O Estado da Segurança Cibernética da

Infraestrutura Crítica Brasileira

Rio de Janeiro, Novembro de 2014

Marcelo Branquinho

• O Estado atual da segurança cibernética da

infraestrutura crítica Brasileira

• Estatística de incidentes de segurança em

infraestruturas críticas Brasileiras

• Treinamento e Conscientização em segurança

cibernética industrial no Brasil

#class2014

Agenda

• Cada vez mais sofisticados, os ataques cibernéticos são

hoje capazes de paralisar setores inteiros da

infraestrutura critica de um país.

• Os eventos internacionais de grande porte atraem a

atenção do mundo e trazem riscos de invasões virtuais

em infraestruturas críticas brasileiras.

• E o Brasil, estaria blindado contra ataques virtuais como

estes? Já houve incidentes de segurança cibernética no

Brasil? Qual o estado atual da segurança de nossa

infraestrutura crítica?

Introdução

O Estado atual da seguranO Estado atual da segurançça a

ciberncibernéética da infraestrutura tica da infraestrutura

crcríítica Brasileiratica Brasileira

• Pesquisa conduzida pela TI Safe e o CCI (Centro de Ciberseguridad Industrial) de

forma online através de e-mail enviado com um formulário em anexo a gestores de

empresas brasileiras.

• Durante o tempo que o formulário esteve disponível para o preenchimento, de

23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente.

• Este documento apresenta os resultados da pesquisa e proporciona interpretações

baseadas no conhecimento e experiência de seus redatores e participantes do

processo de revisão.

• Os dados fornecidos nos formulários da pesquisa possuem caráter extremamente

sigiloso e estão protegidos por acordos de confidencialidade que a TI Safe mantém

com seus clientes.

• Nenhum nome de cliente, projeto, informação técnica ou financeira será revelado

nesta pesquisa, que contém apenas dados quantitativos consolidados e não

representa de nenhuma forma uma ameaça à confidencialidade dos dados de nossos

clientes.

Metodologia da Pesquisa

• As organizações industriais pesquisadas englobam os principais setores da

indústria brasileira, com uma maior presença das empresas do setor

elétrico e petróleo e gás, mas incluindo também os setores de alimentos e

bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear,

mineradoras e indústrias químicas.

Organizações industriais

pesquisadas

Resultados da PesquisaResultados da Pesquisa

GovernanGovernanççaa IndustrialIndustrial

• A responsabilidade de proteger os sistemas de controle de processos industriais é

compartilhada entre vários departamentos.

• 65% das organizações têm atribuído essa responsabilidade para um único

departamento, enquanto que 35% das organizações não têm responsabilidade definida

para segurança cibernética industrial.

Responsabilidade de proteger

as redes industriais

• Pouco mais da metade dos gestores das empresas pesquisadas (53%) se encontram

muito pouco sensibilizados quanto às normas e riscos em redes industriais.

• Apenas 6% dos gestores atestaram estar muito sensibilizados para os riscos

cibernéticos em redes industriais.

Nível de sensibilização dos

responsáveis pelo negócio

• Quanto ao planejamento das ações de segurança cibernética, 36% das organizações

industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de

incidente, enquanto 27% das empresas planejam as ações ao longo do tempo.

• Estas ações, na maior parte das ocasiões estão motivadas por recomendações internas (15%)

e na menor parte por recomendações operacionais externas (8%).

Planejamento de ações de

segurança industrial

• Chama a atenção o fato de existirem indústrias que não utilizam nenhuma norma para

implementar a segurança industrial, e ainda, que existem indústrias que usam apenas a

família ISO27000 para implementar segurança em redes de automação, o que pode levar a

graves erros de implementação devido às particularidades operacionais das redes em tempo

real em comparação com as redes de tecnologia da informação.

• A maior parte das organizações

utiliza normas para balizar o

estabelecimento da segurança

cibernética industrial na

empresa. As famílias ANSI/ISA-99

e ISO27000 lideram a preferência

dos entrevistados.

Normas usadas para

segurança industrial

• A maioria das organizações industriais pesquisadas contempla requisitos básicos de

segurança cibernética industrial em todos os aspectos de seus novos projetos.

• No entanto ainda é preocupante que 20% das organizações não os considerem.

Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência

das equipes de tecnologia da automação em segurança cibernética industrial.

Requisitos de normas em

novos projetos

• A pesquisa mostra que ainda não existe um perfil definido, mas que a tendência é que

fabricantes juntamente com empresas especializadas em segurança cibernética industrial

venham a ser os maiores provedores no futuro próximo.

• Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos internos para esta

complicada tarefa.

Quem são os provedores de

segurança cibernética industrial?

• No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das

organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto que 31%

admitiram fazer periodicamente avaliações técnicas como análises de vulnerabilidades e

testes de invasão.

• O restante das empresas apresenta percentuais menores e semelhantes de realização de

avaliações organizacionais (políticas, procedimentos) ou normativas (ANSI/ISA-99 e outras).

Análise de riscos em sistemas

de controle industriais

Resultados da PesquisaResultados da Pesquisa

Tecnologias AplicadasTecnologias Aplicadas

• 27% das organizações industriais pesquisadas afirmou que existe separação total entre suas

redes corporativas e industriais.

• A maioria (63%) das organizações que reconhecem existir conexão entre as redes

corporativa e de automação dispõem de firewall entre estas redes.

• Existem preocupantes 6% de empresas que mantêm suas redes de TI e TA conectadas

diretamente, o que representa um enorme risco de incidentes.

Segmentação e proteção de

redes de automação

• A existência de conexões à internet a partir das redes industriais, especialmente

quando estas são permanentes, gera um dos principais riscos às organizações

industriais.

• A maioria das organizações pesquisadas (74%) afirma que suas redes industriais

não possuem dispositivos conectados à internet, enquanto 22% afirmam terem

dispositivos que estão conectados à internet de forma permanente ou temporária.

Dispositivos de redes de

automação conectados à Internet

• Hackers estão usando o site de busca Shodan para encontrar computadores

de sistemas SCADA que utilizam mecanismos potencialmente inseguros para

autenticação e autorização.

http://www.shodanhq.com

Shodan

• A grande maioria das organizações industriais pesquisadas afirma fazer uso de

acessos remotos, sendo que em 27% delas o acesso remoto está

permanentemente disponível para conexões, enquanto em 42% das empresas os

dispositivos de comunicação são ligados sob demanda.

Acessos Remotos

• Os motivos para o estabelecimento de acessos remotos aos sistemas de controle

industriais das empresas pesquisadas são principalmente o suporte e manutenção

remota dos equipamentos das redes de controle.

• Normalmente este acesso é feito em uma conexão para a rede de TI e a partir da

rede de TI é feita uma conexão remota com a rede de TA.

Motivos para uso de acesso

remoto

• As medidas de segurança

cibernética corporativa são as mais

utilizadas em ambientes industriais

(firewalls convencionais, antivírus,

backups).

• As medidas específicas de

segurança cibernética Industriais

(firewalls industriais, gateways

unidirecionais, whitelisting) ainda

tem uso bastante limitado.

Medidas de segurança

industrial utilizadas

Resultados da PesquisaResultados da Pesquisa

MotivaMotivaçção e Tendênciasão e Tendências

Motivação para projetos de

segurança cibernética industrial

• Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de

segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já

nos próximos 6 meses.

• Somente 20% das empresas pesquisadas ainda não contemplam as ações de

segurança cibernética industrial em seus orçamentos.

Previsão de novas atividades de

segurança

• A maioria das organizações pesquisadas considera que o investimento em

segurança cibernética industrial se manterá no nível atual, enquanto 45%

acreditam que ele aumentará.

• Nenhuma das empresas pesquisadas aposta em uma diminuição do nível de

investimentos.

Tendência dos investimentos

em segurança cibernética

EstatEstatíísticas de incidentes de sticas de incidentes de

seguransegurançça em infraestruturas a em infraestruturas

crcrííticas Brasileirasticas Brasileiras

• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de

compartilhar publicamente os incidentes de segurança, 55% das empresas tratam

internamente os incidentes de segurança e apenas 12% das empresas declaram

seus incidentes sigilosamente aos fabricantes e consultorias especializadas de

segurança.

Declaração pública de

incidentes de segurança

• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras (ainda não divulgado)

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil

Incidentes

#

Casos

Malware 27

Erro Humano 24

Falhas em dispositivos 15

Sabotagem 2

Outros - Não

identificados 9

Incidentes de segurança

cibernética industrial no Brasil

Incidentes de segurança

cibernética industrial no Brasil

• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras (ainda não divulgado)

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil

• O DOWNAD, mais conhecido como

“Conficker”, dominou a contagem de

malware em plantas industriais no Brasil.

• Dos 27 casos documentados em nosso

estudo, 14 foram derivados de infecções

do Conficker.

• Isso acontece porque plantas de automação

não são atualizadas com os últimos patches,

deixando-as expostos a malwares como o

Conficker.

• Além disso, boa parte das plantas

industriais brasileiras não possui política de

segurança adequada, medidas para

controle de acesso à rede de automação e

proteção de portas USB.

Malware, o principal vilão

• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de

incidentes de segurança cibernética industrial desenvolvido e em produção.

• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa

quando ocorrem incidentes de segurança.

• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este

processo.

Gestão de incidentes de

segurança cibernética

Treinamento e ConscientizaTreinamento e Conscientizaçção ão

em seguranem segurançça ciberna cibernéética tica

industrial no Brasilindustrial no Brasil

• A pesquisa mostra que as organizações industriais brasileiras investem mais na

capacitação dos departamentos que estão diretamente relacionados com a

segurança das informações (T.I.) do que com as que são as responsáveis pela

manutenção do funcionamento dos processos de negócio (T.A.).

• Existe aí uma inversão de valores uma vez que o core business das indústrias está

baseado juntamente em seus processos produtivos que são geridos pelas redes de

automação.

Comparativo do nível de

capacitação (TI x TA)

• Existem aproximadamente 31.000 plantas industriais no Brasil

• Se considerarmos pelo menos uma pessoa responsável pela segurança cibernética, temos um

número mínimo de 31000 gestores que precisam ser treinados no país.

• Desde 2010 a TI Safe tem oferecido de forma pioneira a “Formação em Segurança de

Automação Industrial", primeira formação em segurança SCADA em língua portuguesa e que

hoje conta com pouco mais de 400 alunos formados, o que representa 1,3% do total estimado

de gestores, o que é uma quantidade ainda muito pequena.

Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras

Alunos treinados no Brasil

• A pesquisa mostra que apenas 8% das organizações não valorizam a

existência de certificações profissionais em prestadores de serviços.

• Pouco mais da metade as considera um requisito fundamental, enquanto

os 41% restantes fizeram uma avaliação positiva.

Avaliação da importância de

certificações de segurança

• Algumas dicas:

– Visitem a área de exposição e conheçam mais

sobre as soluções apresentadas.

– Visitem os stands e conversem diretamente

com os fabricantes

– Visitem o ICS Village e vejam o

ICS.SecurityFramework implementado

– Conversem com os palestrantes e troquem

experiências

– Aproveitem os cursos em paralelo às palestras

– Participem das atividades no stand da TI Safe

Aproveitem a conferência!

marcelo.branquinho@tisafe.com