Embora IAM, seguran\u00e7a de redes e endpoints, seguran\u00e7a de aplicativos e dados, seguran\u00e7a em nuvem e opera\u00e7\u00f5es de seguran\u00e7a sejam \u201cprioridade\u201d para a maioria das lideran\u00e7as de gerenciamento de seguran\u00e7a e risco (SRM), eles n\u00e3o suficientes. No momento em que os sistemas que interagem com o mundo f\u00edsico se conectam a ambientes cibern\u00e9ticos, Cyber-Physical Systems (CPS) s\u00e3o criados, e come\u00e7am a desafiar as abordagens tradicionais de seguran\u00e7a e risco.<\/p>\n\n\n\n
Cyber-Physical Systems (CPS) s\u00e3o integra\u00e7\u00f5es de computa\u00e7\u00e3o, rede e processos f\u00edsicos. Computadores e redes incorporados monitoram e controlam os processos f\u00edsicos, com ciclos de feedback onde os processos f\u00edsicos afetam os c\u00e1lculos e vice-versa. <\/p>\n\n\n\n
Na pr\u00e1tica, CPSs s\u00e3o grandes \u201cguarda-chuvas\u201d de outros conceitos como:<\/p>\n\n\n\n
Portanto, o potencial econ\u00f4mico e social dos CPSs \u00e9 muito maior do que o que foi percebido, e grandes investimentos est\u00e3o sendo feitos em todo o mundo para desenvolver a tecnologia.<\/p>\n\n\n\n
Por interm\u00e9dio desses sistemas, as empresas t\u00eam a oportunidade de representar a realidade do mundo f\u00edsico em ambientes digitais. E, assim, fazer simula\u00e7\u00f5es, testes, predi\u00e7\u00f5es de desgastes, entre muitas outras possibilidades que a tecnologia oferece. O que pode representar ganhos expressivos de competitividade para o neg\u00f3cio.<\/p>\n\n\n\n
Hoje, os setores que mais t\u00eam se beneficiado da cria\u00e7\u00e3o sistemas ciber f\u00edsicos s\u00e3o aqueles que envolvem grandes infraestruturas e opera\u00e7\u00f5es custosas, como a ind\u00fastria de \u00f3leo e g\u00e1s, gera\u00e7\u00e3o de energia el\u00e9trica (usinas, barragens, aerogeradores, solar, etc), distribui\u00e7\u00e3o (linhas de transmiss\u00e3o), avia\u00e7\u00e3o, metal mec\u00e2nica pesada, entre outras, mas tamb\u00e9m aqueles que produzem bens e servi\u00e7os cr\u00edticos, e que devem ser muito criteriosos na an\u00e1lise de seus riscos. As falhas, quando ocorrem nesses setores, implicam em preju\u00edzos significativos ou, at\u00e9 mesmo, em perdas de vidas.<\/p>\n\n\n\n
De uma perspectiva de seguran\u00e7a ou privacidade, um sistema ciberf\u00edsico (multiagente) \u00e9 uma rede de sensores, atuadores e n\u00f3s de computa\u00e7\u00e3o, ou seja, um sistema com m\u00faltiplas superf\u00edcies de ataque e exploits latentes que se originam por meio de ataques de software e ataques f\u00edsicos.<\/p>\n\n\n\n
Muitos sistemas ciberf\u00edsicos fazem parte da Internet das coisas, que apresenta um grande vetor de ataque. Os dispositivos IoT precisam implementar a seguran\u00e7a antes do projeto. O foco deve ser colocado no controle de acesso elementar, comunica\u00e7\u00e3o e autentica\u00e7\u00e3o adequadas e valida\u00e7\u00e3o da falta de vulnerabilidades conhecidas no dispositivo antes de ser vendido e usado. <\/p>\n\n\n\n
Portanto,deve-se ter cuidado para garantir a seguran\u00e7a das redes \u00e0s quais pertencem os Sistemas Ciber-F\u00edsicos. Isso incluiria auditorias de seguran\u00e7a, testes de penetra\u00e7\u00e3o, monitoramento constante do que est\u00e1 acontecendo com a rede e manuten\u00e7\u00e3o dos sistemas atualizados.<\/p>\n\n\n\n
Descobrir, monitorar, avaliar e priorizar riscos continuamente, de forma proativa e reativa, em todo o continuum ciberf\u00edsico, \u00e9 uma prioridade para os profissionais de gerenciamento de seguran\u00e7a e risco (SRM). Preocupa\u00e7\u00f5es com viola\u00e7\u00f5es de per\u00edmetro f\u00edsico, interfer\u00eancia, hacking, falsifica\u00e7\u00e3o, adultera\u00e7\u00e3o, intrus\u00e3o de comando, nega\u00e7\u00e3o de servi\u00e7o (DoS) ou malware implantado em ativos f\u00edsicos precisam ser levadas em considera\u00e7\u00e3o.<\/p>\n\n\n\n
Isso pressup\u00f5e instrumentar a infraestrutura CPS para visibilidade de risco total e abrangente de tantos sistemas quanto poss\u00edvel ao longo do continuum ciberf\u00edsico – rede, acesso, identidades, etc. – e monitorar solu\u00e7\u00f5es CPS, mesmo se a visibilidade for limitada a logs ou tr\u00e1fego de rede.<\/p>\n\n\n\n
Hoje, as modernas ferramentas de mapeamento de rede, por exemplo, j\u00e1 s\u00e3o comuns em todas as implanta\u00e7\u00f5es de rede profissional e ajudam os administradores de sistemas a controlar tudo o que \u00e9 importante para eles. Fornecem, por exemplo, informa\u00e7\u00f5es b\u00e1sicas sobre quais dispositivos est\u00e3o em uma determinada rede, quais s\u00e3o seus endere\u00e7os, com quais outros componentes eles se comunicam diretamente (e quando), quais m\u00e9todos de comunica\u00e7\u00e3o usam para fazer isso e muito mais. Uma visualiza\u00e7\u00e3o de rede atualizada – seja ela chamada de gr\u00e1fico de rede, mapa ou diagrama – \u00e9 indispens\u00e1vel para a seguran\u00e7a das solu\u00e7\u00f5es CPS.<\/p>\n\n\n\n
Alguns tipos de amea\u00e7as a sistemas ciberf\u00edsicos s\u00e3o muito antigos. Principalmente no caso das amea\u00e7as internas. Em 2000, por exemplo, um empreiteiro descontente manipulou o equipamento de esgoto controlado por r\u00e1dio SCADA para o Maroochy Shire Council em Queensland, Austr\u00e1lia, para despejar 800.000 litros de esgoto bruto em parques locais.<\/p>\n\n\n\n
Mais recentemente, ataques de ransomware derrubaram gasodutos , interromperam as opera\u00e7\u00f5es de log\u00edstica e at\u00e9 a produ\u00e7\u00e3o de a\u00e7o… Algu\u00e9m penetrou no sistema de controle de uma esta\u00e7\u00e3o de tratamento de \u00e1gua na Fl\u00f3rida, EUA, e tentou adicionar quantidades potencialmente perigosas de hidr\u00f3xido de s\u00f3dio ao abastecimento de \u00e1gua. Uma falsifica\u00e7\u00e3o de GPS afetou a navega\u00e7\u00e3o do navio e os hackers acessaram o banco de dados de jogadores de alto risco de um cassino por meio de um aqu\u00e1rio.<\/p>\n\n\n\n
Tamb\u00e9m existem amea\u00e7as emergentes a serem observadas. O 5G, por exemplo, tem muitos benef\u00edcios, como comunica\u00e7\u00f5es mais r\u00e1pidas, mas os padr\u00f5es de seguran\u00e7a s\u00e3o complexos e os ataques direcionados tendem a aumentar. Outros vetores de amea\u00e7as emergentes incluem os riscos exclusivos apresentados por drones, redes inteligentes e ve\u00edculos aut\u00f4nomos.<\/p>\n\n\n\n
O Gartner prev\u00ea que o impacto financeiro dos ataques CPS resultando em v\u00edtimas fatais chegar\u00e1 a mais de US $ 50 bilh\u00f5es at\u00e9 2023<\/a>. Mesmo sem levar em considera\u00e7\u00e3o o valor da vida humana, os custos para as organiza\u00e7\u00f5es em termos de compensa\u00e7\u00e3o, lit\u00edgio, seguro, multas regulat\u00f3rias e perda de reputa\u00e7\u00e3o ser\u00e1 significativo.<\/p>\n\n\n\n N\u00e3o por acaso, nas proje\u00e7\u00f5es da consultoria, em 2023, 75% das organiza\u00e7\u00f5es ir\u00e3o reestruturar a governan\u00e7a de risco e seguran\u00e7a para lidar com novos CPS e necessidades convergentes de TI, OT, Internet das Coisas (IoT) e seguran\u00e7a f\u00edsica.<\/p>\n\n\n\n