Cyber Security para Sistemas de Automação de Energia

Como a defesa em profundidade pode aumentar a segurança cibernética em instalações críticas.

A expansão das redes das organizações, seja na adição de novos ativos, seja na acomodação de novos serviços, ou mesmo no oferecimento de acesso aos ativos a parceiros no negócio, tem aumentado o risco de exposição a ataques cibernéticos. Este problema, embora mais comum no ambiente de Tecnologia da Informação, ainda não recebeu a devida atenção em instalações críticas do setor de Energia. A funcionalidade da defesa em camadas garante redundância de proteção caso uma das camadas de proteção falhe ou apresente alguma vulnerabilidade, consistindo em um processo contínuo de proteção, detecção e reação frente a uma ameaça.

Existem algumas definições diferentes para o que se chama Infraestrutura Crítica: instalações, bens e ativos que possuem serviços que, se interrompidos, provocam sérios impactos sociais, econômicos e políticos; ativos que se afetados por fenômenos da natureza, como terremotos, inundações ou por ações de terrorismo, causam grandes impactos em toda uma nação e sua sociedade; ou ainda como os subconjuntos de ativos que afetam a continuidade da missão do Estado e a segurança da sociedade. O texto apresentado trata o aspecto de segurança cibernética para uma parte das instalações criticas existentes no Brasil, as unidades de Geração, Transmissão e Distribuição de Energia Elétrica.

Com a publicação da norma IEC-61850 no ano de 2003, cada vez mais sistemas de automação em infraestruturas críticas começaram a contar com redes Ethernet e conectividade com o segmento Intranet das empresas de geração, transmissão e distribuição de energia. Diversos benefícios apareceram com a aplicação da norma IEC-61850 nesses ambientes, tais como facilidade no acesso remoto aos IEDs instalados nas subestações, agilidade na obtenção dos arquivos de oscilografia, facilidade de diagnósticos de problemas remotamente, etc.

No entanto, essa expansão do perímetro de rede dos ativos das empresas que atuam no segmento de energia elétrica tem aumentado o risco de exposição desses sistemas e, consequentemente, a possibilidade de ataques cibernéticos. Este problema, embora mais comum e já bastante discutido no ambiente de Tecnologia da Informação, ainda não recebeu a devida atenção nos ambientes industriais e nas instalações críticas.

Durante os últimos anos, casos conhecidos de ataques a infraestruturas críticas no mundo mostraram que esses tipos de sistemas são de elevado interesse no espaço cibernético, seja por motivações ideológicas, militares, pessoais ou outras. Devido à importância do sistema elétrico para o correto funcionamento de outras infraestruturas críticas, como sistemas de distribuição de água, sistemas de transporte, e outros, é necessária uma atenção especial para que o mesmo não comprometa a continuidade da missão do estado e da segurança nacional.

O Conceito de Defesa em Profundidade (Defense In-Depth) se baseia na aplicação de diversas camadas de controles de segurança em um sistema, seus ativos e informações. O mecanismo, inicialmente aplicado a sistemas de Tecnologia da Informação, é totalmente adaptado para arquiteturas de rede de instalações críticas em sistemas de automação de energia. A funcionalidade da defesa em camadas garante redundância de proteção caso uma das camadas de proteção falhe ou apresente alguma vulnerabilidade, que possa ser eventualmente explorada por ataques maliciosos. A ideia por trás deste mecanismo é defender o sistema contra qualquer ataque particular, independente do método de ataque utilizado. É uma tática concebida pela NSA – National Security Agency, como uma abordagem compreensiva para segurança da informação e de sistemas eletrônicos.

A aplicação direta dessa filosofia em uma arquitetura de um sistema de automação de energia consiste na aplicação de diversos mecanismos de proteção, desde o ponto de acesso da subestação com a Intranet da empresa, até os IEDs (Intelligent Electronic Devices) instalados para a proteção e controle do sistema de energia elétrica. Junto com este conceito, diversos mecanismos são empregados de maneira a garantir camadas de segurança na rede Ethernet de uma subestação, como a segmentação de rede via DMZ (Demilitarized Zone), o uso de Firewalls para proteger as zonas de segurança da rede de automação de energia, hardening dos equipamentos conectados à rede Ethernet de automação de energia, protocolos de comunicação com criptografia, monitoramento de acessos aos dispositivos e gestão de senhas, etc.

As instalações de energia estão expostas a uma série de ameaças. Algumas delas estão relacionadas a falhas não intencionais, ocasionadas por equipamentos defeituosos ou até mesmo desastres naturais. Outras ameaças estão relacionadas a ataques realizados deliberadamente por agentes internos ou externos ao sistema, como terrorismo, vandalismo à instalação, espionagem industrial, roubo e interrupção do serviço.

Dispositivos como escritórios remotos, roteadores de interface, unidades terminais remotas (RTUs), interfaces homem-máquina e estações de engenharia apresentam vulnerabilidades que podem ser exploradas para interferências não autorizadas ao sistema de automação. Alguns tipos de ataques são o acesso não autorizado ou violação de acesso, backdoor, cavalo de Tróia, interceptação, interferência em consulta na base de dados, negação de serviço, vírus e outros.

Dadas as ameaças e os ataques existentes, o conceito de defesa em profundidade associado a outros elementos pode mitigar os riscos e aumentar a segurança em infraestruturas críticas (DMZ, criptografia, hardening, firmware com assinatura digital, Firewall, VPN, controle de acesso, gestão de senhas e firmware – cross bow, etc).

Alguns conceitos de segurança que podem ser aplicados de maneira consistente em arquiteturas seguras de automação de energia são o uso de firewalls industriais, como os da família Siemens Scalance S, a segmentação de rede via DMZ (o termo significa “Demilitarized Zone”), a Criptografia de protocolos de controle remoto, o Hardening (processo que consiste em aumentar a segurança de um sistema reduzindo as vulnerabilidades existentes), Firmwares de IEDs com assinatura digital, o uso de Radius Server (Remote Authentication Dial In User Service) para permitir a conexão nas IHMs, Gateways, notebooks e dispositivos nas portas dos Switches, e a gestão de senhas: metodologia que depende da ação do usuário do sistema de automação de energia e consiste em alterar as senhas “default” dos dispositivos para reduzir a possibilidade de acessos indevidos aos mesmos.

Vale lembrar que segurança cibernética não depende apenas de equipamentos, mas também do comportamento do usuário do sistema. Logo, é recomendável realizar, em paralelo aos métodos acima, treinamentos sobre “Engenharia Social” para conscientizar o quadro de colaboradores da empresa sobre riscos, ameaças e comportamentos do ponto de vista de Segurança Cibernética.

No Brasil, o sistema de energia elétrica é parte do que chamamos de Infraestrutura Crítica. Tal sistema é hoje controlado pelo Sistema Interligado Nacional (SIN) que é um sistema de coordenação e controle, formado por empresas estatais e privadas das regiões Sul, Sudeste, Centro-Oeste, Nordeste e parte da região Norte e que congrega o sistema de produção e transmissão de energia elétrica do Brasil. Por sua vez, o Operador Nacional do Sistema Elétrico (ONS) é uma entidade brasileira de direito privado sem fins lucrativos, responsável pela coordenação e controle da operação das instalações de geração e transmissão de energia elétrica do SIN e está sob a fiscalização e regulação da Agência Nacional de Energia Elétrica (ANEEL) do Brasil.

No que diz respeito aos aspectos legais, a responsabilidade pela segurança patrimonial de usinas hidrelétricas no Brasil, segundo a legislação do Setor (Decreto Lei 4.295, de 13 de Maio de 1942, que “estabelece medidas de emergência, transitórias, relativas à indústria de energia elétrica”), é das concessionárias de geração de energia. O artigo 5º deste decreto, que se encontra em pleno vigor, delegou ao Conselho Nacional de Águas e Energia Elétrica – CNAEE - as prerrogativas para definir as instruções necessárias para “garantir a segurança das instalações referentes à indústria da energia elétrica, bem como assegurar a continuidade ou, pelo menos, reduzir ao mínimo a interrupção dos fornecimentos respectivos”.

Neste sentido, observa-se que a legislação brasileira, e sua consequente aplicação regulatória, tem construção bastante antiga, no que se refere a medidas de segurança para a integridade das instalações elétricas e, portanto, defasada em termos do contexto atual de segurança cibernética.

O Gabinete de Segurança Institucional da Presidência da República (GSIPR), por meio do CREDEN (6) (Câmera de Relações Exteriores e Defesa Nacional), coordena o trabalho de identificação das Infraestruturas Críticas do País. Por meio da Portaria do GSIPR no. 2/2008, foram instituídos Grupos Técnicos de Segurança de Infraestruturas Críticas (GTSIEC) para propor a implementação de medidas e ações relacionadas com a segurança das Infraestruturas Críticas nas áreas prioritárias de energia, transportes, comunicações, finanças e água. Dentre as atribuições de cada GTSIEC, estão: - pesquisar e propor um método de identificação de Infraestruturas Críticas; - articular estudos no sentido de levantar as vulnerabilidades e as ameaças das Infraestruturas Críticas identificadas e sua interdependência com outras Infraestruturas Críticas; - articular estudos e propor medidas necessárias à segurança das Infraestruturas Críticas; e - estudar, propor e implementar um sistema de informações que conterá dados atualizados das Infraestruturas Críticas para apoiar decisões.

Do ponto de vista de requerimentos regulatórios e planos de ações, vemos que ainda há uma carência de tais definições, o que tem dificultado a aplicação de tais práticas pelas empresas e órgãos que atuam com Infraestruturas Críticas.

Por outro lado vemos um movimento crescente pelos setores envolvidos, no sentido de mitigar ao máximo os danos causados por problemas de segurança cibernética. Como exemplo, podemos citar: o PNSIEC (Plano Nacional de Segurança das Infraestruturas Críticas); os Grupos Técnicos de Segurança das Infraestruturas Críticas de Energia, Transportes, Comunicações, Água, e Finanças; o Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação; a existência de equipes de resposta e tratamento de incidentes como o CERT.br; e a criação da Rede Nacional de Segurança da Informação e Criptografia (RENASIC), gerenciada pelo CDCiber do Ministério da Defesa.

Segundo o RENASIC, um conjunto de ações práticas aplicadas às Infraestruturas Críticas por grupos de trabalho multidisciplinares que terão como objetivo comum gerar normas e boas práticas para a melhoria imediata, a curto, médio e longo prazo do nível de segurança cibernética da infraestrutura crítica nacional. O Brasil vive um momento histórico devido à oportunidade de sediar a Copa do Mundo de 2014 e, agora, as Olimpíadas de 2016. Isso coloca o país em foco mundial, não apenas do ponto de vista do esporte, mas também do ponto de vista de diversos interesses internacionais.

Fica claro assim que já existe um interesse cibernético mundial em sistemas de infraestrutura critica, e esse interesse deve aumentar principalmente durante a realização dos Jogos Olímpicos em 2016. Logo, a legislação e regulamentação devem mudar rapidamente para garantir que sistemas de automação de energia passem a ser instalados com o mínimo de recursos necessários para garantir a mitigação das vulnerabilidades existentes, como já vem sido feito por algumas entidades.

No entanto, é importante ressaltar que Segurança Cibernética não depende apenas da instalação de equipamentos ou mudança na arquitetura de rede. É necessário também associar essas medidas com a capacitação do corpo técnico que opera e mantém sistemas de infraestrutura critica. Grande parte dos ataques a sistemas se iniciam com a chamada “Engenharia Social”, e somente treinamento pode combater esse tipo de abordagem.

. Por: .Paulo Antunes Souza (Siemens Brasil) | . Marcelo Branquinho (TI Safe Brasil | . Andreas Kiefer (Siemens Brasil) | . Cosme dos Santos (Siemens Brasil) | . Edson Videira (Siemens Brasil).