avaliar e tratar riscos incluindo a capacidade de administrar as consequências de incidentes em situações adversas. De acordo com o Diário Oficial da União nº 27, de 11 de fevereiro de 2008, são consideradas Infraestruturas Críticas as instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico e/ou político. As áreas prioritárias das Infraestruturas Críticas, sem prejuízo de outras que porventura vierem a ser definidas, são expressas nos incisos de I a V do art. 3º da Portaria Nº 02 do Gabinete de Segurança Institucional da Presidência da República, de 8 de fevereiro de São elas, respectivamente conforme na Portaria: Energia, Transporte, Água, Telecomunicações e Finanças. O número crescente de incidentes provocados pela falta de segurança no mundo real ou virtual tem sido uma das grandes preocupações das nações e empresas, que estão sujeitas a riscos de intensidade cada vez maiores. Estes incidentes podem afetar centenas de milhares de pessoas em todo mundo, pois estão relacionados diretamente a serviços essenciais e de sobrevivência da sociedade. Casos recentemente divulgados mostram que os ataques cibernéticos estão cada vez mais sofisticados e utilizam métodos e técnicas poderosas e direcionadas.

6 Notícias de ataques bem sucedidos como os ataques às usinas nucleares iranianas (através do malware Stuxnet) e da paralisação de mais de computadores na empresa Saudi Aramco (através do malware Shamoon) tornam urgente e evidente a necessidade de uma estratégia de segurança e proteção da Infraestrutura Crítica englobando prevenção, detecção, resposta e gestão de crises. É perceptível que ataques às Infraestruturas Críticas podem ser usados como forma de intimidação, ou ainda, no caso mais ameno, simplesmente com o objetivo de desestabilização de um governo ou empresa para desgastar a sua imagem perante a população. Isto foi percebido claramente através da atuação de hacktivistas do grupo Anonymous durante os movimentos populares que levaram milhões de brasileiros às ruas no ano de Além disso, a disseminação das redes de informação, a integração entre diferentes infraestruturas e a interdependência cada vez maior entre os setores resulta em consequências que não podem ser negligenciadas. Uma delas é que as vulnerabilidades em Infraestruturas Críticas tendem a crescer, o que tem tornado os problemas cada vez mais complexos. Outra consequência é que uma interrupção pode se propagar de um setor para outro, ocasionando o efeito cascata de problemas, tornando indisponíveis um ou mais serviços. Os itens a seguir exibem nosso entendimento do que seria um planejamento inicial para a construção de um plano efetivo de implementação de segurança cibernética para a infraestrutura crítica nacional baseado nos relatórios técnicos da norma ANSI/ISA-99. Para cada um dos itens prevê-se a constituição de grupos de trabalho focados nos respectivos temas com cronograma de trabalho e reuniões mensais. Cada grupo terá um coordenador a ser indicado pela RENASIC e a coordenação geral dos grupos ficará a cargo também da RENASIC. Segue a proposta dos grupos a serem criados: GTT1 Mapa de rota para a segurança cibernética da infraestrutura crítica Brasileira; GTT2 Normas e regras para a implantação da segurança cibernética na infraestrutura crítica brasileira e boas práticas para certificação e homologação de tecnologias; GTT3 Estruturas de Pesquisa e Desenvolvimento e laboratórios;

7 GTT4 - Proposição de órgão nacional de tratamento e reposta aos incidentes (ICS-CERT); GTT5 Treinamento e Capacitação para empresas da infraestrutura crítica Brasileira. 2. Desenvolvimento de mapa de rotas para segurança SCADA Este mapa de rotas pretende estabelecer uma série de requisitos que deverão ser realizados nos próximos anos para melhorar a segurança cibernética dos sistemas de controle e automação industrial. Entendemos por segurança cibernética industrial o conjunto de práticas, processos e tecnologias desenvolvidas para fazer a gestão do risco proveniente do ciberespaço derivado do uso, processamento, armazenamento e transmissão da informação utilizados pelas organizações e infraestruturas industriais, utilizando as perspectivas de pessoas, processos e tecnologias. Objetivos tecnológicos, sistêmicos e organizacionais: Melhorar as capacidades de segurança cibernética dos governos, entidades públicas, universidades, etc., com o objetivo de evoluir até alcançar o estado da arte em cibersegurança industrial; Elevar a conscientização geral e proporcionar a formação especializada para os diferentes tipos de usuário; Geração de ferramentas que facilitem a colaboração público-privada em todos os níveis; Aumento das pesquisas em cibersegurança para o ambiente industrial; Criação de estratégias em cibersegurança para a indústria Criação de um laboratório nacional para segurança cibernética industrial; Criação de metodologias de avalição de segurança; Desenvolvimento de sistemas segurança voltados para proteção da infraestrutura crítica e ambiente industrial, tais como ferramentas de monitoramento (SIEM para automação) e análise de vulnerabilidade; Divulgação de produtos e soluções para todos os autores envolvidos; Criação de um ICS-CERT de cobertura nacional;

8 Apoio na elaboração de marcos regulatórios; Capacitação em segurança para os responsáveis pelos sistemas de automação; Criação da cultura de segurança no ambiente de automação industrial; O mapa de rotas a ser desenvolvido deverá ter pontos de apuração de objetivos claros e estabelecidos a cada 5 anos. Em cada ponto de apuração o mapa de rotas deverá ser revisto de acordo com os resultados apurados. Para criação do mapa de rota do cenário brasileiro recomenda-se fortemente o envolvimento de usuários de sistemas SCADA das diferentes infraestruturas críticas que compõe o modelo brasileiro, possibilitando não só a representatividade como também a aplicabilidade dos resultados para todos os setores críticos que, como sabemos, possuem características e peculiaridades bastante distintas. 3. Plano de capacitação Treinamento e capacitação são itens fundamentais e condição preponderante para o sucesso de qualquer tipo de plano de segurança cibernética industrial que venha a ser definido. Para proteger infraestruturas críticas é necessário conhecer os riscos a que uma rede industrial e os sistemas SCADA estão submetidos, quais as principais normas de segurança disponíveis no mercado e como corretamente implementar e monitorar o CSMS (Cyber Security Management System) definido pela norma ANSI/ISA-99. Neste sentido deverão ser desenvolvidos treinamentos em língua portuguesa com tópicos que englobem todos os domínios básicos de conhecimento preconizados pela norma ANSI/ISA-99, a saber: Introdução às redes industriais e SCADA Infraestruturas Críticas e Ciberterrorismo Governança para redes industriais Análise de Riscos em redes industriais e sistemas SCADA Malware e Ciberarmas Segurança de perímetro em redes de automação Criptografia em redes industriais Controle de Acesso em sistemas SCADA Defesa em profundidade

9 Monitoramento contínuo Além do treinamento, deverá ser criada uma certificação em língua portuguesa que seja capaz de determinar se um profissional possui o conhecimento adequado para assegurar corretamente uma rede industrial com sistemas SCADA. Esta certificação oferecerá aos profissionais uma medida objetiva de competência, bem como um padrão reconhecível de conhecimentos. Deverá ser criado um plano de capacitação massiva de profissionais da infraestrutura crítica nacional com treinamentos presenciais e também em formato de EAD (Ensino à Distância) e deverão ser estabelecidas metas anuais de alunos certificados durante a implementação do mapa de rotas de segurança cibernética industrial. 4. Normatização e aspectos regulatórios, aspectos de certificação e homologação Recente pesquisa divulgada pela TI Safe Segurança da Informação mostrou que não existe um padrão nacional de c ontroles de segurança cibernética industrial que possa ser seguido pelas empresas a fim de garantir um nível mínimo de segurança cibernética industrial. O mercado, as organizações industriais, prestadores de serviços e profissionais de segurança cibernética e automação de processos, requerem guias de referência que os ajudem a enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos anseios do governo e da sociedade brasileira. Visando estabelecer um nível mínimo de segurança cibernética industrial, este relatório sugere a implementação de um conjunto de controles de segurança mínimo para as empresas da infraestrutura crítica nacional. A norma ANSI/ISA-99 apresenta cerca de 60 objetivos de controle (dependendo da interpretação, porque os controles não são explícitos no documento) que podem ser usados como referência para a análise de riscos uma rede de automação. Medindo sua existência e eficácia, observam-se riscos residuais e, quando trabalhado em conjunto com o guia NIST é possível delinear o panorama completo das vulnerabilidades, os riscos decorrentes e as possíveis contramedidas. A tabela a seguir consolida os 60 objetivos em sete áreas, compondo 30 itens de verificação. Categoria Governança e Auditoria Controles de Segurança Sugeridos Uma política de segurança específica deve ser desenvolvida para a rede de automação e sistemas SCADA. Esta política de segurança deve considerar as diferenças entre a TI e redes de automação e suas considerações particulares detalhada no padrão ANSI/ISA-99. A empresa deverá criar e manter um programa anual de treinamento e conscientização sobre segurança cibernética industrial para as áreas de automação da empresa. Os registros (logs) de firewalls, roteadores, outros dispositivos de rede e aplicações devem ser armazenados e analisados com regularidade. O armazenamento centralizado e a correlação

10 entre eles é recomendada. Uma política visando o uso de senhas fortes para o acesso aos sistemas SCADA deve ser implementada. A segurança dos sistemas SCADA conforme os requisitos da norma ANSI/ISA-99 deve ser levada em consideração durante os projetos de novos sistemas da empresa. Mecanismos internos de auditoria devem ser implementados para garantir que os procedimentos de segurança de sistemas de automação estejam sendo cumpridos. Segurança de Operações Controles para limpeza de ambientes, controle de umidade, temperatura, aerosol e partículas devem ser implementados para evitar danos em equipamentos. A divulgação e o compartilhamento de senhas de acesso a sistemas SCADA devem ser evitados. Planos de recuperação de desastres para os sistemas SCADA da empresa ou para área em questão devem ser implementados, divulgados e periodicamente testados. Arquitetura de Segurança Controle de Acesso Segurança de Comunicações Segurança de Aplicações Segurança Controles para segurança de portas físicas, como USBs e COMs, devem ser implementados. A arquitetura da rede de automação deve ser estabelecida considerando a segurança das informações conforme o modelo de zonas e conduítes preconizado pela norma ANSI/ISA-99. Componentes críticos de equipamentos de rede devem possuir redundância. Duplo fator de autenticação para acesso remoto aos sistemas SCADA deve ser utilizado. O acesso remoto aos dados e aplicativos da rede de automação deve ser sempre criptografado (uso de VPN). Firewalls com configuração específica para sistemas de controle industriais devem ser utilizados, isolando o perímetro da rede de controle de forma apropriada e oferecendo acesso somente para usuários, aplicações e protocolos específicos. Um IDPS (Intrusion Detection and Prevention System) deve ser instalado em cada segmento de rede externa que se conecte à rede de automação. Firewalls industriais específicos devem ser usados para proteger as zonas de segurança das redes de automação que utilizam protocolos inseguros. Devem ser implantados controles para evitar ataques de negação de serviço ( DoS - Denial of Service) contra os autômatos programáveis da rede de automação. Criptografia na transmissão de dados entre os clientes e os Access Points de redes sem fio deve ser implementada. O tráfego de dados entre redes de automação dispositivos deve ser sempre criptografado. Senhas em dispositivos de rede devem ser gerenci adas e alteradas regularmente. As senhas de acesso a sistemas SCADA devem ser longas e complexas. Os fornecedores devem ser periodicamente convocados para instalar versões mais recentes do seu software proprietário e patches de segurança assim que eles forem lançados, testados e aconselhados em seus sites. Todos os Softwares SCADA devem ser desenvolvidos sob as melhores práticas de desenvolvimento de segurança. Revisão de código e testes de aplicativos devem ser considerados para evitar vulnerabilidades ou pacotes maliciosos. Uma metodologia para desenvolvimento e revisão de código dos sistemas de controle e monitoramento deve ser estabelecida. Software antivírus deve ser instalado nas máquinas da rede de automação. As assinaturas dos softwares de Antivírus devem ser atualizadas periodicamente. Uma plataforma de testes e homologação deve ser implementada para garantir que atualizações de assinaturas a novas versões de software não tragam danos aos sistemas de automação. Rotinas de segurança específicas para os sistemas de automação devem ser implementadas. Controles de segurança física às instalações críticas dos sistemas de automação devem ser implementados.

11 Física Fontes de alimentação ininterrupta (UPS ou similar) devem ser fornecidas para todos os pontos críticos e sistemas da rede de automação. A área onde estão os equipamentos de controle da rede de automação deve ser protegida contra rádio freqüência e pulsos eletromagnéticos. Tabela: Controles mínimos de segurança cibernética industrial sugeridos Para realização de avanços nesta área de aspectos regulatórios, certificação e homologação é recomendável também envolver órgãos da administração pública brasileira que já atuam, de maneira análoga, em outras áreas e soluções, mas que podem agregar positivamente no estabelecimento de um eventual modelo de certificação para soluções SCADA, que é o INMETRO. Para maiores avanços na área de homologação de segurança para o ambiente SCADA recomenda-se fortemente o aproveitamento de organizações que já realizam trabalhos na área de certificação, homologação ou auditoria, em áreas correlacionadas ao ambiente SCADA. 5. Iniciativas de P&D Sugerimos a realização das seguintes atividades de P&D (Pesquisa e Desenvolvimento) relacionadas à melhoria dos processos de segurança cibernética industrial Brasileiros: Identificação das capacitações e projetos de P&D relacionados com o tema nas universidades, centros de P&D e ICTs brasileiras; A partir deste levantamento, analisar a pertinência e viabilidade de criar um ou mais laboratórios, os quais deverão tratar dos seguintes assuntos: Sistema de criação de cenários e simulação. Estabelecimento de indicadores e métricas. Gestão de riscos. Prevenção, detecção e resposta a incidentes. Gestão da Continuidade de Negócios. Conformidade com normas, padrões e instrumentos legais. Homologação de sistemas e produtos. Desenvolvimento do conceito de soluções SCADA seguras, onde fabricantes já entregarão novas plantas de automação (green field) com todos os controles mínimos de segurança cibernética da norma ANSI/ISA-99 já integrados, testados e homologados. Tais laboratórios poderão ser geridos por um grupo multidisciplinar focado em segurança cibernética e proteção de Infraestruturas Críticas envolvendo empresas, centros de P&D e academia, servindo também como suporte para pesquisadores e cursos universitários. Os laboratórios proverão capacidade de monitoramento, de criação de cenários e de simulação que fornecerão insumos suficientes para a segurança e proteção da Infraestrutura Crítica nacional, proporcionando ainda o gerenciamento técnico dos aspectos envolvidos com a prevenção, monitoramento e resposta a incidentes, com a internalização de novos conhecimentos e competências através do

12 desenvolvimento de núcleos de excelência e transferência de conhecimentos nas áreas abordadas. Com isso, eles possibilitarão a capacitação dos centros de P&D, academia, empresas, agências reguladoras bem como outros órgãos governamentais, trazendo melhores condições para o desenvolvimento de tecnologias em áreas essenciais para a sociedade. Sendo assim, os laboratórios possibilitarão o mapeamento e análise situacional da Infraestrutura Crítica, permitindo a visualização e gerenciamento dos seus processos e elementos críticos, de acordo com os níveis de risco e criticidade envolvidos. Cenários de simulação poderão ser elaborados para apoiar o planejamento de estratégias de segurança e proteção das Infraestruturas Críticas. 6. Criação de um ICS-CERT Nacional Neste grupo será analisada a pertinência e viabilidade de construção de um ICS- CERT (Industrial Control Systems Cyber Emergency Response Team) de abrangência nacional nos aspectos políticos, econômicos, regulatórios e tecnológicos. Algumas atribuições do ICS-CERT Brasileiro são as seguintes: Construir uma visão comum de longo prazo onde uma gestão de risco centralizada dos sistemas de controle indsutriais possa ser realizada através de esforços coordenados; Resposta e análise de incidentes de segurança cibernética industriale; Análise de vulnerabilidade e de armas cibernéticas industriais (malware industrial); Provimento de respostas a incidentes de segurança cibernética industrial em tempo real; Coordenação da divulgação de vulnerabilidades em sistemas de controle industriais e técnicas de mitigação associadas; Coordenação da divulgação dos incidentes de segurança cibernética industrial e respectivas informações com os governos, agências e comunidade de inteligência, setor privado, incluindo fornecedores, usuários e operadores. 7. Comentários finais Nas organizações industriais brasileira não observa-se uma maneira definitiva para enfrentar os desafios da segurança cibernética industrial. Uma das principais causas disto é a falta de referências e padrões reconhecidos. O mercado, as organizações industriais, prestadores de serviços e profissionais de segurança cibernética e

13 automação de processos, requerem guias de referência que os ajudem a enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos anseios do governo e da sociedade brasileira. Nas empresas da infraestrutura crítica brasileira a capacitação em segurança cibernética é maior nos departamentos de T.I. que no restante das áreas da empresa, o que faz com que as tecnologias de segurança comumente utilizadas em redes corporativas ainda sejam as mais utilizadas em redes de automação, quando deveriam ser as específicas para segurança de automação industrial, como firewalls industriais, gateways de segurança unidirecionais, IDPS com assinaturas específicas SCADA, dentre outras detalhadas em livro recentemente publicado pela TI Safe Segurança da Informação intitulado "Segurança de Automação Industrial e SCADA". É necessário aumentar o nível de consciência dos gestores das indústrias nacionais sobre a necessidade e as implicações da segurança cibernética industrial. No entanto, existe uma dificuldade significativa para expressar os impactos derivados dos riscos de incidentes em plantas industriais, e declará-los publicamente, como é feito em outros países, até por força legislativa, que possuem bases específicas de incidentes de segurança industrial (como por exemplo o RISI - Repository of Industrial Security Incidents). A maior parte dos projetos de segurança cibernética industrial atualmente desenvolvidos por empresas brasileiras são motivados por processos de melhoria contínua, resposta a auditorias internas e resposta a incidentes de segurança. As exigências do mercado não são uma parcela relevante da motivação que as empresas possuem para a execução de projetos de segurança cibernética industrial, mas sem dúvida esta tendência mudará nos próximos anos. Buscando evoluir nas condições acima descritas, propomos a criação dos grupos de trabalho, os quais estariam sobre a coordenação geral da RENASIC. Entendemos que os próximos passos seriam: Enviar convites para os participantes do painel para participarem dos grupos de trabalho; Marcar uma reunião com cada grupo de trabalho onde seria definido um plano de trabalho, assim como a coordenação do grupo. Tais ações deverão ser validadas com a coordenação da RENASIC.