A cibersegurança deve fazer parte da sua segurança

Os perigos que as ameaças cibernéticas representam para a propriedade intelectual, os registros dos clientes e a produtividade são bem conhecidos, mas as implicações de segurança dessas ameaças são menos discutidas. Um ciberataque ao seu sistema de controle industrial (ICS) pode danificar ativos físicos, alterar receitas, ferir trabalhadores ou causar danos ambientais graves.

Se você estiver em uma jornada pela transformação digital (seja um processo gerenciado ou uma evolução lenta), a gestão dos riscos inerentes à segurança e à proteção deve ser parte integrante do processo.

Uma abordagem de segurança projetada de maneira adequada aprimora a coleta, a análise e a entrega de informações. Isso minimiza as interrupções e frustrações relacionadas à segurança. E também ajuda a proteger sua empresa.

Conheça seus riscos

Hoje em dia, as normas de segurança e proteção já reconhecem o vínculo entre os riscos de segurança e proteção.

A norma de cibersegurança ISA/IEC 62443-1-1 menciona que as violações de segurança podem ter outras consequências além do comprometimento de informações. O texto da norma declara: “A perda de vidas ou de produção, os danos ambientais, a violação de regulamentações e o comprometimento da segurança operacional em potencial são consequências muito mais sérias. Isso tudo pode ter outras ramificações além da organização que é algo dos cibercriminosos; pode danificar gravemente a infraestrutura da região ou do país.”

A norma de segurança funcional IEC 61508-1 especifica que os riscos associados aos equipamentos e sistemas de controle devem ser determinados em todas as circunstâncias razoavelmente previsíveis. O texto da norma é o seguinte: “Isso deve incluir todas as questões relevantes de fatores humanos e deve dar atenção especial a modos de operação anormais ou pouco frequentes da EUC. Se a análise de perigo identificar que é razoavelmente previsível haver uma ação mal-intencionada ou não autorizada que constitui uma ameaça à segurança, uma análise de ameaça à segurança deve ser realizada”.

A segurança, assim como a proteção, aborda questões baseadas na gestão de risco, no aproveitamento da avaliação contínua e em avaliações iniciais para garantir que você esteja gerenciando um limite de risco. Seu nível de risco aceitável vai variar conforme o setor e os possíveis resultados.

Considerando que a maioria dos ataques de cibersegurança se baseia no fato de o invasor simplesmente encontrar um alvo vulnerável (em vez de ser direcionado especificamente por conta do setor ou de um destaque), esse tipo de ataque é uma circunstância previsível em praticamente todos os setores. Avaliar os riscos de cibersegurança, determinar o nível de risco aceitável e reduzir os riscos identificados para esse nível agora são as etapas “razoáveis” básicas para ajudar a proteger as pessoas contra mau uso previsível e ações mal-intencionadas ou não autorizadas.

Assim como acontece com a segurança, ignorar a cibersegurança e os riscos associados é a crença equivocada de que “se eu não souber do risco, não posso ser responsabilizado”. Essa não é uma postura aceitável ou ética nem serve para fins de conformidade, especialmente quando vidas estão em risco.

Aborde os riscos juntos

Algumas pessoas usaram os riscos que as tecnologias conectadas podem apresentar como argumento contra a modernização. No entanto, é importante reconhecer que não fazer nada não é uma solução. Manter os sistemas em obsolescência por muito tempo priva você de informações valiosas e outros benefícios da Internet das coisas industrial, mas não apenas isso; esses sistemas também não contam com as medidas de segurança dos sistemas contemporâneos, o que os deixa mais vulneráveis.

A melhor abordagem é aproveitar ao máximo a transformação digital e também ajudar a garantir a segurança e a proteção como parte do processo. Ao fazer isso, lembre-se de alguns itens importantes.

Por exemplo, muitas práticas de segurança são usadas há muito tempo no mundo da TI, mas são novas para a TO. Além disso, embora muitas das etapas de redução sejam semelhantes quando as comparamos, elas são aplicadas de maneira muito diferente no escritório e no chão da fábrica.

Em um ambiente de manufatura, os riscos de cibersegurança e segurança devem fazer parte do processo de gestão de mudanças (MOC) e de risco. E os profissionais de saúde, segurança e meio ambiente devem estar envolvidos na gestão de processos e no cumprimento de normas e leis.

É uma nova era no setor. As vantagens da Indústria 4.0 certamente superam o aumento dos riscos. Compreendendo os riscos e reduzindo-os como parte de suas iniciativas digitais, você pode expandir o que é possível em suas operações e ajudar a proteger o que é mais importante para você.

Para mais informações sobre segurança industrial, clique aqui.

Steve Ludwig é gerente de programas comerciais de segurança da Rockwell Automation, a maior empresa do mundo dedicada à automação e informações industriais. A Rockwell Automation é membro fundador da ISA Global Cybersecurity Alliance e recebeu várias certificações ISA/IEC 62443.