O objetivo é desenvolver e manter um nível razoável de segurança nos produtos e sistemas que o provedor de soluções oferece durante o ciclo de vida do produto.[1][2][3][4]

O sistema de gestão de segurança cibernética (CSMS) proposto pela norma IEC 62443 possui seis elementos principais:

1. Iniciar o programa de CSMS (para fornecer as informações necessárias para obter apoio da gerência).
2. Avaliação de riscos de alto nível (identificação e avaliação da prioridade dos riscos).
3. Avaliação detalhada dos riscos (avaliação técnica detalhada das vulnerabilidades).
4. Estabelecer políticas de segurança, organização e conscientização.
5. Selecionar e implementar contramedidas (para reduzir o risco para a organização).
6. Manutenção do CSMS (para garantir que o CSMS permaneça eficaz e apoie as metas da organização).[4]

III. Apoio da gerência

Antes de começar a considerar aspectos técnicos, a primeira recomendação importante da norma IEC 62443 é considerar o racional do negócio e obter apoio da gerência. Para obter apoio, a empresa precisa ter uma compreensão clara dos sistemas, subsistemas e respectivos componentes que são essenciais ou críticos para a operação e segurança. Após ter isso estabelecido, será mais fácil comunicar à gerência as possíveis consequências se algum componente for impactado.[4]

1. Ativos críticos

Ativos críticos incluem qualquer dispositivo que, após comprometido, possa gerar um alto impacto financeiro, de saúde, segurança ou ambiental em uma organização. A lista de ativos críticos da empresa constitui a base da análise de gerenciamento de risco e será usada para orientar decisões adicionais.[18]

1. Justificativa de negócios

Uma vez que a empresa tenha identificado os ativos críticos, é necessário obter o engajamento da gerência e o compromisso de investir no plano de segurança cibernética que será desenvolvido. Sem esse apoio, o plano tem uma chance muito baixa de sucesso. 

 A gerência de alto nível deve aprovar e participar da definição da justificativa de negócios para garantir que o CSMS tenha recursos e suporte suficientes para implantar as mudanças necessárias no sistema e em toda a organização. 

 Em alguns casos, é necessário criar um caso ou justificativa de negócios, conforme sugerido pela norma IEC 62443 para apresentar à equipe de gerência. O caso ou justificativa de negócios contém uma lista das possíveis ameaças e possíveis consequências para o negócio com uma estimativa anual dos custos, bem como o custo de quaisquer contramedidas. Isso fornecerá uma visão geral clara dos riscos e custos para a mitigação a níveis aceitáveis, aumentando as chances de obtenção de apoio da gerência.[4][7][8]

1. Avaliação de riscos

Assim que a equipe de gerência está envolvida e comprometida em apoiar o CSMS, é importante realizar uma avaliação de riscos. A avaliação de riscos faz parte da estratégia geral de gerenciamento de riscos de cada empresa e é uma etapa obrigatória para criar uma estratégia de segurança cibernética sólida e eficiente. 

 Ela requer correlação e colaboração entre muitos grupos diferentes de pessoas dentro da empresa. Esses níveis foram definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) aos níveis de organização, missão/processos de negócios e sistema de informação (TI e ICS).[11][13]

O gerenciamento de riscos visa avaliar e entender os diferentes tipos de riscos aos quais a empresa está suscetível em diferentes áreas, como riscos de investimento, orçamento, responsabilidade legal, segurança, estoque e da cadeia de suprimentos. O foco deste artigo será sobre os riscos de ICS, que geralmente representa uma das maiores áreas potenciais de risco.[9][10][12]

Para realizar uma avaliação de riscos de ICS, é necessário definir o escopo e os limites do sistema que será avaliado, também conhecido como Sistema Considerado (SuC). Uma vez definido o SuC, é necessário identificar sistematicamente, analisar as ameaças e vulnerabilidades e priorizar os riscos com base em suas possíveis consequências. Ao mesmo tempo, também é importante definir a criticidade e dependência de ativos para a operação.[9]

A fórmula de risco é a seguinte:[1][2][4] 

Probabilidade Ocorrência_Evento=

Probabilidade Ameaça_Percebida × Probabilidade Vulnerabilidade_Explorada [1]

Risco = Probabilidade Ocorrência_Evento × Consequência [2]

Há dois tipos diferentes de avaliações de risco aplicáveis a um ICS: avaliações de risco de alto nível e detalhadas. Como seus nomes sugerem, uma abordagem lida principalmente com conceitos de alto nível e a outra envolve uma análise detalhada dos diferentes tipos de risco. É comum realizar uma avaliação de risco de alto nível para apoiar a justificativa e o caso de negócios, com este último conduzindo uma avaliação de risco detalhada para garantir que o sistema tenha contramedidas específicas incluídas no projeto.[4][9][10][13][14]

Um resultado esperado desta etapa é conseguir formar uma lista abrangente de ativos críticos e determinar onde a conectividade está ocorrendo. A avaliação também deve ser capaz de identificar dependências, determinar quais são os riscos críticos para a operação/segurança desses processos e as respostas apropriadas a esses riscos, que incluem a divisão do sistema em zonas e conduítes para mitigar os riscos aos níveis que a empresa pode aceitar.[15]

1. Defesa em profundidade

Um dos pontos fracos de segurança mais comuns em um ICS é o uso de redes planas onde não há camadas internas de proteção e segregação, permitindo que todos os dispositivos se comuniquem entre si, mesmo que não seja necessário. Este é um cenário indesejável devido a diferentes fatores internos e externos: a facilitação da propagação de ameaças (fator externo) e a degradação da comunicação (fator interno), que resultam da falta de controle das informações na rede.[30] 

Para resolver esse tipo de problema, ao concluir a avaliação de risco de segurança cibernética de alto nível, é necessário iniciar o particionamento inicial do SuC. Cada partição é chamada de zona. O conceito de zonas é detalhado na próxima seção, mas também constitui uma parte importante do conceito mais amplo da abordagem de defesa em profundidade.[18] 

Defesa em profundidade é um conceito militar que fornece diferentes níveis ou camadas de proteção contra um potencial agente malicioso ou invasor tentando hackear o SuC. No contexto de uma rede, o resultado é uma contramedida diferente de segurança cibernética personalizada implementada em todo o sistema.

Embora esteja intimamente ligada à tecnologia, a defesa em profundidade também deve considerar outros aspectos, como pessoas e processos, como parte de sua implementação. Alguns aspectos importantes da defesa em profundidade incluem, mas não estão limitados a segurança física, arquitetura de rede do ICS (zonas e conduítes), segurança de perímetro de rede do ICS (firewalls e servidores jump), segurança de host ou dispositivo, monitoramento de segurança, elemento humano e gestão de fornecedores.[10][19]

1. Estabelecimento de zonas e conduítes

Uma zona, como parte da estratégia de defesa em profundidade, é um subconjunto do sistema de comunicação de rede onde todos os dispositivos de comunicação compartilham o mesmo requisito de segurança e, consequentemente, são igualmente críticos. É possível ter uma zona dentro de outra zona com diferentes requisitos de segurança. 

Os conduítes fornecem inspeção e proteção das comunicações compartilhadas por diferentes zonas. Zonas e conduítes podem ser estabelecidos no sentido físico ou lógico. Por último, os conduítes incluem o conceito de um canal, que é um elo específico dentro do conduíte que respeita o nível de segurança dos conduítes onde está inserido. 

Todos estes conceitos se destinam a alcançar a uniformidade na proteção. Deve-se notar que cada zona é tão segura quanto seu elo mais fraco, portanto, é altamente recomendável isolar os ativos de alto risco em zonas específicas.[17]

1. Níveis de segurança

Uma parte importante da estratégia de defesa em profundidade é considerar contramedidas para zonas e produtos internos. Assim, a norma IEC 62443 introduz o conceito de níveis de segurança (SL) que podem ser aplicados a zonas, conduítes, canais e produtos.  

O nível de segurança é definido pesquisando um dispositivo específico e, em seguida, determinando qual nível de segurança ele deve ter, dependendo de seu lugar no sistema. Os níveis de segurança podem ser classificados em quatro níveis distintos, de 1 a 4 (embora a norma também mencione um nível “aberto” 0 que raramente é usado):

• O nível 1 é uma exposição casual
• O nível 2 é um ataque intencional com poucos recursos
• O nível 3 é um ataque intencional com recursos moderados
• O nível 4 é um ataque intencional com recursos extensos

Assim que a meta do nível de segurança de uma zona é definida, é necessário analisar se os dispositivos dentro da zona podem atender ao nível de segurança correspondente. Se não puderem, é necessário planejar quais contramedidas podem ajudar a atingir a meta do SL.  

Essas contramedidas podem ser técnicas (por exemplo, firewall), administrativas (por exemplo, políticas e procedimentos) ou físicas (por exemplo, portas trancadas).[17]

1. Proteção de ativos críticos

Conforme abordado na Seção II, os ativos críticos são essenciais para o correto funcionamento do ICS. Qualquer impacto nesses ativos pode ter um alto impacto financeiro, de saúde, segurança ou ambiental em uma organização. Esses ativos devem sempre ter uma alta prioridade na avaliação de risco e na estratégia de segurança da empresa. 

A avaliação da criticidade é um dos requisitos para a definição do escopo e proteção das zonas. Esta avaliação identifica o nível de impacto que os ativos têm na organização.  

Outras avaliações, como CARVER (Criticidade, Acessibilidade, Recuperabilidade), do Departamento de Defesa dos EUA (DOD), visam identificar, do ponto de vista de um agente malicioso, quais alvos poderiam causar o maior impacto nos negócios. Independentemente disso, espera-se que os ativos críticos tenham níveis de segurança mais elevados com contramedidas proporcionais que possam aderir aos níveis que a empresa pode aceitar.  

Esta é uma das razões pelas quais a norma IEC 62443 prevê o uso de zonas dentro de zonas com diferentes níveis de segurança.[9][24][35]

1. Segurança de dispositivos

O mesmo conceito de níveis de segurança (SL) também é aplicado aos produtos. A IEC 62443-4-2 define os requisitos de segurança para quatro tipos de componentes: requisitos de aplicação de software (SAR), requisitos de dispositivos incorporados (EDR), requisitos de dispositivos de hospedagem (HDR) e requisitos de dispositivos de rede (NDR).  

Há também sete perspectivas diferentes, definidas como requisitos fundamentais (FR) para cada tipo de componente, incluindo controle de identificação e autenticação (IAC), controle de uso (UC), integridade do sistema (SI), confidencialidade de dados (DC), fluxo restrito de dados (RDF), resposta oportuna a eventos (TRE) e disponibilidade de recursos (RA).  

Essas definições ajudam os proprietários de ativos a simplificar as especificações técnicas e o processo de seleção de produtos, garantindo que o nível de segurança esperado seja usado em sua aplicação, pois cada nível de segurança (SL) tem requisitos e detalhes fundamentais distintos que podem ser medidos e comparados de forma tangível.[20]

Para apoiar a auditoria de uma organização para ver se todos os requisitos fundamentais acima foram realmente implementados nos dispositivos, há diferentes laboratórios, como o ISA Secure, que podem certificar produtos que atendem aos requisitos da IEC 62443-4-2. Esses laboratórios simplificam o processo de seleção para o proprietário dos ativos, pois tudo o que ele precisam fazer é determinar o nível de segurança necessário e selecionar um produto certificado que atenda a esse requisito.  

Consequentemente, todos os recursos de segurança que a organização precisa para satisfazer os requisitos de segurança do SL definido estarão disponíveis.[21]

Essa garantia de segurança ao nível de componente adiciona outra camada de proteção ao sistema como parte de uma estratégia de defesa em profundidade. Isso é conhecido como hardening (ou blindagem) e facilita a proteção das zonas de nível de segurança.[22][23]

Vi. Monitoramento de segurança para uma melhoria da visibilidade

De acordo com o Departamento de Segurança Interna dos EUA, em 2016, a ameaça mais comum era “desconhecida”. Como só era possível gerenciar o que era visível, a maioria dos incidentes não pôde ser investigada devido à falta de visibilidade, dificultando a identificação de ameaças, a compreensão de como elas passam pelas defesas e a determinação das medidas tomadas para identificar a origem do ataque. Isso é conhecido como análise forense e fornece informações importantes aos proprietários de ativos para que possam entender como o incidente ocorreu e ajudar a evitar incidentes semelhantes no futuro.[36][37][38]

A melhoria da visibilidade requer uma estratégia adequada de segurança cibernética para monitorar continuamente o sistema, a fim de identificar possíveis ameaças que passaram pelas defesas que foram implementadas.[4][24][25][26][27] 

A solução mais comum para monitorar uma rede é um sistema de detecção de intrusão de rede (NIDS), ou simplesmente Sistema de Detecção de Intrusão (IDS). Ele melhora a visibilidade da rede através do monitoramento de anomalias no tráfego da rede ou assinaturas maliciosas. 

A adoção de um IDS facilita a análise forense e uma resposta ao incidente. Para aumentar a eficiência, quaisquer dados forenses coletados do IDS e outros dispositivos devem ser sincronizados, pois isso facilitará a análise de correlação adequada entre os diferentes tipos de dados coletados.[10] 

Também é preciso ter uma compreensão adequada de como calcular o número de sensores necessários, definir onde instalá-los e determinar se uma topologia passiva ou ativa é mais adequada para cada aplicação. Cada um desses aspectos tem vantagens e desvantagens que devem ser avaliadas ao selecionar uma solução de monitoramento.[39][40]

VII. Resposta a incidentes

Embora a visibilidade da rede seja importante, é mais importante responder aos incidentes detectados, o que requer um plano de resposta a incidentes de segurança cibernética. Resumindo, o planejamento de resposta a incidentes de segurança cibernética é a preparação para quaisquer eventos negativos que possam afetar o ICS e como voltar ao normal o mais rápido possível após a ocorrência do incidente.  

Seus principais elementos incluem planejamento, prevenção de incidentes, detecção, contenção, remediação, recuperação e restauração e análise/forense pós-incidente. Ele também requer caminhos de comunicação adequados e a designação dos respectivos proprietários que realizarão análises forenses para cada resposta.[4][24][25][26][27][41]

Um assunto atualmente discutido é o uso de um sistema de prevenção de intrusão (IPS) dentro do ICS para responder a certos tipos de incidentes. Um IPS pode usar diferentes tipos de tecnologias, como uma detecção baseada em assinatura (que monitora eventos e ameaças específicos) ou detecção baseada em anomalias (que monitora mudanças nas tendências) para identificar uma ameaça e executar respostas pré-aprovadas.  

Embora possa variar caso a caso, uma recomendação geral para aumentar sua eficácia e minimizar falsos positivos é que, se o IPS usar a detecção baseada em anomalias, é preciso treinar o IPS e seu algoritmo off-line primeiro (passivamente). Desta forma, o IPS aprenderá os padrões de rede e fornecerá algumas respostas potenciais que podem ser validadas primeiro pelo analista de segurança, aumentando sua eficácia.  

Por exemplo, um dos tipos mais comuns de ataque é a negação de serviço (DoS) que afeta o padrão de fluxo de tráfego de rede. Devido à natureza determinística de um ICS, esses ataques são facilmente detectados e são um bom ponto de partida para calibrar a eficácia de um IPS.[10][31][32]

VIII. Fatores humanos, treinamento e conscientização sobre segurança

Quando se trata de segurança cibernética, o fator humano também deve ser considerado. Este é um tópico amplo e complexo porque os seres humanos podem inserir diferentes vulnerabilidades em um sistema.  

A engenharia social e a má configuração são exemplos comuns, independentemente da motivação (intencional e não intencional) e suas causas (por exemplo, fadiga ou falta de experiência). É necessário implementar contramedidas para minimizar esses riscos.[28][29]

Por este motivo, a norma IEC 62443 exige especificamente um treinamento regular da equipe e conscientização sobre segurança para todos os funcionários, fornecendo a eles as informações necessárias para desempenhar suas responsabilidades de forma mais segura a fim de minimizar os riscos causados por erro humano.[4]

IX. Gestão e suporte da cadeia de suprimentos

Outro elemento importante que se relaciona com todos os itens discutidos anteriormente é a segurança da cadeia de suprimentos e dos fornecedores de soluções. Os fornecedores devem garantir segurança durante todo o ciclo de vida do produto, incluindo suporte, controle de qualidade, validação de desempenho e respostas à vulnerabilidade, entre outros aspectos.

Para apoiar a conformidade com esses aspectos, a norma IEC 62443 possui uma subseção específica, a IEC 62443-4-1, que especifica os requisitos para garantir a segurança por design durante todo o ciclo de vida do produto (ou seja, construção, manutenção e descontinuação de dispositivos). Esses requisitos geralmente estão associados ao suporte necessário para gestão de patches, políticas, procedimentos e comunicações de segurança sobre vulnerabilidades conhecidas.

Assim como a norma IEC 62443-4-2 para certificação de produtos, é possível certificar que um fornecedor de soluções está seguindo boas práticas de gestão de segurança e adere a critérios tangíveis na norma IEC 62443-4-1, simplificando o processo de tomada de decisão do proprietário de ativos.[10][33][34]

X. Conclusão

Embora já seja possível se tornar certificado para dispositivos e cadeia de suprimentos de acordo com as recomendações da IEC 62443, os proprietários de ativos ainda devem considerar a implementação holística da norma IEC 62443. A norma IEC 62443 reúne vários aspectos importantes amplamente discutidos por uma comunidade global de especialistas no assunto (SME). Embora este artigo considere alguns aspectos importantes que foram apresentados de maneira progressiva e utilizável, é difícil simplificar um conjunto tão extenso de informações como a IEC 62443. Assim, é altamente recomendável que as empresas que desejam adotar as recomendações da norma IEC 62443 em suas próprias aplicações consultem parceiros e especialistas certificados conforme embarcam em sua jornada na IEC 62443. 

Texto original: https://gca.isa.org/blog/a-practical-approach-to-adopting-the-iec-62443-standards