Página 1

Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica

Brasileira

Julho de 2014

TI Safe Segurança da Informação www.tisafe.com

Centro de Ciberseguridad Industrial www.cci-es.org

Página 2

TI Safe Segurança da Informação LTDA

A TI Safe Segurança da Informação é uma empresa brasileira fornecedora de produtos e serviços de qualidade para segurança da informação e redes industriais. Presente em grandes cidades do país oferece ampla gama de soluções para empresas e infraestruturas críticas.

O portfólio da empresa conta com oferta de soluções para governança industrial, segurança de borda de redes de automação, proteção da rede interna, acesso remoto seguro, segurança de dados contra espionagem industrial, combate a cyber ameaças e treinamentos (presencial e on-line).

Fundada em março de 2007 e atuando com pioneirismo, a TI Safe criou no ano de 2008 sua divisão para segurança SCADA e foi a primeira empresa brasileira a fornecer soluções para a segurança de redes industriais baseadas nas normas ANSI/ISA-99 e NIST SP 800-82. Atualmente a empresa é integrante do comitê internacional da norma ANSI/ISA-99 que estabelece boas práticas para a segurança de redes industriais e desenvolve pesquisas nesta área, tendo um livro e diversos trabalhos técnicos publicados e apresentados em eventos nacionais e internacionais.

Rio de Janeiro: Centro Empresarial

Cittá America - Barra da Tijuca -

Av. das Américas, 700, bloco 01,

sala 331. CEP – 22640-100 – Rio

de Janeiro, RJ – Brasil. Telefone:

+55 (21) 2173-1159

São Paulo: Rua Dr. Guilherme

Bannitz, nº 126 - 2º andar Cj 21,

CV 9035 - Itaim Bibi. CEP - 04532-

060 - São Paulo, SP – Brasil.

Telefone: +55 (11) 3040-8656

Salvador: Av. Tancredo Neves nº

450 – 16º andar – Edifício Suarez

Trade. CEP – 41820-901 –

Salvador, BA – Brasil. Telefone:

+55 (71) 3340-0633

e-mail: contato@tisafe.com

www.tisafe.com

Twitter: @tisafe

Página 3

Centro de Ciberseguridad Industrial

O Centro de Ciberseguridad Industrial (CCI) é uma organização independente sem fins lucrativos cuja missão é impulsionar e contribuir para a melhora da segurança cibernética industrial desenvolvendo atividades de análises, estudos e intercâmbio de informações sobre o conjunto de práticas, processos e tecnologias desenhadas para gerenciar o risco do ciberespaço derivado do uso, processamento, armazenamento e transmissão de informação utilizada nas organizações e infraestruturas industriais e como estas supõem uma das bases sobre as quais está sendo construída a sociedade atual.

O CCI aspira tornar-se um ponto independente de encontros das organizações, privadas e públicas, e profissionais relacionados com as práticas e tecnologias da segurança cibernética industrial, assim como a referência para o intercâmbio de conhecimento, experiências e a dinamização dos setores envolvidos neste âmbito.

C/ Maiquez, 18

28009 MADRID

Tel.: +34 910 910 751

e-mail: info@cci-es.org

www.cci-es.org

Blog: blog.cci-es.org

Twitter: @info_cci

Página 4

Índice CERTIFICADO DE DOCUMENTAÇÃO DE ALTERAÇÕES 5

DESCRIÇÃO DA PESQUISA 6

ORGANIZAÇÕES INDUSTRIAIS PESQUISADAS 6

ORGANIZAÇÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8

RESPONSABILIDADE DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 8

GRAU DE CAPACITAÇÃO EM SEGURANÇA CIBERNÉTICA INDUSTRIAL 10

GESTÃO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 11

AVALIAÇÃO DE RISCOS 11

GESTÃO DE INCIDENTES DE SEGURANÇA 12

PLANEJAMENTO DE AÇÕES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 13

ASPECTOS TÉCNICOS DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 14

CONEXÕES DE REDES 14

ACESSOS REMOTOS 15

USO DE NORMAS E PADRÕES 17

MEDIDAS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 18

MERCADO DA SEGURANÇA CIBERNÉTICA INDUSTRIAL 19

PREVISÃO DE NOVAS ATIVIDADES DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 19

REQUISITOS EM NOVOS PROJETOS 21

CONTRATAÇÃO EM PROJETOS DE SEGURANÇA CIBERNÉTICA INDUSTRIAL 22

CERTIFICAÇÕES PROFISSIONAIS 23

CONCLUSÕES 24

REFERÊNCIAS BIBLIOGRÁFICAS E NA INTERNET 26

GLOSSÁRIO 26

Página 5

Certificado de documentação de alterações

Versão Data Autor Descrição

RC1 15/07/2014 Marcelo Branquinho Geração do primeiro documento em língua portuguesa.

RC2 15/07/2014 Leonardo Cardoso Primeira revisão.

Página 6

Descrição da pesquisa

A pesquisa foi realizada de forma on-line através de e-mail enviado com um formulário

em anexo a gestores de empresas brasileiras. Durante o tempo que o formulário

esteve disponível para o preenchimento, de 23/6/14 a 13/7/14, 51 organizações

industriais o responderam plenamente.

Este documento apresenta os resultados da pesquisa e proporciona interpretações

baseadas no conhecimento e experiência de seus redatores e participantes do

processo de revisão. Fica a critério dos leitores obter suas próprias conclusões.

É importante frisar que os dados fornecidos nos formulários da pesquisa possuem

caráter extremamente sigiloso e estão protegidos por acordos de confidencialidade

que a TI Safe mantém com seus clientes. Nenhum nome de cliente, projeto,

informação técnica ou financeira será revelado nesta pesquisa, que contém apenas

dados quantitativos consolidados e não representa de nenhuma forma uma ameaça à

confidencialidade dos dados de nossos clientes.

Organizações industriais pesquisadas

As organizações industriais pesquisadas englobam os principais setores da indústria

brasileira, com uma maior presença das empresas do setor elétrico e petróleo e gás,

mas incluindo também os setores de alimentos e bebidas, águas e resíduos,

transportes e logística, siderúrgicas, nuclear, mineradoras e indústrias químicas.

Setores representados na pesquisa

Alimentos e Bebidas2%

Energia30%

Indústria Química4%

Mineradoras6%

Nuclear4%

Petróleo e Gás19%

Siderúrgicas9%

Transportes e Logística17%

Aguas e Resíduos9%

Gráfico 1 – Setores representados na pesquisa.

A variedade dos setores pesquisados é um resultado da heterogeneidade dos nichos

de mercado representados no ecossistema e da transversalidade da segurança

cibernética industrial, cuja implicações afetam a todos os setores da indústria. A

presença de tantos setores diferentes na pesquisa é muito interessante uma vez que

Página 7

proporciona uma amplitude de pontos de vista que contribuem para tornar mais

valiosos os resultados obtidos.

Todas as organizações que participaram da pesquisa são grandes indústrias brasileiras

que são parte importante de nossa infraestrutura crítica.

O fato das empresas participantes da pesquisa serem indústrias de grande porte é

devido a que atualmente estas são as organizações que possuem o maior nível de

conscientização a respeito da necessidade de implantar e manter medidas de

segurança cibernética industrial, são as que estão diretamente afetadas por algum

requisito regulatório e ainda, são as que dispoem de recursos humanos especializados

que dão suporte aos diferentes centros de trabalho.

Por outro lado, as empresas menores normalmente não são afetadas por requisitos

regulatórios e ainda não contam com a segurança cibernética industrial como uma de

suas prioridades. No entanto, esta é uma tendência que no futuro próximo deverá

mudar na medida que cresça o nível de conscientização geral dos setores industriais,

ou que estas empresas menores comecem a ser vítimas de ataques cibernéticos, algo

que não está muito distante de acontecer dado o grande crescimento que estes

incidentes tem tido em plantas industriais nos últimos anos, evidenciado pelo gráfico

retirado do “1o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras”1, publicado em maio de 2014.

Gráfico 2 – Evolução dos Incidentes de Segurança em redes de automação brasileiras (Dados de 2008 a 2014 – Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras)

Página 8

Organização da Segurança Cibernética Industrial

Responsabilidade da Segurança Cibernética Industrial

Quem tem em sua organização a responsabilidade de proteger os sistemas que controlam os processos industriais?

A responsabilidade de proteger os sistemas de controle de processos industriais é

compartilhada entre vários departamentos; 65% das organizações têm atribuído essa

responsabilidade para um único departamento, enquanto que 35% das organizações

não têm responsabilidade definida para segurança cibernética industrial.

Dentre as empresas pesquisadas, em quase metade a responsabilidade pela segurança

cibernética industrial está atribuída à equipe de T.A. (Tecnologia de Automação). A

partir dos resultados foi também verificado que apenas em 12% das empresas foi

formado um comitê misto entre equipes de T.I. e T.A. para uma gestão conjunta da

segurança cibernética industrial, o que é um indicador da baixa maturidade existente

nesta área. Além disso, também pode ser interpretado como falta de maturidade

organizacional em empresas em que a atribuição de responsabilidades não é feita de

acordo com um processo formal, definido, mas leva em conta aspectos como as

tradições e históricos das organizações que geralmente acabam em responsabilidades

de polarização em determinados departamentos. Finalmente deve-se notar que é

provável que as organizações pesquisadas tenham organogramas diferentes, o que

torna a atribuição de responsabilidades para a segurança cibernética industrial

diferente de empresa para empresa.

Qual departamento em sua organização possui a respo nsabilidade de proteger as redes industriais?

Não existe esta responsabilidade

definida.35%

Comitê misto formado por T.I. e

T.A.12%

Equipe de T.A. (Automação)

49%

Equipe de T.I. (Corporativa)

4%

Gráfico 3 – Responsabilidade de proteger as redes industriais.

Página 9

Os responsáveis pelo negócio estão sensibilizados com as normas e os riscos da segurança das redes industriais?

Os dados mostram que pouco mais da metade dos gestores das empresas pesquisadas

(53%) se encontram muito pouco sensibilizados quanto às normas e riscos em redes

industriais. Apenas 6% dos gestores atestaram estar muito sensibilizados para estes

riscos, o que pode ter graves implicações sobre a continuidade e ao bom

funcionamento dos processos de negócio. Está bastante claro que ainda há um longo

caminho a percorrer em termos de esforços de conscientização em níveis de gerência.

Nível de sensibilização dos responsáveis pelo negóc io quanto às normas e riscos de segurança em redes industriais:

Muito pouco sensibilizados

53%

Normal37%

Muito sensibilizados6%

Não sei4%

Gráfico 4 – Nível de sensibilização dos responsáveis pelo negócio.

Deve-se ter em conta que a abordagem a ser dada precisa ser a de educar não

somente a direção das empresas, mas também a sociedade em geral na matéria de

segurança cibernética industrial de uma forma diferente da que é feita para um

ambiente de gerenciamento, onde geralmente é mais focada a confidencialidade das

informações. A consciência da segurança cibernética industrial deve focar no perigo da

manipulação mal intencionada de sistemas de controle para a população. Somente

assim as medidas tomadas para assegurar estes ambientes deixarão de ser vistos como

uma imposição dos departamentos interessados e serão vistos como uma contribuição

para a segurança global.

Página 10

Grau de capacitação em segurança cibernética industrial

Qual o grau de capacitação de sua organização em segurança cibernética industrial?

A capacitação das organizações em matéria de segurança cibernética industrial varia

dentro de cada departamento. As organizações industriais brasileiras investem mais na

capacitação dos departamentos que estão diretamente relacionados com a segurança

das informações (T.I.) do que com as que são as responsáveis pela manutenção do

funcionamento dos processos de negócio (T.A.). Existe aí uma inversão de valores uma

vez que o core business das indústrias está baseado juntamente em seus processos

produtivos que são geridos pelas redes de automação.

Comparativo do grau de capacitação técnica das equi pes em segurança cibernética industrial.

6

12 13

8

12

0

19

28

2 2

0

5

10

15

20

25

30

Alto. Médio. Baixo. Nenhum. Não sei.

Nivel de capacitação

Núm

ero

de e

ntre

vist

ados

Equipe de TI - Corporativa

Equipe de TA - Automação

Gráfico 5 – Comparativo do nível de capacitação entre equipes de TI e TA.

Um dado bastante notável é que a grande maioria dos gestores de T.A. considera que

seus colaboradores possuem nível baixo (28%) e médio (19%) de capacitação, e

nenhum gestor considerou que sua equipe de automação estivesse adequadamente

treinada. Isto reflete perfeitamente a carência que existe nas indústrias em elaborar e

executar planos anuais de treinamento e capacitação em segurança cibernética

industrial para as equipes de T.A. da mesma forma e nível de investimento que é

praticado para os colaboradores das redes de tecnologia da informação.

Página 11

Gestão da segurança cibernética industrial

Avaliação de Riscos

Sua empresa tem realizado avaliações do nível de risco dos sistemas de automação e controle?

No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das

organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto

que 31% admitiram fazer periodicamente avaliações técnicas como análises de

vulnerabilidades e testes de invasão. O restante das empresas apresenta percentuais

menores e semelhantes de realização de avaliações organizacionais (políticas,

procedimentos) ou normativas (ANSI/ISA-99 e outras).

Sua empresa tem realizado análise de riscos em sist emas de controle industriais?

Realizamos avaliações normativas

(ANSI/ISA-99 e outras)18%

Realizamos avaliações técnicas

31%

Realizamos avaliações

organizacionais18%

Não sei4%

Não temos feito avaliações de riscos.

29%

Gráfico 6 – Análise de riscos em sistemas de controle industriais.

Os dados que indicam que quase um terço das indústrias não tem realizado nenhum

tipo de avaliação de riscos é tremendamente significativo, sobretudo pelo tamanho e

criticidade das empresas que responderam à pesquisa.

Este número de organizações que não realizam análises de riscos é considerado muito

alto já que, sem estas análises, as empresas nem sequer conhecem os riscos que estão

enfrentando. É importante que as avaliações de riscos tenham em conta dimensões

além das meramente técnicas dos ativos da rede (mais habituais) e analisem também

o ambiente operacional SCADA de uma forma global.

Página 12

Gestão de incidentes de segurança

Como é o processo de gestão de incidentes de segurança nas redes de automação da empresa?

Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de

incidentes de segurança cibernética industrial desenvolvido e em produção. Em 24%

das empresas este processo não existe, e 27% atuam de forma reativa quando

ocorrem incidentes de segurança. No entanto, 45% das empresas pesquisadas

afirmaram estar definindo este processo.

Gráfico 7 – Gestão de Incidentes de segurança.

Sua empresa teria problemas em declarar publicamente incidentes de segurança cibernética ocorridos em redes de automação?

A falta de fontes oficiais de informações sobre incidentes de segurança em redes

industriais e SCADA no Brasil gera uma lacuna importante no ciclo de proteção das

infraestruturas críticas. Sem dados estatísticos sobre incidentes, investimentos

necessários na segurança de infraestruturas críticas não são realizados mantendo-as

vulneráveis. A pesquisa mostrou que nenhuma das empresas entrevistadas tem a

filosofia de compartilhar publicamente os incidentes de segurança, 55% das empresas

tratam internamente os incidentes de segurança e apenas 12% das empresas declaram

seus incidentes de forma sigilosa aos fabricantes e consultorias especializadas de

segurança.

Como é o processo de gestão de incidentes de Segura nça nas redes de automação da empresa?

O processo ainda está sendo definido

45%

Está definido, desenvolvido e em

produção.0%

Não sei.4%

É feito de forma reativa.27%

Não existe este processo.

24%

Página 13

Sua empresa teria problemas em declarar publicament e incidentes de segurança cibernética ocorridos em redes de auto mação?

Nenhum problema, faz parte da filosofia da

empresa compartilhar incidentes.

0%

Incidentes são declarados somente aos fabricantes e consultorias de Segurança.

12%

Nunca declaramos estes incidentes. Eles são

tratados internamente.55%

Não sei.33%

Gráfico 8 – Declaração pública de incidentes de Segurança cibernética industrial.

Planejamento de ações de segurança cibernética industrial

Como se planejam habitualmente as ações de segurança cibernética industrial em sua organização?

Quanto ao planejamento das ações de segurança cibernética, 36% das organizações

industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de

incidente, enquanto 27% das empresas planejam as ações ao longo do tempo. Estas

ações, na maior parte das ocasiões estão motivadas por recomendações internas

(15%) e na menor parte por recomendações operacionais externas (8%).

Como se planejam habitualmente as ações de Seguranç a cibernética industrial em sua organização?

Não sei.6% Seguem as

recomendações de uma consultoria externa.

8%

Só são executadas quando há um acidente.

36%

Seguem as recomendações da rede

corporativa interna.15%

Para atender às diretrizes mínimas da legislação.

8%

São planejadas, desenhadas e executadas

ao longo do tempo.27%

Gráfico 9 – Planejamento de ações de segurança cibernética industrial.

Página 14

A implementação de diretrizes mínimas de segurança pode ocorrer devido à restrições

orçamentárias ou à falta de consciência da necessidade de medidas de segurança

cibernética, o que faz com que os gestores da empresa se limitem ao cumprimento

regulamentar mínimo aos quais estão sujeitos.

Existem gestores que evitam implementar até mesmo as orientações mínimas sem a

aprovação dessas diretrizes por parte dos fabricantes de sistemas supervisórios, e que

atribuem a eles a responsabilidade por tomar tais medidas. É por isso que se torna

imprescindível a criação de um marco legal que obrigue os fabricantes de segurança a

implementar as medidas mínimas de segurança cibernética em suas soluções, não

deixando este importante papel somente para os gestores das infraestruturas críticas.

Aspectos técnicos da segurança cibernética industrial

Conexões de redes

As redes de automação de sua empresa estão segmentadas e protegidas?

Aproximadamente um quarto (27%) das organizações industriais pesquisadas afirmou

que existe separação total entre suas redes corporativas e industriais.

As redes de automação de sua empresa estão segmenta das e protegidas?

As redes de automação tem diferentes níveis de

segmentação.4% As redes corporativa e de

automação estão conectadas diretamente.

6%

As redes corporativa e de automação estão

segmentadas por um firewall.

63%

Não sei.0%

As redes de automação estão totalmente e

fisicamente apartadas da rede corporativa.

27%

Gráfico 10 – Segmentação e proteção de redes de automação.

A maioria (63%) das organizações que reconhecem existir conexão entre as redes

corporativa e de automação dispõem de firewall entre estas redes. No entanto

existem preocupantes 6% de empresas que mantêm suas redes conectadas

diretamente, o que representa um enorme risco de incidentes de segurança

cibernética.

Página 15

Acessos remotos

Sua rede industrial possui dispositivos conectados à internet, independentemente dos mecanismos de proteção aplicados?

A maioria das organizações pesquisadas (74%) afirma que suas redes industriais não

possuem dispositivos conectados à internet, enquanto 22% afirmam terem

dispositivos que estão conectados à internet de forma permanente ou temporária.

Sua rede industrial possui dispositivos conectados à Internet?

Sim, permanentemente conectado à internet

12% Sim, conectados

temporariamente e sob demanda

10%

Não sei4%

Não74%

Gráfico 11 – Dispositivos de redes de automação conectados à Internet.

A existência de conexões à internet a partir das redes industriais, especialmente

quando estas são permanentes, gera um dos principais riscos às organizações

industriais. Atualmente existe um enorme interesse acerca do estado geral destas

conexões, como demonstra a existência de projetos como o Shodan2, Sonar3 e o

trabalho de Kyle Wilhoit intitulado “Who’s really attacking your ICS equipment”4,

dentre outros. Estes projetos se dedicam a avaliar o estado dos sistemas industriais

acessíveis através da internet e aumentar a consciência sobre o perigo que estes

oferecem. A existência de sistemas de controle industriais acessíveis a partir da

internet, combinada com a escassa segurança incorporada aos dispositivos industriais,

e a criticidade de muitos dos processos controlados por estes dispositivos, faz com que

o risco que estes sistemas proporcionam seja muito alto e inaceitável pelas

organizações. É evidente que as conexões à internet destes sistemas não atendem a

caprichos, e que existem razões plenamente justificáveis para mantê-las ativas, no

entanto, deveriam ser adequadamente controladas e gerenciadas.

Página 16

Sua rede industrial possui acessos remotos?

A grande maioria das organizações industriais pesquisadas afirma fazer uso de acessos

remotos, sendo que em 27% delas o acesso remoto está permanentemente disponível

para conexões, enquanto em 42% das empresas os dispositivos de comunicação são

ligados sob demanda.

Sua rede industrial possui acessos remotos?

Sim, conectados temporariamente e sob

demanda.42%

Não.31%

Não sei.0%

Sim, permanentes.27%

Gráfico 12 – Acesso remoto.

Em caso afirmativo na pergunta anterior, por qual motivo?

Os motivos para o estabelecimento de acessos remotos aos sistemas de controle

industriais das empresas pesquisadas são principalmente o suporte e manutenção

remota dos mesmos.

Gráfico 13 – Motivos para o uso do acesso remoto.

Página 17

Uso de normas e padrões

Quais normas estão sendo usadas no âmbito da segurança cibernética industrial da empresa?

A maior parte das organizações utiliza normas para balizar o estabelecimento da

segurança cibernética industrial na empresa. As famílias ANSI/ISA-99 e ISO27000

lideram a preferência dos entrevistados. Chama a atenção o fato de existirem

indústrias que não utilizam nenhuma norma para implementar a segurança industrial,

e ainda, que existem indústrias que usam apenas a família ISO27000 para implementar

segurança em redes de automação, o que pode levar a graves erros de implementação

devido às particularidades operacionais das redes em tempo real em comparação com

as redes de tecnologia da informação.

Normas usadas no âmbito da segurança industrial da empresa:

Família ANSI/ISA 99

ISO 27001/27002

Nenhuma

NIST 800-82

Outras

NERC CIP

NIST 800-53

Guia DSIC / GSI

ISO22301 / BS 25999

0 5 10 15 20 25 30

# Entrevistados

Gráfico 14 – Normas usadas para segurança cibernética industrial

Dentre as normas específicas para segurança cibernética industrial, a ANSI/ISA-99 se

posiciona como o padrão de fato, seguida de recomendações propostas e controles de

segurança em NIST SP 800-82 e outras regulamentações setoriais, como a NERC CIP

focada em proteção de infraestruturas críticas de sistemas de energia elétrica.

Página 18

Medidas de segurança cibernética industrial

Quais medidas de segurança industrial sua empresa já implantou?

Todas as organizações pesquisadas afirmaram implantar algum tipo de medida de

segurança cibernética. Dentre as medidas técnicas, as mais habituais são os antivírus,

firewalls convencionais e soluções automatizadas de backup.

Medidas de segurança industrial implantadas na empr esa:

Comunicações cifradas

Gateways unidirecionais

Gestão de segurança cibernética

Gestão de identidades

SIEM

Gestão da Continuidade do negócio

Correlação de eventos

Auditorias de segurança externas

Whitelisting

Gestão de Recuperação de desastres

Firewalls industriais

Controle de aplicações industriais

Auditorias de Segurança internas

IDPS

Políticas e Procedimentos Documentados

Backup automatizado

Antivírus

Arquitetura de Rede documentada

Firewalls Convencionais

0 5 10 15 20 25 30 35 40 45

# Entrevistados

Gráfico 15 – Medidas de segurança cibernética industrial usadas.

Página 19

Como esperado, as medidas de segurança cibernética corporativa mais maduras e

estabelecidas são também as mais utilizadas em ambientes industriais (firewalls

convencionais, antivírus, backups). Por outro lado, também não é uma surpresa que as

medidas específicas de segurança cibernética Industriais (firewalls industriais,

gateways unidirecionais, whitelisting) ainda tenham um uso bastante limitado,

possivelmente ocasionado por sua implementação depender de departamentos de TI

com pouca experiência no mundo industrial. No entanto, é esperado um aumento no

uso de tecnologias específicas de segurança cibernética industrial conforme o

aumento da cultura e consciência entre os usuários finais e as organizações, o que as

levará a compreender que as soluções de segurança clássicas em ambientes de TI não

são completamente válidas para ambientes de controle industrial.

Mercado da segurança cibernética industrial

Previsão de novas atividades de segurança cibernética industrial

Existe previsão de iniciar novas atividades no âmbito da segurança cibernética industrial?

Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de

segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já nos

próximos 6 meses. Somente 20% das empresas pesquisadas ainda não contemplam as

ações de segurança cibernética industrial em seus orçamentos.

Existe previsão de iniciar novas atividades no âmbi to da Segurança cibernética industrial?

Sim, sem uma data determinada

12%

Sim, no próximo ano14%

Não existe orçamento para os próximos

anos20%

Sim, nos próximos 6 meses

54%

Gráfico 16 – Previsão de novas atividades em segurança cibernética industrial.

A existência de atividades planejadas para os próximos meses implica na existência de

orçamentos dedicados para se dedicar a atividades de segurança cibernética industrial

Página 20

e, portanto, demanda para os fornecedores de serviços e produtos, que verão essas

atividades como uma forma de expandir sua oferta e diversificar os seus serviços. Será

apenas uma questão de tempo para o surgimento de novos serviços inovadores que

ajudarão a estimular esse mercado. Essa dinâmica não só alcançará os organismos

diretamente envolvidos (fornecedores e usuários finais), mas também afetará os

profissionais do setor, ao criar-se uma demanda para eles. Os profissionais verão uma

oportunidade de diversificar ou converter suas carreiras profissionais e para isto

precisarão de treinamento e formação5, o que também contribuirá para o

desenvolvimento do mercado educacional específico para o setor.

Quais são as motivações para a execução de projetos e implantação de soluções de segurança cibernética industrial?

Quais são as motivações para a execução de projetos e implantação de soluções de Segurança cibernética in dustrial?

Processo de melhoria contínua.

Exigência a partir de uma auditoria ou controle

interno.

Resposta a incidentes de segurança.

Recomendações de consultores ou fabricantes.

Exigência por parte de direção.

Outras.

Exigência de mercado ou clientes.

0 5 10 15 20 25 30 35 40 45

# Entrevistados

Gráfico 17 – Motivação para execução de projetos de segurança cibernética industrial.

As principais motivações (melhoria contínua, auditoria interna e resposta a incidentes

de segurança) são consistentes com o cenário atual em que as ameaças aos processos

industriais estão mudando com a introdução de componentes tecnológicos

(principalmente tecnologia da informação), que incorporam um risco para o qual as

indústrias não estão preparadas para lidar. Além disso, é significativa a baixa presença

das necessidades do mercado e a explicação para isso é, sem dúvida, a baixa

maturidade da disciplina em organizações de usuários, o que faz com que o mercado

não reconheça a demanda por necessidades específicas de segurança cibernética

industrial.

Página 21

Em sua opinião, qual é a tendência dos investimentos financeiros de sua empresa em segurança cibernética industrial para os próximos anos?

A maioria das organizações pesquisadas considera que o investimento em segurança

cibernética industrial se manterá no nível atual, enquanto 45% acreditam que ele

aumentará. Nenhuma das empresas pesquisadas aposta em uma diminuição do nível

de investimentos.

Em sua opinião, qual a tendência dos investimentos financeiros de sua empresa em segurança cibernética industrial par a os próximos

anos?

Se manterá no nível atual55%

Diminuirá0%

Aumentará45%

Gráfico 18 – Tendência dos investimentos em segurança cibernética industrial.

Requisitos em novos projetos

Requisitos de segurança cibernética industrial são incluídos em novos projetos da empresa?

A maioria das organizações industriais pesquisadas contempla requisitos básicos de

segurança cibernética industrial em todos os aspectos de seus novos projetos. No

entanto ainda é preocupante que 20% das organizações não os considerem.

Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência

das equipes de tecnologia da automação em segurança cibernética industrial.

Página 22

Requisitos de Segurança cibernética industrial são incluídos em novos projetos da empresa?

Inserimos referências da norma ANSI/ISA-99 como itens obrigatórios

43%

Não sei.6%

Não são levados em consideração.

24%

Inserimos referências da norma ANSI/ISA-99 como

opcionais desejáveis27%

Gráfico 19 – Requisitos de segurança cibernética industrial em novos projetos.

Contratação em projetos de segurança cibernética industrial

Na empresa, quem toma a decisão de contratação de projetos de segurança cibernética para as redes de automação?

A maior parte das decisões de contração sobre segurança cibernética industrial é

realizada pela área de T.A. (47%), e já é bastante comum que um comitê

multidisciplinar com integrantes das equipes de T.I. e T.A. tome estas decisões.

Na empresa, quem toma a decisão de contratação de p rojetos de Segurança cibernética para as redes de automação?

Comitê multidisciplinar de T.I.

e T.A.27%

Não existe esta responsabilidade

definida18%

Equipe de T.I.8%

Equipe de T.A.47%

Gráfico 20 – Decisões de contratação.

Pelo resultado da pesquisa fica claro que, embora a responsabilidade de proteger os

sistemas esteja dividida entre os setores de T.I., segurança física e T.A., a

responsabilidade de compra recai claramente sobre a área de T.A.

Página 23

Quem são os provedores de segurança cibernética para redes de automação de sua organização?

Quanto a quais tipos de organizações são provedoras de segurança cibernética para

organizações industriais, a pesquisa mostra que ainda não existe um perfil definido,

mas que a tendência é que fabricantes juntamente com empresas especializadas em

segurança cibernética industrial venham a ser os maiores provedores no futuro

próximo. Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos

internos para esta complicada tarefa.

Quem são os provedores de segurança cibernética par a redes de automação de seua organização?

Recursos internos da empresa

Fabricantes industriais em parceria com especialistas em segurança cibernética

Empresas especializadas em segurança cibernética

industrial

Não existem tais fornecedores atualmente

Fabricantes industriais somente.

0 5 10 15 20 25 30 35 40

# Entrevistados

Gráfico 21 – Provedores de cegurança cibernética industrial.

Certificações profissionais

Como você avalia as certificações profissionais da equipe dos fornecedores no momento da contratação de serviços em segurança industrial?

Apenas 8% das organizações não valorizam a existência de certificações profissionais

em prestadores de serviços. Pouco mais da metade as considera um requisito

fundamental, enquanto os 41% restantes fizeram uma avaliação positiva.

Página 24

Como você avalia as certificações profissionais da equipe dos fornecedores no momento da contração de serviços em segurança

industrial?

Avalio positivamente.41%

Creio que não servem para nada.

8%

As considero um requisito

fundamental.51%

Gráfico 22 – Avaliação da importância de certificações.

Conclusões

Entre as organizações industriais pesquisadas não foi detectado uma maneira

definitiva para enfrentar os desafios da segurança cibernética industrial. Uma das

principais causas disto é a falta de referências e padrões reconhecidos. O mercado, as

organizações industriais, prestadores de serviços e profissionais de segurança

cibernética e automação de processos, requerem guias de referência que os ajudem a

enfrentar os desafios da segurança cibernética industrial e que sejam adequados aos

anseios do governo e da sociedade brasileira.

A maturidade do mercado brasileiro de segurança industrial em 2014 é equivalente ao

cenário que os EUA possuíam em 2010, o que pode significar um atraso de 4 a 5 anos

em relação ao nível de segurança cibernética industrial dos países com tecnologia mais

avançada.

Dentre as empresas brasileiras pesquisadas, a capacitação em segurança cibernética é

maior nos departamentos de T.I. que no restante das áreas da empresa, o que faz com

que as tecnologias de segurança comumente utilizadas em redes corporativas ainda

sejam as mais utilizadas em redes de automação, quando deveriam ser as específicas

para segurança de automação industrial, como firewalls industriais, gateways de

segurança unidirecionais, IDPS com assinaturas específicas SCADA, dentre outras

detalhadas em livro recentemente publicado pela TI Safe6.

É necessário aumentar o nível de consciência dos gestores das indústrias nacionais

sobre a necessidade e as implicações da segurança cibernética industrial. No entanto,

existe uma dificuldade significativa para expressar os impactos derivados dos riscos de

incidentes em plantas industriais, e declará-los publicamente, como é feito em outros

Página 25

países, até por força legislativa, que possuem bases específicas de incidentes de

segurança industrial (como por exemplo o RISI - Repository of Industrial Security

Incidents7).

A maior parte dos projetos de segurança cibernética industrial atualmente

desenvolvidos por empresas brasileiras são motivados por processos de melhoria

contínua, resposta a auditorias internas e resposta a incidentes de segurança. As

exigências do mercado não são uma parcela relevante da motivação que as empresas

possuem para a execução de projetos de segurança cibernética industrial, mas sem

dúvida esta tendência mudará nos próximos anos.

Muitas organizações têm previsto o desenvolvimento de ações de segurança

cibernética industrial dentro do próximo ano e em todos os setores da indústria

nacional, o que implica no crescimento dos orçamentos destinados a esta finalidade.

Página 26

Referências bibliográficas e na Internet

1 - TI Safe. (Maio de 2014). 1o Relatório Anual TI Safe sobre incidentes de segurança

em redes de automação brasileiras. Acesso em 15 de Julho, 2014,

http://www.slideshare.net/tisafe/1o-relatrio-anual-ti-safe-sobre-incidentes-de-

segurana-em-redes-de-automao-brasileiras-2014

2- Shodan - http://www.shodanhq.com/

3 - Project Sonar.

https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-

to-project-sonar

4 - Trend Micro. (2013). Who’s really attacking your ICS equipment. Acesso em 15 de

Julho, 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-

intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf

5- TI Safe. (17 de Setembro de 2013). Ementa da Formação em Segurança de

Automação Industrial". Acesso em 17 de maio, 2014,

http://pt.slideshare.net/tisafe/ementa-da-formao-em-segurana-de-automao-

industrial

6 - Segurança de automação e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed.

- Rio de Janeiro. Elsevier, 2014.

7 - RISI. http://www.risidata.com/

Glossário

ANSI American National Standards Institute

DSIC Departamento de Segurança da Informação e Comunicações, órgão

subordinado ao Gabinete de Segurança Institucional da Presidência da

República Federativa do Brasil

GSI Gabinete de Segurança Institucional da Presidência da República

Federativa do Brasil

IDPS Intrusion Detection and Prevention Systems

ISA The International Society of Automation

ISO International Organization for Standardization

NIST National Institute of Standards and Technology

SIEM Security information and event management

T.A. Tecnologia de Automação

T.I. Tecnologia da Informação