PAM e o Padrão 62443 (Indústria 4.0)

De forma geral, a Indústria 4.0 é a aplicação voltada à indústria da transformação digital, e se aplica a mercados como manufatura, energia, utilidades, óleo e gás, mineração, construção, transporte, logística e saúde. No Brasil, a Baumier Automation é um distribuidor autorizado de Soluções de Comunicação para Redes Industriais, fornecendo produtos de alta tecnologia com serviços e suporte local.

À medida que adotam os conceitos associados à Indústria 4.0 para se tornarem mais competitivas no mercado, as organizações vêm percebendo a necessidade de melhorar o gerenciamento de segurança de Tecnologia Operacional, ou OT, para mitigar os riscos da adoção desses conceitos em seus processos industriais.

Nesse contexto, algumas normas e frameworks foram introduzidos para auxiliar as organizações a proteger seus ambientes industriais de ataques e ações maliciosas: o Framework de Cibersegurança do NIST, os Controles de Segurança CIS e o conjunto de padrões ISA 62443 provêm uma série de melhores práticas associadas à segurança cibernética de sistemas industriais.

O Center for Internet Security (CIS) definiu um conjunto de 20 controles de segurança críticos que organizações devem estabelecer em seus ambientes para garantir uma estratégia efetiva em cibersegurança. Os controles de segurança estabelecidos pelo CIS são os seguintes:

1. Inventário e Controle de Ativos de Hardware;
2. Inventário e Controle de Ativos de Software;
3. Gerenciamento Contínuo de Vulnerabilidades;
4. Uso controlado de privilégios administrativos;
5. Configurações seguras para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores;
6. Manutenção, Monitoramento e Análise de Logs de Auditoria;
7. Proteções de e-mail e navegador da web;
8. Defesas contra Malware;
9. Limitação e controle de portas de rede, protocolos e serviços;
10. Recursos de Recuperação de Dados;
11. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches;
12. Defesa de Fronteira;
13. Proteção de dados;
14. Acesso controlado com base no conceito need -to-know;
15. Controle de acesso sem fio;
16. Monitoramento e Controle de Contas;
17. Implementar um programa de conscientização e treinamento em segurança
18. Segurança de Software de Aplicação
19. Resposta e Gerenciamento de Incidentes
20. Testes de penetração e exercícios do time de resposta

A série 62443 por sua vez é um conjunto de padrões de cibersegurança específico para sistemas industriais, e engloba padrões divididos em 04 categorias:

• Geral – abordam conceitos, glossário de termos, métricas e casos de uso associados a IACS;
• Políticas e procedimentos – tratam de requisitos de IACS, além de níveis de proteção e guias de implementação;
• Sistema – englobam os conceitos de tecnologias para IACS, avaliação de risco e níveis de segurança e requisitos para sistemas;
• Componente – contém requisitos para ciclo de vida de desenvolvimento e para segurança técnica de componentes IACS.

Assim, uma organização que procure implementar os controles de segurança CIS e estar em conformidade com a série de padrões ISA 62443 precisa abordar as questões associadas ao Gerenciamento de Acesso Privilegiado, ou PAM. 

O senhasegura como solução PAM tem como objetivos armazenar, gerenciar e monitorar credenciais de alto privilégio de uma série de dispositivos e sistemas, inclusive os ligados à IACS e Indústria 4.0. A implementação de uma solução PAM como o senhasegura permite controle completo sobre o acesso a dados críticos associados aos sistemas industriais. 

A Baumier se une em uma parceria estratégica com o senhasegura para oferecer uma solução completa de dispositivos e sistemas de automação, além de adequada segurança de acesso e dados da rede e desses sistemas.

Alguns dos controles de segurança CIS e associados à série de padrões 62443 e que podem ser endereçadas através das funcionalidades do senhasegura incluem os seguintes aspectos:

• Inventário e Controle de Ativos de Hardware – a funcionalidade Scan Discovery do senhasegura permite a descoberta e inclusão automática de dispositivos conectados ao ambiente industrial e suas respectivas credenciais, permitindo total visibilidade e controle do parque de equipamentos;
• Uso controlado de privilégios administrativos – o senhasegura permite proteger e controlar o uso de credenciais impessoais e de alto privilégio através da solução;
• Manutenção, Monitoramento e Análise de Logs de Auditoria – o senhasegura permite registrar as sessões de manutenção dos sistemas industriais da organização, respeitando workflows de aprovação e validação das justificativas fornecidas pelo usuário solicitante. Além disto, o senhasegura registra e mantém logs de auditoria de sessões de contas privilegiadas, inclusive através de gravação em vídeo;
• Acesso controlado com base no conceito need -to-know – os Grupos de Acesso do permitem definir os usuários administradores que terão permissão de visualização de senha para acesso físico, e o grupo de usuários que pode utilizar o acesso remoto oferecido pela solução para acessar um sistema industrial;
• Monitoramento e Controle de Contas – o senhasegura oferece rastreabilidade em tempo real de todas as ações realizadas por credenciais, inclusive impessoais e de terceiros;
• Resposta e Gerenciamento de Incidentes – através dos registro e armazenamento seguro de logs de auditoria de sessões de contas privilegiadas, inclusive de gravação em vídeo, o senhasegura permite reduzir o tempo de tratativa de incidentes de segurança no ambiente.

Assim, em um contexto de transformação e aumento de ameaças em ambientes industriais, ao implementar as melhores práticas através das funcionalidades de uma solução PAM é possível detectar e responder adequadamente a qualquer tentativa indevida de modificar configurações no ambiente de OT.

Desta maneira, é possível endereçar os desafios ligados à segurança cibernética e garantir a adequada proteção de sistemas industriais, além da continuidade das operações e do ciclo produtivo nas indústrias.