Segurança cibernética para IoT Industrial ainda preocupa

A automação, a conectividade aprimorada e a Internet das Coisas (IoT) na indústria estão melhorando a relação custo-benefício, a eficiência e a produtividade. Mas as tecnologias de ponta também estão tornando o setor vulnerável a ataques cibernéticos. 

Os ataques de IoT industrial são uma das maiores ameaças que a indústria de manufatura enfrenta. Pelo segundo ano consecutivo, a manufatura liderou a lista de setores que os cibercriminosos provavelmente visavam, de acordo com relatório da IBM. Em 2022, os backdoors foram implementados em 28% os incidentes, superando o ransomware, que apareceu em 23% dos incidentes remediados pelo IBM Security X-Force.

Para melhorar os requisitos de segurança de IoT para padrões e desenvolvimento de comunicação industrial, processos devem ser cuidadosamente considerados, desde já. O problema é que a segurança cibernética da IIoT está competindo com todas as outras prioridades da empresa em termos de financiamento e suporte, e muitas vezes as equipes de liderança carecem de profundo conhecimento técnico. Portanto, um desafio inicial significativo é eliminar os detalhes técnicos para determinar a criticidade ou a importância dos investimentos.

É importante que as empresas entendam rapidamente que a segurança cibernética de IIoT não é simplesmente um novo problema para a equipe de TI ou o pessoal de OT gerenciar, mas uma questão de negócios abrangente que merece toda a atenção dos líderes seniores.

Pensando em ajudar, em 2018 o Fórum Econômico Mundial chegou até a desenvolver o IIoT Safety and Security Protocol que, corretamente, parte da premissa que a IIoT apresenta diversas nuances que a diferenciam da IoT tradicional.

Enquanto a IoT opera em ambientes domésticos, a IIot opera em ambientes industriais. Dessa forma, envolve a otimização de cadeias de suprimentos, por exemplo. A IIoT é igual à Indústria 4.0. Apresenta uma estrutura modular, através da qual computadores monitoram e gerenciam fábricas inteligentes e os processos físicos subsequentes, criando uma cópia digital dos processos físicos enquanto tomam decisões descentralizadas. Ao longo do caminho, os sistemas de computador interagem entre si e com as pessoas.

Além disso, serviços organizacionais e interorganizacionais podem ser fornecidos aos atores da cadeia de suprimentos. Objetos interconectados, gerenciados e acessados por meio de processos de mineração de dados, como Blockchain, podem ser parcialmente acessados e funcionam como sensores habilitados para interagir com outros dispositivos. Tais sistemas, constituídos por artefatos inteligentes no sistema IoT, demandam mínima ou nenhuma ação humana para troca e produção de dados, muitas vezes auxiliados por mecanismos de Inteligência Artificial.

Em resumo, as principais preocupações da IIoT incluem a redução do consumo de material e energia, melhor gerenciamento das dimensões temporais de segurança em termos de “detecção de intrusão”, computação em nuvem e a interface entre gerenciamento da cadeia de suprimentos e processos de marketing, além de melhor gerenciamento da complexidade das infraestruturas em termos do número de pontos de entrada.

Em resumo, a IIoT compreende preocupações de segurança cibernética e IoT em geral. Centra-se na integridade, em que os dados são protegidos de modificação por partes não autorizadas; autenticação, na qual a fonte de dados é verificada como a identidade pretendida; privacidade, em que as identidades dos usuários não são rastreáveis a partir de seus comportamentos; confidencialidade, em que a informação é tornada ininteligível para entidades não autorizadas; e disponibilidade, em que os serviços do sistema estão disponíveis apenas para usuários legítimos.

Enfrenta, assim, importantes desafios, nomeadamente no que diz respeito às operações em ambientes descentralizados e a natureza variável dos artefactos inteligentes. O que exige melhorias substanciais em termos de autenticação de sistemas remotos, criptografia de novos sensores e interface web e software de computador para intrusão detecção.

Portanto, à medida que o ambiente IIoT explode para criar a Indústria 4.0 e todos os seus benefícios e vantagens, as organizações precisarão adotar abordagens estratégicas e arquiteturas inovadoras que promovam ambientes de trabalho confiáveis e seguros. Para esse fim, já deveriam estar abordando algumas questões importantes sobre a segurança
da IIoT, incluindo a definição de suas prioridades imediatas para os recursos da IIoT, o nível de automação necessário para a comunicação máquina a máquina e o programa e a arquitetura de segurança apropriados necessários para proteger a ambiente IIoT.

A consultoria KPMG propõe um abordagem contemplando:

1 – O desenvolvimento de um roteiro de segurança cibernética com foco nos negócios para capturar e apoiar sua visão estratégica;

2 – A realização de uma avaliação estratégica dos recursos de segurança atuais para criação de um perfil de risco personalizado;

3 – Determinação da propriedade e responsabilidade ao redor risco cibernético da IIoT.

Isso inclui a colaboração com as partes interessadas para a identificação de lacunas em seus ecossistemas que possam inibir seu programa de segurança.

Por onde começar?

À medida que sua organização enfrenta o desafio de implementar IIoT, a KPMG taambém recomenda começar explorando algumas questões-chave:

• Quais são as prioridades imediatas de sua organização para recursos de IIoT?

• Que nível de controle e automação sua tecnologia de comunicação M2M executará?

• Como os dados da IIoT serão coletados, armazenados e transmitidos e em que categoria de classificação os dados se enquadrarão?

• Existem tecnologias comprovadas para as aplicações em consideração?

• Como a tecnologia de comunicações M2M abordará desafios como criptografia de dados, controle de acesso à rede e interferência de sinal?

• Quais mecanismos de segurança, se houver, estão sendo fornecidos com dispositivos habilitados para IIoT e você está recebendo ameaças atuais e informações de vulnerabilidade para cada um?

• Quais fatores externos (ambientais, regulatórios, etc.) podem afetar a transmissão confiável de dados de um ponto final para outro?

• Você considerou a segurança cibernética e a segurança física para esta implantação?

• Quais melhorias, atualizações e manutenções contínuas você realizará ou receberá dos fornecedores?