Série de normas IEC 62443 para Security

A série de normas internacionais IEC 62443 "Redes de comunicação industrial – segurança de TI para redes e sistemas" mostra como é possível estabelecer a segurança de TI na automação. A abrangência do assunto cobre desde a análise de riscos, passando pelas demandas para a operação segura, até o desenvolvimento seguro dos produtos (Security by Design). Desse modo, a IEC 62443 para operadores de instalações, fabricantes de máquinas e de dispositivos é atualmente o melhor guia para implementar a Industrial Security com eficiência.

A IEC 62443 considera cinco áreas: os requisitos fundamentais para Industrial Security, o princípio de zonas e conduítes, o nível de Security, o ciclo de vida de Security e a análise de riscos.

O fundamental para isso é o procedimento para Security Risk Assessment, que pode servir como base para a definição de medidas de Security personalizadas. A interação entre as medidas organizacionais e técnicas também é enfatizada. Soluções técnicas, por si só, podem, no pior dos casos, gerar uma falsa sensação de segurança, uma vez que são facilmente prejudicadas pelo comportamento humano. Por exemplo, uma senha só protege se ela for alterada, não for compartilhada e não estiver em um local visível perto do dispositivo.

Os sistemas de automação industriais precisam de uma abordagem Defense-in-Depth para atender as exigências da Security de TO. A Pilz auxilia os fabricantes e operadores de máquinas com know-how especializado durante a implementação das exigências organizacionais e técnicas, especialmente em relação à IEC 62443.

Com um conceito de Industrial Security e o cumprimento das normas e exigências legais, a segurança cibernética de uma empresa também é aumentada significativamente no nível da máquina. 

ISO/IEC TS 63074:2023

"Safety of machinery - Security aspects related to functional safety of safety-related control systems"

Essa norma refere-se centralmente à intersecção de segurança no sentido de Safety e Security. Portanto, ela aborda essencialmente o que o Regulamento de Máquinas da UE exige. Para a identificação de ameaças de segurança e de vulnerabilidades, ela se baseia na série IEC 62443. Ela considera as vulnerabilidades do comando de Safety, que podem ser exploradas durante ameaças à Security (como acesso não autorizado, malware ou ataques cibernéticos). O objetivo é proteger as funções de Safety, de modo que elas possam realmente executar o seu efeito protetor. Para a Safety, é recomendado especialmente um princípio de Defense-in-Depth.

O documento define os casos de uso e os aplica aos modelos de ameaça correspondentes. Isso ajuda a entender como as ameaças à Security podem afetar a Safety. Outros efeitos de um ataque cibernético não são considerados explicitamente.

ISO 27001 - Sistemas de gestão da segurança da informação (SGSI)

A diretiva NIS 2 aborda o tema de gestão dos sistemas de segurança da informação. É dada atenção especial à ISO/IEC 27001, pois ela é reconhecida mundialmente como a norma de facto para segurança da informação e é certificável. Ela especifica as exigências para um sistema de gestão da segurança da informação.

Fala-se em segurança da informação e não segurança da TI, pois todas as informações precisam ser protegidas, tanto as digitais e analógicas (manuscritas, verbais, pictóricas), como as escritas em um pedaço de papel ou salvas na nuvem. Como atualmente muitas informações são processadas com o suporte de TI, a Security de TI desempenha um papel importante.

Essencialmente, o objetivo é minimizar os riscos à segurança das informações em todas as áreas dentro de uma organização. Isso também afeta os meios de produção, como máquinas e redes de TO.

Se uma organização precisar de um SGSI de acordo com a ISO/IEC 27001 devido a exigências externas (por exemplo, obrigações legais ou acordos contratuais com o cliente) ou se ela desejar implementar um SGSI por iniciativa própria (por exemplo, para se proteger ou para poder usar um padrão de qualidade como efeito externo), ela não pode excluir o tópico de  segurança cibernética industrial.

Com isso, voltamos à norma IEC 62443, que atualmente oferece a melhor estrutura para considerar o tópico de segurança da informação no campo da Industrial Security.

A ameaça cada vez maior de ataques cibernéticos com potencial para causar imensos danos econômicos está levando à introdução de enquadramentos legais em todo o mundo para estabelecer padrões mínimos para empresas, sistemas industriais, máquinas e componentes de máquinas. A Cyber Security é uma nova exigência e, especialmente para infraestruturas críticas, uma necessidade.

Para reduzir os riscos, os legisladores europeus introduziram novas regulamentações.

Regulamento de Máquinas

O Regulamento de Máquinas (UE) 2023/1230 foi emitido em Junho de 2023 e é vinculativo após um período de transição de 42 meses para todos os países membros da UE. O Regulamento de Máquinas afeta os fabricantes de máquinas ou grupos de máquinas, ou seja, produtores (OEM = Original Equipment Manufacturer) e integradores de sistemas. No futuro, os fabricantes de máquinas terão que confirmar que seus equipamentos estão em conformidade com o Regulamento de Máquinas, incluindo também os aspectos de Security. Isso inclui proteção contra falsificação e medidas para resistir a tentativas maliciosas de terceiros de criar situações perigosas. O cumprimento do Regulamento de Máquinas é confirmado formalmente na Declaração de Conformidade. A máquina é etiquetada com a marcação CE. Máquinas que não cumpram com as exigências do novo Regulamento de Máquinas não podem mais ser comercializadas na UE.

Há muitos anos, a Pilz auxilia os fabricantes de máquinas no processo de conformidade, abrangendo quase todos os aspectos, como conceito de segurança, análise e avaliação de riscos, além da declaração de conformidade. No futuro, também assumiremos os aspectos de Security.

Segunda diretriz da UE sobre segurança de redes e informações (NIS 2) 2022/2555

A nova diretriz da UE para redes e sistemas da informação (NIS 2) regulamenta um nível padronizado de proteção contra ataques cibernéticos para dispositivos "essenciais e importantes" na UE. Em contraste com o Regulamento de Máquinas, ela descreve as exigências de segurança cibernética para empresas, não para máquinas. A diretriz contém diferentes requisitos para diferentes áreas, dependendo da importância de uma empresa para a economia (criticidade). As empresas dos setores de fornecimento de energia ou transporte ferroviário, por exemplo, possuem uma alta criticidade. A NIS 2 também afeta os fabricantes de máquinas e sistemas com mais de 50 funcionários ou faturamento anual superior a 10 milhões de euros, incluindo fabricantes de setores menos críticos.

As empresas devem tomar medidas técnicas, operacionais e organizacionais para gerenciar os riscos à segurança da rede e dos sistemas de informação. Isso inclui, entre outras coisas, treinamento de gerentes e funcionários. É importante considerar não apenas a TI tradicional de escritório, mas também o setor de TO e, com isso, a Industrial Security.

Cyber Resilience Act (2024/2847)

O Cyber Resilience Act (CRA) tem como objetivo melhorar as propriedades de Security dos produtos com elementos digitais. Portanto, ele afeta os fabricantes e distribuidores de produtos. Isso também inclui os fabricantes das máquinas. O CRA introduz requisitos de Security obrigatórios em todo o ciclo de vida dos produtos. Ele exige um dever de cuidado durante todo o ciclo de vida, incluindo a obrigação dos fabricantes de fornecer atualizações de software para o patch management pelo operador por um período de pelo menos cinco anos se uma vulnerabilidade de Security se tornar conhecida no produto. A marcação CE dos produtos exige a conformidade com o CRA assim que ele entrar em vigor. Portanto, o CRA complementa a diretiva NIS 2 e o Regulamento de Máquinas com as propriedades de Security dos produtos.