[CLASS 2014] Palestra Técnica - Marcelo Branquinho
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
221 -
download
2
description
Transcript of [CLASS 2014] Palestra Técnica - Marcelo Branquinho
O Estado da Segurança Cibernética da
Infraestrutura Crítica Brasileira
Rio de Janeiro, Novembro de 2014
Marcelo Branquinho
• O Estado atual da segurança cibernética da
infraestrutura crítica Brasileira
• Estatística de incidentes de segurança em
infraestruturas críticas Brasileiras
• Treinamento e Conscientização em segurança
cibernética industrial no Brasil
#class2014
Agenda
• Cada vez mais sofisticados, os ataques cibernéticos são
hoje capazes de paralisar setores inteiros da
infraestrutura critica de um país.
• Os eventos internacionais de grande porte atraem a
atenção do mundo e trazem riscos de invasões virtuais
em infraestruturas críticas brasileiras.
• E o Brasil, estaria blindado contra ataques virtuais como
estes? Já houve incidentes de segurança cibernética no
Brasil? Qual o estado atual da segurança de nossa
infraestrutura crítica?
Introdução
O Estado atual da seguranO Estado atual da segurançça a
ciberncibernéética da infraestrutura tica da infraestrutura
crcríítica Brasileiratica Brasileira
• Pesquisa conduzida pela TI Safe e o CCI (Centro de Ciberseguridad Industrial) de
forma online através de e-mail enviado com um formulário em anexo a gestores de
empresas brasileiras.
• Durante o tempo que o formulário esteve disponível para o preenchimento, de
23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente.
• Este documento apresenta os resultados da pesquisa e proporciona interpretações
baseadas no conhecimento e experiência de seus redatores e participantes do
processo de revisão.
• Os dados fornecidos nos formulários da pesquisa possuem caráter extremamente
sigiloso e estão protegidos por acordos de confidencialidade que a TI Safe mantém
com seus clientes.
• Nenhum nome de cliente, projeto, informação técnica ou financeira será revelado
nesta pesquisa, que contém apenas dados quantitativos consolidados e não
representa de nenhuma forma uma ameaça à confidencialidade dos dados de nossos
clientes.
Metodologia da Pesquisa
• As organizações industriais pesquisadas englobam os principais setores da
indústria brasileira, com uma maior presença das empresas do setor
elétrico e petróleo e gás, mas incluindo também os setores de alimentos e
bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear,
mineradoras e indústrias químicas.
Organizações industriais
pesquisadas
Resultados da PesquisaResultados da Pesquisa
GovernanGovernanççaa IndustrialIndustrial
• A responsabilidade de proteger os sistemas de controle de processos industriais é
compartilhada entre vários departamentos.
• 65% das organizações têm atribuído essa responsabilidade para um único
departamento, enquanto que 35% das organizações não têm responsabilidade definida
para segurança cibernética industrial.
Responsabilidade de proteger
as redes industriais
• Pouco mais da metade dos gestores das empresas pesquisadas (53%) se encontram
muito pouco sensibilizados quanto às normas e riscos em redes industriais.
• Apenas 6% dos gestores atestaram estar muito sensibilizados para os riscos
cibernéticos em redes industriais.
Nível de sensibilização dos
responsáveis pelo negócio
• Quanto ao planejamento das ações de segurança cibernética, 36% das organizações
industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de
incidente, enquanto 27% das empresas planejam as ações ao longo do tempo.
• Estas ações, na maior parte das ocasiões estão motivadas por recomendações internas (15%)
e na menor parte por recomendações operacionais externas (8%).
Planejamento de ações de
segurança industrial
• Chama a atenção o fato de existirem indústrias que não utilizam nenhuma norma para
implementar a segurança industrial, e ainda, que existem indústrias que usam apenas a
família ISO27000 para implementar segurança em redes de automação, o que pode levar a
graves erros de implementação devido às particularidades operacionais das redes em tempo
real em comparação com as redes de tecnologia da informação.
• A maior parte das organizações
utiliza normas para balizar o
estabelecimento da segurança
cibernética industrial na
empresa. As famílias ANSI/ISA-99
e ISO27000 lideram a preferência
dos entrevistados.
Normas usadas para
segurança industrial
• A maioria das organizações industriais pesquisadas contempla requisitos básicos de
segurança cibernética industrial em todos os aspectos de seus novos projetos.
• No entanto ainda é preocupante que 20% das organizações não os considerem.
Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência
das equipes de tecnologia da automação em segurança cibernética industrial.
Requisitos de normas em
novos projetos
• A pesquisa mostra que ainda não existe um perfil definido, mas que a tendência é que
fabricantes juntamente com empresas especializadas em segurança cibernética industrial
venham a ser os maiores provedores no futuro próximo.
• Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos internos para esta
complicada tarefa.
Quem são os provedores de
segurança cibernética industrial?
• No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das
organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto que 31%
admitiram fazer periodicamente avaliações técnicas como análises de vulnerabilidades e
testes de invasão.
• O restante das empresas apresenta percentuais menores e semelhantes de realização de
avaliações organizacionais (políticas, procedimentos) ou normativas (ANSI/ISA-99 e outras).
Análise de riscos em sistemas
de controle industriais
Resultados da PesquisaResultados da Pesquisa
Tecnologias AplicadasTecnologias Aplicadas
• 27% das organizações industriais pesquisadas afirmou que existe separação total entre suas
redes corporativas e industriais.
• A maioria (63%) das organizações que reconhecem existir conexão entre as redes
corporativa e de automação dispõem de firewall entre estas redes.
• Existem preocupantes 6% de empresas que mantêm suas redes de TI e TA conectadas
diretamente, o que representa um enorme risco de incidentes.
Segmentação e proteção de
redes de automação
• A existência de conexões à internet a partir das redes industriais, especialmente
quando estas são permanentes, gera um dos principais riscos às organizações
industriais.
• A maioria das organizações pesquisadas (74%) afirma que suas redes industriais
não possuem dispositivos conectados à internet, enquanto 22% afirmam terem
dispositivos que estão conectados à internet de forma permanente ou temporária.
Dispositivos de redes de
automação conectados à Internet
• Hackers estão usando o site de busca Shodan para encontrar computadores
de sistemas SCADA que utilizam mecanismos potencialmente inseguros para
autenticação e autorização.
http://www.shodanhq.com
Shodan
• A grande maioria das organizações industriais pesquisadas afirma fazer uso de
acessos remotos, sendo que em 27% delas o acesso remoto está
permanentemente disponível para conexões, enquanto em 42% das empresas os
dispositivos de comunicação são ligados sob demanda.
Acessos Remotos
• Os motivos para o estabelecimento de acessos remotos aos sistemas de controle
industriais das empresas pesquisadas são principalmente o suporte e manutenção
remota dos equipamentos das redes de controle.
• Normalmente este acesso é feito em uma conexão para a rede de TI e a partir da
rede de TI é feita uma conexão remota com a rede de TA.
Motivos para uso de acesso
remoto
• As medidas de segurança
cibernética corporativa são as mais
utilizadas em ambientes industriais
(firewalls convencionais, antivírus,
backups).
• As medidas específicas de
segurança cibernética Industriais
(firewalls industriais, gateways
unidirecionais, whitelisting) ainda
tem uso bastante limitado.
Medidas de segurança
industrial utilizadas
Resultados da PesquisaResultados da Pesquisa
MotivaMotivaçção e Tendênciasão e Tendências
Motivação para projetos de
segurança cibernética industrial
• Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de
segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já
nos próximos 6 meses.
• Somente 20% das empresas pesquisadas ainda não contemplam as ações de
segurança cibernética industrial em seus orçamentos.
Previsão de novas atividades de
segurança
• A maioria das organizações pesquisadas considera que o investimento em
segurança cibernética industrial se manterá no nível atual, enquanto 45%
acreditam que ele aumentará.
• Nenhuma das empresas pesquisadas aposta em uma diminuição do nível de
investimentos.
Tendência dos investimentos
em segurança cibernética
EstatEstatíísticas de incidentes de sticas de incidentes de
seguransegurançça em infraestruturas a em infraestruturas
crcrííticas Brasileirasticas Brasileiras
• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de
compartilhar publicamente os incidentes de segurança, 55% das empresas tratam
internamente os incidentes de segurança e apenas 12% das empresas declaram
seus incidentes sigilosamente aos fabricantes e consultorias especializadas de
segurança.
Declaração pública de
incidentes de segurança
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes
#
Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - Não
identificados 9
Incidentes de segurança
cibernética industrial no Brasil
Incidentes de segurança
cibernética industrial no Brasil
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
• O DOWNAD, mais conhecido como
“Conficker”, dominou a contagem de
malware em plantas industriais no Brasil.
• Dos 27 casos documentados em nosso
estudo, 14 foram derivados de infecções
do Conficker.
• Isso acontece porque plantas de automação
não são atualizadas com os últimos patches,
deixando-as expostos a malwares como o
Conficker.
• Além disso, boa parte das plantas
industriais brasileiras não possui política de
segurança adequada, medidas para
controle de acesso à rede de automação e
proteção de portas USB.
Malware, o principal vilão
• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de
incidentes de segurança cibernética industrial desenvolvido e em produção.
• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa
quando ocorrem incidentes de segurança.
• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este
processo.
Gestão de incidentes de
segurança cibernética
Treinamento e ConscientizaTreinamento e Conscientizaçção ão
em seguranem segurançça ciberna cibernéética tica
industrial no Brasilindustrial no Brasil
• A pesquisa mostra que as organizações industriais brasileiras investem mais na
capacitação dos departamentos que estão diretamente relacionados com a
segurança das informações (T.I.) do que com as que são as responsáveis pela
manutenção do funcionamento dos processos de negócio (T.A.).
• Existe aí uma inversão de valores uma vez que o core business das indústrias está
baseado juntamente em seus processos produtivos que são geridos pelas redes de
automação.
Comparativo do nível de
capacitação (TI x TA)
• Existem aproximadamente 31.000 plantas industriais no Brasil
• Se considerarmos pelo menos uma pessoa responsável pela segurança cibernética, temos um
número mínimo de 31000 gestores que precisam ser treinados no país.
• Desde 2010 a TI Safe tem oferecido de forma pioneira a “Formação em Segurança de
Automação Industrial", primeira formação em segurança SCADA em língua portuguesa e que
hoje conta com pouco mais de 400 alunos formados, o que representa 1,3% do total estimado
de gestores, o que é uma quantidade ainda muito pequena.
Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras
Alunos treinados no Brasil
• A pesquisa mostra que apenas 8% das organizações não valorizam a
existência de certificações profissionais em prestadores de serviços.
• Pouco mais da metade as considera um requisito fundamental, enquanto
os 41% restantes fizeram uma avaliação positiva.
Avaliação da importância de
certificações de segurança
• Algumas dicas:
– Visitem a área de exposição e conheçam mais
sobre as soluções apresentadas.
– Visitem os stands e conversem diretamente
com os fabricantes
– Visitem o ICS Village e vejam o
ICS.SecurityFramework implementado
– Conversem com os palestrantes e troquem
experiências
– Aproveitem os cursos em paralelo às palestras
– Participem das atividades no stand da TI Safe
Aproveitem a conferência!