[CLASS 2014] Palestra Técnica - Cesar Oliveira

CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO

Cesar Oliveira, CISMRio de Janeiro, 7 de Novembro de 2014 Informação Pública

A VALE

Informação Pública

Somos a Vale

• Mineradora global com sede no Brasil

• Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel

• Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina

• Investimos em logística e energia

Em

preg

ados

da

Val

e em

Itab

ira /

MG

Ren

ato

Sto

ckle

r da

s N

eves

Filh

o / A

gênc

ia V

ale

Informação Pública

2013Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes.

Informação Pública

MissãoTransformar recursos naturais em prosperidade e desenvolvimento sustentável

VisãoSer a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta

ValoresA vida em primeiro lugarValorizar quem faz a nossa empresaCuidar do nosso planetaAgir de forma corretaCrescer e evoluir juntosFazer acontecer

Com

plex

o P

ortu

ário

Sul

–C

PB

S /

RJ

Már

cio

Dan

tas

Val

ença

/ A

gênc

ia V

ale

Informação Pública

195 mil

Empregados e prestadores de serviço

50 mil

Usuários de TI

Faturamento Líquido em 2013

46 bilhões de dólares

Informação Pública

O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL

Informação Pública7

Cenário de ameaças em Sistemas de AutomaçãoIndustrial

Informação Pública

Conhecimento (capacidade)

Motivação (intenção) Oportunidade

Possível Ataque de Sucesso

Fórmula para um ataque de sucesso…

Informação Pública

Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?

( ) Cuidar apenas de segurança física e ataques externos é suficiente;

( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;

( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;

( ) Os Sistemas de Automação Industrial não são vulneráveis;

( ) Malwares não podem infectar os Sistemas de Automação;

( ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;

( ) A solução é isolar totalmente a Rede de Automação.

Informação Pública

Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?

( F ) Cuidar apenas de segurança física e ataques externos é suficiente;

( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;

( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;

( F ) Os Sistemas de Automação Industrial não são vulneráveis;

( F ) Malwares não podem infectar os Sistemas de Automação;

( F ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;

( F ) A solução é isolar totalmente a Rede de Automação.

Informação Pública

Sofisticação de ataque vs. Conhecimento técnico necessário

Intruders

High

Low

1980 1985 1990 1995 2000

IntruderKnowledge

AttackSophistication

Cross site scripting

password guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijacking sessions

sweepers

sniffers

packet spoofing

GUIautomated probes/scans

denial of service

www attacks

Tools

“stealth” / advanced scanning

techniques

burglaries

network mgmt. diagnostics

distributedattack tools

Staged

Auto Coordinated

2005 2013

Zombies

BotnetHactivism

Informação Pública

AdvancedIntrudersDiscover NewVulnerability

CrudeExploit Tools

Distributed

Novice IntrudersUse Crude

Exploit Tools

AutomatedScanning/ExploitTools Developed

Widespread Use of Automated Scanning/Exploit Tools

Intruders Begin Using New Types of Exploits

Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais

Informação Pública

AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES

Informação Pública

Avaliação de Riscos e Planejamento de Ações de Segurança

Objetivos

- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado;

- DefPlanejamento de Ações para cada Área Operacional prior izada por probabilidade e severidade

- Criação de um Business Case para o estabelecimento de u m Programa Integrado de Cyber Security.

- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas

Áreas Operacionais

- Definir um

Benefícios

- Dar visibilidade sobre os riscos de segurança da informa ção existentes nos ambientes de Sistemas de

Automação e promover a discussão sobre o tratamento adequ ado aos riscos considerando as variáveis

levantadas e o negócio enolvido, além de promover o esta belecimento de um Programa Completo de Gestão

de Segurança em SIStemas de Automação Industrial.

Entregáveis

- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação;

- Resultado da Análise de Riscos

- Resultado da avaliação dos Controles de Segurança exist entes

- Plano de Ações para cada Área Operacional priorizada por n ível de risco (probabilidade e severidade)

Participantes

- Áreas Operacionais

- Tecnologia de Automação da TI

- Information Security Office

- Global IT Security Services

- Comitê de Segurança da Informação

- Comitê de Liderança de Manutenção

Informação Pública

Análise de RiscoAnálise dos Controles de Segurança

Nomes com Controles mínimos

Realização de

Treinamento

Roadmap de Implantação

- Revisão de padrões e boas práticas existentes como insumos para determinar oscontroles mínimos necessários para serem aplicados em todas as Áreas Operacionais;

- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida peloGoverno Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”;

- Questionário com 172 questões divididas em categorias

Avaliação de Riscos e Planejamento de Ações de Segurança

http://ics-cert.us-cert.gov/Assessments

Informação Pública

• Process Control and SCADA Security Guides

NISCC/CNPI

• Security Guidelines for the Petroleum Industry

API

ISA-SP99 ISA-SP100 NIST SP 800ISA 100/11ª• Wireless Systems

for Industrial Automation (cap 8)

US-CERT

• ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems.

• ANSI/ISA-99.01.01-2007 – Termiinologyconcepts and models

• ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program.

• ISA-99.02.02 (em desenvolvimento) –Operating and Industrial Automation and Control Systems Security Program

• ISA-99.03.02 (em desenvolvimento) –Target Security Levels.

• ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento).

• ISA-99.01.03 (em desenvolvimento) –System Security Requirements and Security Assurance Levels.

• ISA-TR99.02.03 (em desenvolvimento) –Patch Management .

• ISA 99.04 Series (em desenvolvimento) –Derived Requirements.

IEC 62443

SP800-82• Guide to industrial Control Systems (ICS)

Security

• Catalog of (controlSystem Security . Recomendations for Standards Developers.

• Creating Cyber Forensics Plans for Control System.

• Cyber Security Response to physicalSecurity Breaches.

• Control Systems Cyber Security Defense in Depth Strategies

• CPI-002 Critical Cyber Asset Idetification• CIP-003 Security Management Controls• CIP-004 Personnel & Training• CIP-005 Electronic Security Perimeter(s)• CIP-006 Physical Security of Critical Cyber

Assets• CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response

Pianning• CIP-009 Recovery Plans for Critical Cyber

Assets

NERC CIP

Padrões específicos existentes que podem ser usados como base da ferramenta CSET

Avaliação de Riscos e Planejamento de Ações de Segurança

Informação Pública

Avaliação de Riscos

- Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso;

- Treinamentos de conscientização e reuniões de análise de riscos e definiçãode ameaças existentes e potenciais em cada Área Operacional.

Informação Pública

CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO

Informação Pública

Planejamento de Ações de Segurança

- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial;

- Priorização de implementação de controles seguindo os seguintes critérios:• Controles que mitigam mais riscos e com maior efetividade;• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR);• Ações com menor duração tendem a ser priorizadas;• Menor dependência de envolvimento de outras áreas internas da organização.

Informação Pública

Estabelecendo um Programa Completo

Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são:

• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais;

• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment )• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a

integração entre as áreas operacionais;• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...);• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como

mecanismo de sensibilização para o investimento no Programa Integrado e Completo.• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas.

Informação Pública

Estabelecendo um Programa Completo

Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no

monitoramento de maneira a assegurar a evolução homogênea.

Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução.

ConscientizaçãoCapacitaçãoContratação

PolíticasNormas e Instruções de Trabalho

Planos de ContinuidadePlanos de Resposta a Incidentes

FirewallVPN

Segregação de RedesSistemas de Controle de Acesso Físico

Sistemas de Controle de Versão

Informação Pública

Fatores críticos de sucesso

Com

plex

o P

ortu

ário

Sul

–C

PB

S /

RJ

Már

cio

Dan

tas

Val

ença

/ A

gênc

ia V

ale

Informação Pública

Equilíbrio entre o CUSTO e RISCO

Custo Risco

Segurança Ideal

Custo de evitar o risco vs Custo de um incidente

Fatores críticos de sucesso

Informação Pública

A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios

• Aplicativo GetAroundde aluguel de carros no sistema “rent yourcar”;

• Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone;

• Segurança é fator crítico de sucesso.

Informação Pública

A Tecnologia a favor dos negócios... com Segurança

Obrigado

Cesar OliveiraGlobal IT Security Managercesar.oliveira@vale.com

Informação Pública

RessalvaEsta apresentação pode incluir declarações que apresentem expectativas da Vale sobreeventos ou resultados futuros. Todas as declarações quando baseadas em expectativasfuturas, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não podegarantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluemfatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá,(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e suadependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau decompetição global nos mercados onde a Vale opera. Para obter informações adicionaissobre fatores que possam originar resultados diferentes daqueles estimados pela Vale,favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, naAutorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission –SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidosnas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20Fda Vale.”.

Esta apresentação não pode ser distribuída sem a autorizaçã o da Vale.