A segurança está mais uma vez no
topo da mente de todos. Incidentes como o complô de Heathrow renovam o foco
sobre as possíveis vulnerabilidades de infraestrutura crítica, como as de
energia, petróleo e gás, manufatura e outras indústrias. Uma área chave de
preocupação lida com infraestruturas SCADA usando protocolos de comunicação
como OPC.
A questão que se coloca a essas indústrias é “Estamos fazendo todo o possível para garantir a segurança de sistemas de controle de processos industriais” De acordo com vários analistas de segurança e revisões do governo, a resposta hoje para muitas instalações seria: ‘Longe disso’. Historicamente esses tipos de sistemas foram isolados do mundo exterior, ou usados especializados ou interfaces proprietárias, de modo que a segurança não era uma questão-chave do projeto.
Porém com o aumento da
demanda por eficiência, integração de sistemas e globalização, mais e mais
desses sistemas estão usando open protocolos e possuem conexões com o mundo dos
negócios. Durante anos, a matriz de risco de segurança para SCADA comunicações,
incluindo OPC, focadas na probabilidade de ataque e não na possibilidade. A
realidade de hoje é que muitas ameaças estão se tornando cada vez mais
prováveis.
Como o OPC é amplamente utilizado na indústria de controle e permite acesso aberto a uma miríade de protocolos proprietários, torna-se um foco natural para questões de segurança. Tal como acontece com muitas interfaces padrões ou protocolos desenvolvidos para a indústria de processo, as especificações OPC não exigem segurança. Em vez disso, eles contam com segurança baseada em sistema operacional (SO), como Windows e DCOM segurança, que já não é considerada suficiente. Embora uma especificação de segurança OPC complementar que oferece uma opção de maior segurança, teve adoção limitada no mercado.
Uma das principais razões pelas
quais medidas adicionais não são implementadas é que os sistemas SCADA são
normalmente projetados para desempenho e confiabilidade, onde o tempo de
resposta costuma ser um fator crítico. Este critério precisa ser equilibrado
com a adição de recursos de segurança, como criptografia ou autenticação que
pode afetar adversamente o desempenho.
Proteger essas vastas e variadas instalações OPC não é uma tarefa simples. É dificultado pelo sempre questão atual de ‘o que é considerado seguro o suficiente?’ De um lado está o governo e níveis de gestão corporativa que assumem a responsabilidade de não deixar nada acontecer. Por outro lado, os níveis operacional e financeiro temem que a segurança obrigatória seja tão restritiva que impede o próprio processo que está protegendo.
Independentemente de onde alguém se senta em uma organização, ou sua opinião sobre quanta segurança é uma coisa boa demais; o único ponto que a maioria das pessoas concorda on é a indústria de controle de processo como um todo precisa resolver o problema de segurança. A boa notícia é que as pessoas estão trabalhando nisso. Existem vários grupos abertos e colaborativos, como o Processo Fórum de Sistemas de Controle (PCSF) e Fórum de Requisitos de Segurança de Controle de Processos (PCSRF) trabalhando para melhorar a segurança de TI dos sistemas de controle de processo.
Eles têm representação
de; usuários finais, fornecedores, integradores de sistemas e indústria,
governo e comunidade acadêmica. Além disso, existem vários padrões de segurança
SCADA sendo conduzidos pelos setores de petróleo e gás, eletricidade,
manufatura e outros grupos da indústria. Grupos como esses sabem que é possível
criar sistemas seguros que são também confiáveis e de alto desempenho. Para
muitos usuários finais de sistemas de controle, a segurança é primordial e é
uma consideração integral no projeto e operação do sistema. O mesmo tipo de
pensamento pode ser aplicado a segurança.
Por mais agourento que pareça o estado atual das coisas, isso não significa que todas as instalações OPC sejam inseguro. Os usuários finais que estão cientes da segurança estão usando uma combinação de segurança de rede de TI práticas, arquitetura OPC adequada e produtos OPC que incorporam recursos de segurança para criar sistemas robustos com sucesso. Um fornecedor experiente, trabalhando de perto com o usuário final, incorporando avaliações de rede e avaliações de segurança, pode produzir um OPC seguro arquitetura.
No entanto, poucas instalações seguiram um processo tão rigoroso. Um comum O problema enfrentado pela empresa é que, embora existam vários rascunhos de especificações, nenhum setor organização pode garantir que seguir um conjunto de diretrizes ou requisitos fornece segurança. Há uma grande variabilidade entre a experiência de segurança de TI do fornecedor e do integrador de sistemas, e há uma falta de conhecimento e compreensão aprofundados entre muitos engenheiros de controle e os profissionais de segurança de TI.
O
resultado final é a necessidade de devida diligência por parte do usuário na
compreensão de seus requisitos de segurança OPC. Se não for possível ou prático
para uma empresa fazer parte das várias organizações que estão abordando a
segurança no OPC e na indústria de processo, eles devem garantir que seu
fornecedor ou integrador de sistemas é. Aspectos importantes a considerar são:
• Experiência com OPC e
implementação de arquiteturas OPC seguras.
• Produtos OPC que incorporam
recursos de segurança
• Suporte das especificações OPC
UA
• Associação ativa em
organizações de segurança SCADA
À medida que as especificações focadas em várias indústrias são finalizadas e adotadas, e seguras implementações continuam a crescer, as melhores práticas de segurança SCADA estão começando a se solidificar. Além disso, a especificação OPC UA lançada recentemente tem a segurança como um componente principal. Isso vai tornar mais fácil para aqueles que são responsáveis pela segurança do site determinar a melhor forma de atender às suas requisitos particulares com produtos em conformidade com OPC UA.
Embora a necessidade de o usuário final estar
envolvido no processo nunca desaparecerá, medidas estão sendo tomadas para
diminuir o tempo compromisso deste requisito. Enquanto isso, os usuários finais
precisarão continuar sendo um parte integrante da solução e estar confiante
naqueles que escolherem para proteger seu OPC comunicações.