Loading
Blog

Como instaurar o processo de gestão de patches para operações

A produção inteligente nos trouxe produtividade inovadora, mas a cibersegurança do sistema de controle industrial ficou para trás. Vejamos como o setor de alimentos e bebidas está se atualizando.
Como instaurar o processo de gestão de patches para operações hero image

O setor de alimentos e bebidas tem tido um ótimo impulso quando se trata de abordar os ciberataques – o ponto inicial para a cibersegurança de um sistema de controle industrial (ICS). Onde costumávamos ter várias conversas sobre infraestrutura de rede, as técnicas e estratégia de cibersegurança agora ocupam o espaço central. Mas, como chegamos aqui?

 

O problema vem de 20 a 30 anos atrás, quando o setor de alimentos e bebidas foi rapidamente adotando tecnologia avançada e proprietária no chão de fábrica. Devido à natureza fechada e isolada desses sistemas, a cibersegurança não era uma preocupação real. 

 

Avance nos últimos 10 anos, e a proliferação de ICS e equipamentos conectados à Ethernet revolucionaram a produtividade, qualidade, conformidade e velocidade para o mercado Ela também simplificou a conexão desses sistemas em obsolescência uns com os outros e com novos sistemas. Essa comunicação Ethernet aberta e sem modificações trouxe um risco cibernético cada vez maior e uma nova preocupação: a gestão de patches em sistema em obsolescência.

 

Um recente relatório do Instituto de Proteção e Defesa de Alimentos detalha como esses equipamentos em obsolescência desatualizados podem expor sua operação a ataques maliciosos. Ataques que podem interromper negócios, destruir equipamentos e comprometer a segurança dos funcionários e de produto. Um programa de cibersegurança abrangente se tornou uma exigência comercial e o processo de gestão de patches desempenha um papel importante.

A ideia de um inventário de ativos não é nova e você pode já ter experimentado esse exercício internamente, ou até solicitado ajuda externa. Porém capturar tudo não é uma tarefa fácil e muitos ainda estão trabalhando para fazer isso corretamente.

 

Há duas formas de reunir um inventário e, para definir a base correta para seu programa de cibersegurança de sistema de controle industrial, você precisa de ambas.

  • As ferramentas de interrogação eletrônicas podem varrer sua rede e identificar ativos automaticamente, fazendo você avançar por boa parte do caminho.
  • A identificação manual capturará o restante, mas exige que alguém literalmente caminhe por aí, abrindo painéis e fazendo uma pesquisa física do que está presente.

 

É recomendável adotar ambas as abordagens em todos os seus locais. Se apenas nove de seus 10 locais forem concluídos, posso quase garantir que a brecha surgirá através daquele que foi ignorado.

Após o inventário, você pode ter uma lista de milhares de ativos para analisar. Felizmente, nem todos os ativos são criados da mesma forma. O próximo passo é realizar uma análise de risco para identificar os ativos de alta prioridade a receberem patches com base em sua criticidade, exposição, idade, risco antecipado, etc. Alguns ativos nem sequer estão na rede, então eles realmente são um risco?

 

Há dois tipos de patches que você precisa abordar: 

  1. A aplicação de patches de sistema operacional (SO) é algo comum para a TI, tanto que o Microsoft Patch Tuesday é um evento que acontece há mais de 15 anos. Você terá que temporizar a aplicação de patch de SO do chão de fábrica com tempo de parada programado para interrupção mínima. Alguma colaboração proativa de TI/TO podem cuidar disso em muitas instâncias.
  2. A aplicação de patch em nível de programa aplicativo é uma história diferente. Poderia haver literalmente centenas de programas aplicativos de diferentes fornecedores com diferentes patches. Então você é o encarregado de buscar patches em sites de fornecedores, entender contra quais vulnerabilidades eles protegem e se são necessários ou não.

 

Como cada aplicação é configurada de forma diferente, aplicar patch na camada da aplicação garante um padrão de teste muito deliberado e consistente. Um teste é realizado em ambiente de laboratório antes da implantação no chão de fábrica, onde você poderia encontrar o risco de desligar a produção sem querer.

A abordagem “dedos cruzados” é comum por todo o setor de alimentos e bebidas. Não é por falta de tentar, mas por falta dos recursos certos e do conhecimento especializado. Geralmente, o que vejo no campo hoje é reativo. Responder a uma notificação de patch de alta prioridade e desligar a produção em um fim de semana, conforme necessário.

 

E o progresso comum é assim:

  • O setor de operações solicita que a TI ajude a gerenciar a aplicação de patch TO.
  • A TI comparece, mas não possui a experiência de sistema de controle industrial ou recursos para gerenciar os requisitos e restrições exclusivos.
  • Então, um recurso híbrido de TI/TO é contratado e, quase sempre, terceiriza-se uma empresa como a Rockwell Automation ou outras.

 

Se adotarem o caminho de terceiros, procure um parceiro que se baseie em operações. Um sinal indicador é seu tempo de resposta de acordo do nível de serviço (SLA). Os fornecedores de TI tradicional medem a resposta em horas. No entanto, esse tipo de tempo de parada em produção de bens de consumo pode significar uma perda de milhares de dólares. Os SLAs medidos em minutos representam uma abordagem amigável às operações.

A gestão de patches é um passo em seu caminho para obter um centro de operações seguras (SOC) funcionando a todo vapor. Um SOC pode fornecer uma visão de painel abrangente de sua postura de segurança, inclui uma estratégia de recuperação de desastres e garante a operação ideal de sua fábrica conectada.

 

Além disso, há soluções disponíveis hoje em dia que foram criadas para proteção de  extremidades ou “lista de permissões”.  Embora essas soluções não eliminem totalmente a necessidade de aplicação de patch, elas são soluções eficientes para proteger e dar tempo a você enquanto formula uma estratégia de aplicação de patch.

 

A verdade é que não existe uma solução definitiva para uma cibersegurança eficiente. E é disso que se trata a defesa em profundidade. Tendo mais do que o resultado final em risco (pense na segurança de alimentos e dos funcionários). a reação e contar com a sorte não são mais uma abordagem viável. Se você está procurando uma ajuda em iniciar seu programa, ou elevá-lo ao próximo nível, estamos aqui para ajudar.

Publicado 7 de Maio de 2020

Mark Cristiano
Mark Cristiano
Global Commercial Director, Lifecycle Services, Rockwell Automation
Mark Cristiano is an expert in the field of critical infrastructure. With over 30 years of experience in IT, Mark has spent the past 15 years leading manufacturing systems on the front lines of IT/OT. Currently, Mark is a trusted advisor to manufacturers in securing their OT infrastructure.
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Subscrição

Recomendado para você

Loading