«No âmbito da cibersegurança industrial é preciso ter em conta as seguintes mensagens: a segurança é segurança sem importar o âmbito, não importa se falamos de sistemas IT corporativos ou de sistemas operacionais OT, a cibersegurança não é um aspeto somente tecnológico, também inclui pessoas, processos e conhecimento e, por último, devemos desenvolver a política de cibersegurança desde a premissa de que mais tarde ou mais cedo vamos sofrer incidentes» Javier Hidalgo, Arquiteto de Soluções e Especialista em Cibersegurança do Setor Indústria da GMV, durante a sua intervenção no evento organizado pelo Centro de Cibersegurança Industrial (CCI): A Voz da Indústria 2022 «Gestão e resposta a incidentes de cibersegurança industrial».

Na GMV apostamos por um tratamento global dos riscos de cibersegurança para as infraestruturas industriais, apoiando-nos em boas-práticas e regulamentos internacionalmente reconhecidos (exemplos: IEC 62443, ISA 99, NIST 800-82 53, ISO 27001, NERC CIP…), identificando as ameaças existentes, protegendo os ativos, detetando tentativas de ataque e, se ocorrerem, restabelecendo a situação o antes possível, tudo orquestrado através dos sistemas de gestão mais exigentes. Esta aproximação à gestão da cibersegurança é fruto da longa experiência adquirida no âmbito das Tecnologias da Informação, no qual enfrentamos este tipo de ciberameaças, estudando a sua evolução e trabalhando de maneira contínua na sua mitigação e prevenção desde há décadas. No entanto, não se trata apenas de ter uma sólida experiência prévia, mas de ser capaz de trasladar esta experiência para um âmbito de negócio com as suas particularidades e necessidades, como é o âmbito industrial. Ser capaz de entender estas especificidades, necessidades próprias e diferenças com a nossa experiência prévia é chave para o êxito de um projeto de cibersegurança industrial.

Casos de êxito em projetos de cibersegurança industrial

Para uma organização do setor de produção cimenteira, a GMV desenvolveu uma série de projetos encaminhados a realizar a separação, segmentação e racionalização das comunicações entre as redes de dados de IT e OT nas suas instalações de produção em EMEA. Este tipo projetos, para além da implementação e configuração de sistemas firewall nas referidas instalações, implicam um processo de descoberta de ativos industriais, as comunicações dos mesmos com os restantes ativos, não apenas da instalação, mas também da empresa e mesmo de terceiros, como sejam determinadas administrações públicas, e a determinação das políticas de controlo dos fluxos de informação, para acabar a definir uma arquitetura de redes que contemplem as melhores práticas para evitar acessos desnecessários ou indevidos, garantindo a disponibilidade e o correto funcionamento dos sistemas de produção industrial.

Podemos encontrar outro exemplo no setor automóvel, no qual o desafio apresentado era sensorizar a linha de montagem de veículos para otimizar o processo de logística interna de peças para os veículos. Neste projeto, a GMV contemplou a segurança desde o desenho como peça-chave da proposta de arquitetura, o que implicou a escolha de sistemas IoT cuja funcionalidade incluísse a origem a proteção das comunicações, o uso de credenciais a nível de dispositivo para mitigar o risco de aparecimento de dispositivos maliciosos ou que pudessem produzir problemas de funcionamento. Para além disso, utilizou-se um desenho arquitetura de sistemas, baseado em microserviços, que procuram não apenas a granularidade no desenvolvimento de elementos software, mas o máximo controlo das comunicações, tanto a nível interno do produto desenvolvido, mas também nas comunicações com elementos terceiros, como o sistema ERP do cliente, de que depende o fornecimento final das peças.

Quando a cibersegurança faz parte indivisível do ciclo de vida do projeto, pode desenvolver-se com êxito qualquer iniciativa encaminhada a desenvolver processos de digitalização industrial.