NDICE

1. 2. 2.1. 2.2. 2.3. 2.4. 2.4.1. 2.4.2. 2.4.2.1. 2.4.3. 2.4.4. 2.4.5. 3. 3.1. 3.2. 3.3. 3.3.1. 3.3.2. 3.3.3. 3.4. 4. 4.1. 4.2. INTRODUO.................................................................................................................................................................... 2 DEFININDO O CONTEXTO ............................................................................................................................................. 2 ENTENDENDO O PIMS ........................................................................................................................................... 2 PRINCIPAIS FABRICANTES DE PIMS ................................................................................................................ 4 ARQUITETURA BSICA DO SISTEMA PIMS .................................................................................................... 4 COMPONENTES DO SISTEMA ............................................................................................................................. 5 SERVIDOR PIMS ...................................................................................................................................................... 5 COLETOR PIMS ....................................................................................................................................................... 5 SERVIDOR OPC ........................................................................................................................................................ 6 BASE DE TEMPO DO PIMS .................................................................................................................................... 7 TOLERNCIA A FALHAS ...................................................................................................................................... 7 FERRAMENTAS ANALTICAS .............................................................................................................................. 8

DISCUSSO ........................................................................................................................................................................ 9 SEGURANA NOS SISTEMAS DE CONTROLE ................................................................................................. 9 RISCOS E AMEAAS ............................................................................................................................................... 9 REDE E SEUS COMPONENTES ........................................................................................................................... 10 REDES DE CONTROLE E REDE CORPORATIVA .......................................................................................... 10 FIREWALL ............................................................................................................................................................... 11 DMZ - ZONA DESMILITARIZADA ..................................................................................................................... 12 ANTIVRUS .............................................................................................................................................................. 13 CONCLUSES .................................................................................................................................................................. 14 POLTICAS DE SEGURANA PARA IMPLANTAO DO PIMS ................................................................. 15 LIBERAO DE ACESSO PARA OS USURIOS ............................................................................................. 15

4.3. MELHORES PRTICAS PARA HOMOLOGAO E LIBERAO DE ATUALIZAES DE ANTIVRUS ............................................................................................................................................................................... 15

WF_PF1008 Rev. 0

Pg. 1

1.

INTRODUO Os Sistemas de Controle e Superviso (SCADA) e Sistemas de Controle Industrial com suas tradicionais redes e hardware proprietrios, tm sido considerados imunes aos ciberataques que vem causando tantos estragos em sistemas de corporativos. Infelizmente, hoje essa realidade esta bastante mudada. A mudana para padres abertos, tais como Ethernet, TCP/IP e outras tecnologias da Web vem deixando hackers e criadores de vrus muito prximos da indstria e estes podem se aproveitar do relaxamento existente em funo desta "crena". Alm do risco dos atos de sabotagem de agentes internos e externos. Como resultado vemos um crescente nmero de eventos de segurana impactando na disponibilidade dos sistemas industriais, sendo inclusive discutido em um relatrio tcnico da ISA99 publicado em 2007. Um contexo de busca da produo com altos nveis de qualidade, com prazos curtos de produo e baixos custos nos processos internos, tem levado as empresas brasileiras a implantar sistemas fortemente integrados, com grande colaborao entre os diferentes usurios em diferentes nveis da corporao. Esta integrao permite avaliar os resultados em tempo real possibilitando a tomada de decises na cadeia produtiva das indstrias. Nesta "era da informao", o PIMS uma das ferramentas mais adequadas para esta integrao. Alm do PIMS, aplicaes como os gerenciadores de ativos, inventrios, otimizadores de processo e sistemas de execuo da manufatura (M.E.S) so integrados aos sistemas corporativos de controle da produo. Esta integrao acaba por interligar sistemas antes isolados em ilhas de processo rede corporativa das empresas. Assim, os sistemas de controle industrial precisam agora de uma ateno especial para o quesito segurana. Este artigo tem o objetivo de discutir os mecanismos de defesa disponveis e como a experincia da TI corporativa pode contribuir para aumento da segurana no ambiente da TA durante a implantao de um sistema PIMS. Na discusso procuramos identificar e reduzir as fragilidades de segurana de informao e vulnerabilidades das redes, definindo a estratgia mais adequada e uma arquitetura mnima para atendimento das necessidades de integrao nas plantas industriais.

2.

DEFININDO O CONTEXTO

2.1.

Entendendo o PIMS O PIMS tambm chamado de historiador de processo constitui-se num conjunto de mdulos de software responsveis pela coleta, armazenamento e exibio de dados de processo. A funo primordial do PIMS historiar dados por um longo perodo de tempo e para isto dispe de algoritmos de compactao e compresso de dados que garantem alto desempenho no armazenamento e recuperao dos dados. Com os resultados de produo e de qualidade coletados diretamente dos equipamentos de automao, dispensando o preenchimento manual de planilhas, integrados aos sistemas corporativos e gerenciais, pode-se alcanar uma srie de benefcios no acompanhamento da produo e da qualidade dos produtos, transformando dados isolados em informaes preciosas que podero ser utilizadas na melhoria contnua da produo. Atravs das ferramentas analticas do PIMS podem-se visualizar os dados histricos ou em tempo-real, montar tabelas, grficos de tendncias, sinticos e relatrios dinmicos em Excel.

WF_PF1008 Rev. 0

Pg. 2

De acordo com a norma internacional ISA-95, que sugere um padro para integrao entre os sistemas de cho-de-fbrica e os sistemas corporativos, o PIMS est inserido na camada 2, conforme figura abaixo:

Figura 1- Pirmide Automao

O desenvolvimento de aplicativos no PIMS permite, alm do aprimoramento da qualidade, o acompanhamento dos indicadores (KPI) relacionados a custos, tempos de produo, meio ambiente, sade e segurana, ocupao e produtividade de equipamentos e pessoas. A implantao do PIMS com pouqussima customizao e curto prazo, traz alguns benefcios imediatos para os engenheiros e operadores de processo: Facilidade de anlise em tempo-real ou histrica das variveis de processo; Interface grfica similar fornecida pelos softwares do tipo SCADA, disponvel na rede de escritrio e no apenas nas salas de controle; Anlise de falhas e melhorias de processo em funo da comparao e correlao de variveis de processo;

Entretanto, aplicaes mais elaboradas podem efetivamente impactar na melhoria de qualidade e reduo de custos de produo. Importante reforar o carter democrtico do PIMS, que permite que os dados exibidos aos operadores dos equipamentos fiquem disponveis, em tempo-real, para todos os usurios do PIMS em qualquer unidade da empresa. Aplicativos desenvolvidos usando a plataforma PIMS, baseados em dados de processo coletados em tempo real, executam funes de verificao dos parmetros operacionais e indicam a ocorrncia ou no de desvios nas principais grandezas, como temperatura, presso, velocidade, corrente, vazo e outras. Em cada etapa de produo verificada a aderncia dos produtos s regras de qualidade, correlacionando as grandezas mencionadas acima, definidas nas normas e procedimentos da empresa. A partir da anlise online destes desvios, profissionais de processo, de qualidade e de operao, podem tomar decises quanto utilizao dos subprodutos nas etapas seguintes do processo produtivo, evitando re-trabalhos, desperdcios, etc. Esta forma de tratar a qualidade, com foco nas variveis de processo, reflete diretamente nos ndices de produo e qualidade dos produtos finais. Nas indstrias brasileiras de processos contnuos como: minerao, papel e celulose, cimento, praticamente todos os equipamentos do cho-de-fbrica j esto com alto nvel de automao implantado, mas ainda h dificuldade de integrao das informaes. bem verdade que h uma grande diversidade de ambientes formados por diferentes tecnologias, mas os coletores de dados do PIMS possuem interfaces genricas e especficas que garantem a leitura de dados das mais variadas fontes.
WF_PF1008 Rev. 0 Pg. 3

2.2.

Principais Fabricantes de PIMS

Empresa

Produto

Portal

Aspentech

Infoplus.21

www.aspentech.com

OSISoft

PI System

www.osisoft.com

ABB

Enterprise Historian Knowledge Manager

www2.abb.com

Honeywell

Uniformance Process History Database (PHD)

www.hispec.com

Yokogawa

Exaquantum

www.yokogawamarex

Tabela 1 - Fabricantes de PIMS

2.3.

Arquitetura bsica do sistema PIMS A figura abaixo mostra uma arquitetura padro para uma instalao de PIMS:

Figura 2 - Arquitetura padro do PIMS para cada unidade

WF_PF1008 Rev. 0

Pg. 4

2.4.

Componentes do Sistema

2.4.1.

Servidor PIMS

O Servidor PIMS, tambm chamado de Servidor Principal, o local onde todas as configuraes do sistema esto definidas, como segurana, backup, tags, particularidades de coletas e principalmente o banco de dados temporal. Este servidor possui caractersticas especficas de hardware e software que permitem um nvel aceitvel de desempenho do sistema, armazenamento dos dados e o acesso ao mesmo. As configuraes mnimas para este servidor so avaliadas em conjunto com os fornecedores do PIMS, baseadas nos levantamentos realizados durante o Assessment. O PIMS possui diversas aplicaes clientes que permitem uma maior integrao entre os dados. Estas aplicaes podem ser voltadas para processos em bateladas, clculos avanados, CEP, entre outros, que podem tambm ficar instaladas neste Servidor, no sendo esta a melhor prtica. A recomendao geral disponibilizar um segundo servidor, denominado Servidor de Aplicaes na figura acima, para hospedar estas aplicaes.

2.4.2.

Coletor PIMS

So os computadores responsveis pela aquisio de dados originadas das diversas fontes existentes no site, como: CLPs, SCADA, SDCDs. Os mdulos de softwares que fazem esta coleta so chamados de interfaces, sendo a interface OPC a mais usada atualmente. Entretanto os principais PIMS possuem interfaces, para quase todos os sistemas de importncia comercial. Os dados podem ser lidos ciclicamente pelo PIMS ou enviados por iniciativa do dispositivo de campo (unsolicited messages/advised). Uma vez aquisitados os dados do processo, a interface se encarrega de envi-los ao servidor local do banco de dados do PIMS para armazenamento e disponibilizao para os usurios atravs dos aplicativos desenvolvidos especificamente para cada unidade e das ferramentas analticas de cada fornecedor do PIMS. Os dados podem ser aquisitados do sistema de controle atravs da comunicao com o SDCD, ou CLP ou o supervisrio (SCADA). A opo de aquisio via SCADA deve ser utilizada somente quando NO existir opo de leitura direta do processo (SDCD ou CLP). As vantagens de se buscar os dados diretamente nos CLPs/SDCD so: Busca dos eventos com menor atraso temporal. Se o time stamp for aplicado pelo PIMS ele ser mais preciso que se buscado SCADA. Para redes homogneas de CLPs (PLCs de mesmo fabricante) podem-se coletar os dados em um ponto nico, se todas as redes de CLPs estiverem interligadas; CLPs so mais confiveis e apresentam menor sucetibilidade a falhas que os sistemas SCADA; CLPs so mais estveis que sistemas SCADA. normal se fazer o upgrade de sistemas SCADA a cada dois anos devido a novas verses do aplicativo e do sistema operacional. Os aplicativos de CLPs raramente sofrem atualizaes na rea de interface; Sistemas SCADA muitas vezes operam em "hot-standby" o que implica em se definir um mecanismo de redundncia tambm para a aquisio de dados do PIMS;

WF_PF1008 Rev. 0

Pg. 5

Estes servidores devero ser especificados conforme levantamento realizado nos complexos, levando em considerao as particularidades de cada ilha (volume de dados).

2.4.2.1.

Servidor OPC

OPC (OLE for Process Control) uma interface de programao padro, independente de fabricante, atravs do qual um aplicativo cliente de automao (SCADA, MES, ERP, planilha Excel) pode acessar os dados provenientes de dispositivos remotos, tais como PLCs, SDCD, SCADA, dispositivos de campo. O objetivo integrar diferentes aplicaes dentro da plataforma Windows. O OPC originrio do OLE (Object Linking and Embedding) e baseado na tecnologia COM/DCOM desenvolvidos pela Microsoft (1990). Normalmente, o fabricante do dispositivo de automao (Rockwell, Yokogawa, Siemens, Emerson, Invensys) desenvolve um servidor OPC que se comunica com seus dispositivos atravs de um protocolo proprietrio, mas apresenta uma interface cliente que esconde estas particularidades. Um servidor OPC pode gerenciar vrios dispositivos do mesmo tipo. Vrios servidores podem ser executados em paralelo e cada servidor pode ser acessado por vrios clientes.

Figura 3 - Arquitetura Clssica OPC

Atualmente os Servidores OPCs podem ser diferenciados conforme os tipos de dados solicitados pelas aplicaes clientes. So eles: OPC DA - Data Access - coleta de dados em tempo real; OPC HDA - Historical Data Access - coleta de dados histricos; OPC A&E - Alarmes e Eventos; OPC UA - Unified Architecture - inclui todos os tipos acima (DA, HDA, A&E).

Devido s caractersticas dos sistemas de controle de cada complexo, principalmente fornecedores, estes componentes sero especificados em cada tpico dedicado neste relatrio, ou seja, no temos um padro a ser seguido, apenas recomendamos a utilizao mnima de servidores OPC que atendam a especificao OPC DA.

WF_PF1008 Rev. 0

Pg. 6

2.4.3.

Base de Tempo do PIMS O horrio de coleta dos dados deve ter uma ateno especial para o PIMS, pois o mesmo o elo de relacionamento entre as variveis e os usurios. Dois pontos bsicos precisam ser observados neste processo, visando garantir a confiabilidade do sistema: 1 Definir a fonte dos horrios: Os coletores possuem as seguintes estratgias de hora: fornecida pelo coletor e fornecida pelo servidor OPC; 2 - Os coletores devem estar com a base de tempo sincronizada. Para os principais sistemas de mercado o banco de dados do PIMS dedicado e proprietrio, com caractersticas temporais, propiciando um maior desempenho na busca de dados. A preciso de tempo do PIMS bem maior que a sua capacidade de coleta dos dados, ou seja, possvel armazenar dados em intervalos bem menores do que as interfaces tm capacidade de leitura dos dados. Atravs de interfaces binrias, ou especiais, os dados com intervalos de at micro segundos so lidos de tabelas ou arquivos onde fornecido o momento exato do evento e ento inseridos na base de dados do PIMS.

2.4.4.

Tolerncia a Falhas

A confiabilidade dos dados e sua disponibilidade so fundamentais no sistema PIMS devido ao carter de deciso e grau de utilizao da informao em tempo real. Para garantir a disponibilidade do sistema devem-se garantir dois nveis de redundncia: No armazenamento dos dados no servidor:

O objetivo manter o acesso aos dados pelos usurios e garantir que os ltimos valores recebidos do processo estejam sempre disponveis. Esta redundncia garante ao usurio que em situaes de falha do servidor outro servidor com a mesma configurao e com a base de dados atualizada responda s requisies do usurio de forma transparente. Este nvel de disponibilidade em algumas plataformas PIMS pode ser alcanado atravs da instalao de um servidor em sistema de cluster de mquinas ou pela instalao de uma camada de software que garanta a atualizao dos dados em dois servidores ou mais. No caso de redundncia de servidores desejvel que o caminho fsico de rede seja diferente, garantindo a disponibilidade em caso de rompimento de fibra ou sinistro nas instalaes dos equipamentos de rede.

Na coleta dos dados do processo:

Garante que a coleta de dados do processo seja mantida mesmo em caso de falha de um coletor ou interface atravs dos mecanismos: o o Buferizao dos dados no coletor; Configurao de um servidor OPC secundrio para o caso de falha de comunicao com o servidor OPC primrio. Neste nvel de redundncia, a coleta de dados pode ser configurada para mudar de um servidor OPC primrio para outro servidor OPC quando ocorrer uma anormalidade na comunicao ativa. Os eventos de anormalidade podem ser falha de comunicao na rede com o servidor atual, ou quando um item lido pelo servidor OPC muda o seu estado de qualidade para ruim ("Bad Quality"). Esta soluo normalmente usada em sistemas que possuem redundncia de CPUs como nos SDCDs.

WF_PF1008 Rev. 0

Pg. 7

Configurao de uma mquina de coleta redundante e com caminho fsico de rede diferente da mquina principal. Neste nvel de redundncia, o mdulo de comunicao com o servidor do PIMS instalado em duas mquinas e a partir de um mecanismo de monitoramento uma das mquinas eleita a principal e em caso de falha neste monitoramento a outra mquina automaticamente assume o controle do envio dos dados. Monitoramento de indicadores de desempenho do sistema de coleta como: ocupao de CPU, taxa de envio e recebimento de dados, ping, ocupao de disco.

2.4.5.

Ferramentas Analticas

Normalmente os principais fornecedores de sistemas PIMS possuem duas importantes ferramentas para visualizao dos dados de processo: Visualizao grfica do processo: um aplicacativo que possibilita ao usurio construir e visualizar telas de processos, grficos e valores das variveis envolvidas, atravs de um pacote grfico fcil de utilizar, que permitem criar grficos dinmicos, grficos interativos mostrando dados em tempo real. Tambm permite que sejam criadas telas de processo para acompanhamento em tempo real. Suplemento do Excel: um "add-in" para Microsoft Excel que possibilita a visualizao de dados de processo de diversas formas, bem como copi-los para uma planilha para realizar anlises adicionais. As funes do suplemento so acessadas dentro do Microsoft Excel por um menu que aparece depois que o mesmo instalado. Atravs do suplemento o usurio pode trocar informao diretamente com o banco de dados. Essa ferramenta combinada com as funcionalidades da planilha eletrnica formam um recurso poderoso e fcil de usar por reunir, analisar e listar dados do PIMS.

Alm destas ferramentas os sistemas PIMS tambm disponibilizam aplicaes especficas para acompanhamento de processos em bateladas (Batch), controle estatstico de processo (C.E. P), clculos avanados, envio de notificaes de email, gesto de ativos e tratamento de alarmes. Normalmente, na primeira fase de implantao do PIMS, os usurios que mais geram valor com a ferramenta do PIMS so os engenheiros de processo. A partir de uma estao de trabalho eles podem acessar o PIMS para visualizao dos dados tanto em tempo real quanto histrico, montando grficos, tabelas e sinticos. Posteriormente, os gerentes, gestores e at operadores passam a interagir com o sistema e tambm colhem os seus benefcios.

WF_PF1008 Rev. 0

Pg. 8

3.

DISCUSSO

3.1.

Segurana nos sistemas de controle A utilizao de padres abertos, tais como Ethernet, TCP/IP e outras tecnologias da Web alteram o cenrio de vulnerabilidade dos sistemas industriais, deixando hackers e criadores de vrus muito prximos da indstria e estes podem se aproveitar do relaxamento existente em funo desta relativa imunidade. Como resultado, temos um crescente nmero de eventos de segurana impactando na disponibilidade dos sistemas industriais, sendo inclusive discutido em um relatrio tcnico da ISA99 publicado em 2007 com a definio clara de requerimentos e regras de utilizao. Com o objetivo de minimizar estas vulnerabilidades, as empresas tm focado esforos na segurana da informao definindo normas e procedimentos especficos visando preservar as informaes quanto : Integridade: garantindo que a informao seja mantida em seu estado original, protegida contra alteraes intencionais ou acidentais; Confidencialidade: garantindo o acesso informao somente por pessoas autorizadas; Disponibilidade: garantindo que os usurios autorizados tenham acesso informao sempre que necessrio.

Quando consideramos segurana digital nos sistemas industriais, importante destacar algumas diferenas em relao aos cenrios clssicos de escritrio gerenciados pelas equipes de TI. Enquanto em ambientes de escritrio os objetivos de segurana tipicamente dominantes so confidencialidade e autenticidade, nos sistemas industriais a disponibilidade e integridade vm em primeiro lugar. Alm disto, nos sistemas de controle industrial ataques podem retardar a resposta dos computadores de operao das plantas e interferir na velocidade das redes ou at mesmo provocar uma parada completa dos servios de operao e monitoramento das plantas. Neste tpico do relatrio pretendemos discutir os mecanismos de defesa disponveis e como a aplicao das normas e padres da TI corporativa podem contribuir para aumento da segurana neste ambiente industrial, que a fonte de dados para o sistema PIMS.

3.2.

Riscos e Ameaas Para entender o contexto de riscos e ameaas vale discutir alguns equvocos associados segurana em um sistema de controle industrial: Os sistemas de controle industrial esto em rede fsica separada e independente; Muitos sistemas de controle, baseados em softwares do tipo SCADA, foram construdos originalmente em redes isoladas, levando os gestores de TI a considerar que estes sistemas no poderiam ser acessados atravs da rede corporativa ou de pontos de acesso externos. Infelizmente, esta apenas uma crena! Na realidade, redes corporativas e sistemas de TI corporativos esto interligados como resultado de duas mudanas nas prticas de gerenciamento da informao. Primeiro, a demanda para acesso remoto tem encorajado muitos utilitrios a estabelecer conexes aos sistemas SCADA permitindo aos engenheiros monitorar e controlar os sistemas de controle de qualquer ponto da rede corporativa.

WF_PF1008 Rev. 0

Pg. 9

Segundo, muitos utilitrios tm adicionado conexes entre a rede corporativa e a rede SCADA a fim de agilizar a tomada de decises atravs de acesso a dados crticos dos processos. Normalmente estas conexes, realizadas muitas vezes via tecnologia OPC, so implantadas sem um total entendimento dos riscos de segurana associados. De fato, a estratgia de segurana destes aplicativos corporativos raramente considera o fato de que acesso a estes sistemas por usurios no-autorizados podem permitir aes indevidas nos sistemas de superviso e controle. Devido natureza intrnseca das ligaes entre o sistema operacional Windows e a implementao DCOM usada pelos servidores OPC, que muitas vezes pode at bloquear a comunicao, muitas aplicaes, incluindo supervisrios e outros softwares industriais, so imediatamente afetados. Conexes entre os sistemas de controle industrial e a rede corporativa so protegidos por fortes controles de acesso; Muitas destas conexes entre as redes requerem uma integrao entre diferentes padres de comunicao. O resultado sempre uma infra-estrutura que construda para copiar dados entre os dois sistemas. Focando a complexidade desta integrao, os engenheiros, s vezes, falham em considerar os riscos de segurana. Como resultado, os controles desenhados para proteger os sistemas industriais de acesso no-autorizado so usualmente mnimos, uma vez que os engenheiros sempre usaram pontos de acesso conectados a esta rede, teoricamente j protegidos! Entretanto muitas vezes a segurana comprometida por um funcionrio de dentro da empresa, conectado rede e que atravs de um notebook ou at mesmo sua mquina de trabalho, introduz, involuntariamente, o aplicativo malicioso na rede. Outro grande complicador que, considerando a necessidade de atendimento rpido nas redes industriais, os nomes dos principais equipamentos e sistemas facilitam aos invasores a identificao da localizao das informaes crticas como firewall1, historiador1, dns-primario. Atravs da estratgia de uso de firewalls internos e sistemas de deteco de intrusos, junto s polticas fortes de definio de senhas, altamente recomendadas, alguns poucos fornecedores de sistemas de controle industrial conseguem proteger seus dados.

3.3.

Rede e seus Componentes

3.3.1.

Redes de Controle e Rede Corporativa

A rede de controle industrial responsvel pela comunicao entre as consoles de operao e os dispositivos de controle. Tambm alguns componentes de nvel 3, como sistemas PIMS e MES, podem estar ligados a este barramento. No caso do PIMS, todo o processo de aquisio e coleta dos dados realizado nesta rede devido sua alta disponibilidade e proximidade dos equipamentos de campo. O padro de meio-fsico mais utilizado neste tipo de rede o Ethernet. Praticamente todos os grandes fabricantes de equipamentos de automao j possuem este padro implementado. Normalmente fazem parte desta rede os seguintes equipamentos ou sistemas: DCS (Distributed Control Systems), PLC (Programmable Logic Controllers) e SCADA (Supervisory Control and Data Acquisition System). Podemos dividir os equipamentos em duas redes: rede de informao e rede de controle. A rede de informaes formada pelos computadores do SCADA (servidor e/ou clientes), os coletores do PIMS e outros sistemas como MES. J a rede de controle restringe-se ao SCADA e CLPs ou SDCDs.

WF_PF1008 Rev. 0 10

Pg.

A rede corporativa ou rede de escritrio abriga os servios de uso geral dos funcionrios da corporao acessados normalmente via intranet. Os principais servios so o correio eletrnico e os pacotes de gesto de negcios. A rede de escritrio est normalmente conectada internet e os seus procedimentos de transferncia de dados consomem largura de banda significativa, causando um efeito negativo sobre o tempo de resposta da rede. O comportamento de uso da banda bastante variado e sofre constantes alteraes em funo de quais atividades ou operaes esto sendo realizadas pelos usurios. Devido sua visibilidade e acessibilidade, a rede corporativa mais vulnervel a invases por meio do uso de ferramentas de uso pblico. A arquitetura mais adequada para a implantao do PIMS, onde os dois ambientes so interligados, visa isolar o sistema de controle da rede corporativa atravs de combinaes apropriadas de firewalls e DMZ (rede de permetro). importante configurar os firewalls para bloquear as conexes de entrada e limitar as conexes de sada permitindo somente os acessos necessrios para as operaes, aumentando a dificuldade para um invasor externo explorar outras vulnerabilidades. Sem a proteo de uma DMZ e firewalls cuidadosamente configurados, a invaso possvel at mesmo por atacantes pouco qualificados. As redes de controle e corporativa devem estar preferencialmente separadas fisicamente, entretanto em muitos casos podem estar fundidas em uma rede nica. Apesar de comum, esta topologia apresenta alguns inconvenientes: O trfego na rede de controle de natureza diversa do trfego na rede corporativa, caracterizandose por mensagens curtas e muito freqentes. O trfego da rede corporativa em geral representado por arquivos maiores transmitidos com baixa freqncia.

Os requisitos de desempenho e segurana das duas redes tambm so diferentes. Embora este tipo de topologia seja muito utilizado, quando no existir a separao fsica obrigatrio a separao lgica em VLANs para segmentar cada tipo de trfego.

3.3.2.

Firewall

O Firewall um recurso utilizado para controlar o trfego de dados entre um computador e Internet/rede, e vice-versa. Eles podem tanto filtrar os pacotes baseados em regras, como tambm atuar no controle de aplicaes (Proxy). O objetivo permitir a transmisso e a recepo SOMENTE de dados autorizados. O Firewall garante que somente computadores conhecidos troquem determinadas informaes entre si e tenham acesso a determinados recursos. Alguns sistemas ou servios podem ser liberados completamente (por exemplo, o servio de e-mail da rede), enquanto outros so bloqueados por padro, por terem riscos elevados. Existem firewalls baseados na combinao de hardware e software e baseados somente em software.

WF_PF1008 Rev. 0 11

Pg.

Estes equipamentos esto cada vez mais sendo utilizados devido ao aumento na sofisticao dos ataques, principalmente se consideramos os ataques s empresas, conforme pode ser observado no grfico abaixo.

Figura 4 - Ameaas Sofisticadas x Proliferao de Ataques

Neste cenrio, para integrao entre as redes industrial e corporativa, a segurana ciberntica deve ser uma prioridade, portanto, tornando imperativo o uso dos firewalls. A implantao de firewalls impe muitos desafios para a comunicao baseada em OPC e, consequentemente em DCOM, pois a tecnologia requer uma quantidade de portas de comunicao para operar. As redes industriais e corporativas quando tm a tecnologia adequada e so configuradas e mantidas corretamente, podem coexistir muito bem. Recomendamos fortemente consultar o fornecedor ou integrador local dos sistemas de controle para identificar todo o trfego entre o sistema de controle ou superviso e a DMZ, alm da equipe corporativa de TI, cuja especializao pode facilitar o uso e configurao destes recursos de rede.

3.3.3.

DMZ - Zona Desmilitarizada

A DMZ ("Demilitarized Zone") ou Rede de Permetro um conceito usado para implementar um segmento de rede isolado e protegido. De uma maneira bem geral, a DMZ uma rede entre 2 redes protegida por firewall, cuja funo garantir maior segurana de uma rede contra a invaso externa. Pode ser entendida como uma "camada" a mais de firewall. Caso algum invasor consiga explorar uma vulnerabilidade a sua ao ficar bastante restrita. Como a rede de permetro protege a rede interna recomendada a instalao do servidor ou servidores (aplicaes, web, antivrus) do PIMS nesta rede. A poltica de segurana aplicada em uma DMZ geralmente a seguinte Trfego da rede externa (intranet) para o DMZ autorizado; Neste caso os clientes da rede corporativa, via intranet, podem ter acesso ao servidor do PIMS e consequentemente a seus dados. Tambm o servidor do PIMS centralizado poder acessar dados do servidor local do PIMS.

WF_PF1008 Rev. 0 12

Pg.

Trfego da rede externa (intranet) para a rede interna (processo) proibido; Neste caso os clientes da rede corporativa, via intranet, no tm acesso aos dados diretamente das ilhas de informao, ou seja, os sistemas SCADA e SDCDs ficam protegidos do acesso externo.

Trfego da rede interna (processo) para o DMZ autorizado; Neste caso, unicamente os coletores de dados tm autorizao para enviar os dados coletados ao servidor do PIMS, ficando as demais mquinas impedidas do acesso.

Trfego da rede interna (processo) para a rede externa (intranet) autorizado; Neste caso, as mquinas da rede corporativa que forem instaladas em pontos da rede interna podero ter acesso intranet.

Trfego do DMZ para a rede interna (processo) proibido; Neste caso, vrus e outros softwares "mal intencionados" que forem instalados no tm acesso rede interna, exceto aqueles especificamente relacionados como a atualizao de assinatura dos antivrus.

Trfego do DMZ para a rede externa (intranet) recusado. Neste caso, vrus e outros softwares "mal intencionados" que forem instalados no tm acesso para envio de dados ou at mesmo infeco ou auto-instalao atravs da rede corporativa.

3.4.

Antivrus Os vrus so programas capazes de se inserir em outros arquivos ou programas e us-los para reproduzirse, executar alguma tarefa e tambm transmitir informaes. Estes programas assumiram vrias formas e so encontrados nas seguintes formas: vrus, worms e cavalos de tria (trojans). Para proteger o ambiente computacional destas ameaas necessrio a instalao de um antivrus. Um bom antivrus deve: identificar e eliminar a maior quantidade possvel de vrus e outros tipos de malware; analisar os arquivos que esto sendo obtidos pela Internet; verificar continuamente os discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs e "pen drives", de forma transparente ao usurio; procurar vrus, cavalos de tria e outros tipos de malware em arquivos anexados aos e-mails; criar, sempre que possvel, uma mdia de verificao (disquete ou CD de boot) que possa ser utilizado caso um vrus desative o antivrus que est instalado no computador; atualizar as assinaturas de vrus e

WF_PF1008 Rev. 0 13

Pg.

malwares conhecidos, pela rede. A maioria dos antivrus tem oferecido proteo com muita eficincia, mas todos eles exigem atualizaes frequentes para lidarem com novos softwares mal-intencionados. Toda soluo antivrus profissional fornece um mecanismo rpido e descomplicado para garantir que as atualizaes para os arquivos de assinatura requeridos arquivos que contm informaes usadas por programas antivrus para detectar e lidar com software mal-intencionado durante uma verificao e que so regularmente atualizados por fornecedores de aplicativos antivrus sejam fornecidas ao computador cliente o mais rpido possvel. No ambiente corporativo, normalmente, h uma prtica de atualizao diria, que em alguns casos no se aplica ao ambiente de controle de processo, sendo indicada a instalao de uma mquina dedicada para teste e homologao das vacinas na rede de automao. A partir desta mquina, somente aps o teste que se deve proceder atualizao das demais mquinas da rede de controle de processo. Recomendamos configurar a ferramenta de automatizao, deste processo de atualizao, fornecida pelos fornecedores de antivrus do mercado. muito importante manter o antivrus e suas assinaturas sempre atualizados! Porm, tais atualizaes tm seus prprios riscos de segurana, pois os arquivos de assinatura so enviados do site de suporte do antivrus para o aplicativo host (normalmente pela Internet). Por exemplo, se o mecanismo de transferncia usado para obter o arquivo for o FTP, os firewalls de permetro da organizao devem permitir esse tipo de acesso ao servidor FTP na Internet. Verifique se o seu processo de atualizao seguro o suficiente para atender aos requisitos de segurana do ambiente da rede de automao. Mesmo executando todos os procedimentos de proteo do ambiente muito importante definir uma estratgia de "backup" dos dados do servidor PIMS bem como uma rotina de verificao do contedo salvo.

4.

CONCLUSES Embora nenhum dos cuidados aqui discutidos sejam particularmente revolucionrios, o objetivo das prticas garantir o acolhimento das necessidades mnimas de segurana, de tal maneira que o ambiente seja menos suscetvel a ataques comuns do Windows, mas que ainda permita que todas as aplicaes OPC e seus clientes possam funcionar normalmente. Isso muitas vezes mais difcil do que deveria ser por dois motivos. Em primeiro lugar, alguns requisitos para a operao OPC esto em desacordo com boas prticas de segurana do Windows. Em segundo lugar, um nmero de fornecedores de OPC, no todos, parece ignorar uma srie de especificaes do Windows DCOM e suas exigncias. A segurana da maioria dos produtos de software tem melhorado significativamente nos ltimos anos. Isto especialmente verdadeiro para Microsoft Windows e vrios produtos OPC. A utilizao do padro OPCUA tambm vem ajudar significativamente a reduzir os esforos de segurana e reduzir os riscos atualmente enfrentados pela indstria. Alm da preveno muito importante possuir um plano de contingncia para o caso de algo dar errado e a rede de automao ser infectada. essencial ter ferramentas de backup automatizado instaladas alm de redundncia nos servidores crticos da rede de automao. A experincia mostra que o processo de desinfeco de uma rede de automao contaminada bastante oneroso, complexo e quase sempre depende da colaborao dos fabricantes para o sucesso, o que torna o processo lento e muito caro. Abaixo apresentamos algumas prticas que podem ajudar a garantir um ambiente mais robusto e menos vulnervel para integrao de sistemas da TA e TI.

WF_PF1008 Rev. 0 14

Pg.

4.1.

Polticas de Segurana para implantao do PIMS Algumas consideraes importantes para o gerenciamento de contas no PIMS:

Adote polticas de gerenciamento de conta refletindo as melhores prticas convencionais de TI.

Substitua nomes padres sempre que possvel, pois estes geralmente so definidos nas documentaes do sistema e podem ser extrados dos cdigos binrios dos executveis. Estabelea polticas de senhas garantindo a complexidade de senha apropriada e proba senhas curtas ou fceis de adivinhar.

4.2.

Liberao de Acesso para os usurios A liberao de acesso aos dados do PIMS pode ser feita atravs de 03 (trs) mecanismos: Conexo confivel ou "Trust"

Permite o acesso aos dados do PIMS sem a necessidade de uma interface para validao de usurio e senha. A configurao do "Trust" define qual mquina ou grupo de mquinas e usurios tero acesso aos dados do PIMS automaticamente aps serem ligadas. Podem ser configurados trusts para uma mquina especfica (coletor de dados) ou para todas as mquinas definidas dentro de um "range" de endereos IPs, por exemplo, todas as mquinas de uma subrede local.

Usurio interno do PIMS

Permite o acesso aos dados do PIMS atravs de usurios locais, reconhecidos apenas pelas ferramentas nativas do PIMS. Pode ser definido um usurio padro com acesso somente de leitura aos dados do PIMS para conexo padro de todos os clientes, e quando necessrio trocar o usurio para outro com maiores nveis de permisso;

Integrao como Microsoft Active Directory (AD)

Permite o acesso aos dados do PIMS atravs do logon do Windows, ou seja, os usurios da rede corporativa so mapeados para o sistema PIMS e configurados em grupos de acesso que definem as suas permisses e restries aos dados.

4.3.

Melhores prticas para homologao e liberao de atualizaes de Antivrus Abaixo listamos alguns cuidados importantes no processo de atualizao de antivrus na rede de processo:

WF_PF1008 Rev. 0 15

Pg.

Mantenha as mquinas de automao sem acesso internet definindo um servidor de antivrus localizado em um ambiente protegido e atravs do qual se faz a busca na internet das atualizaes; Se existirem servidores web na automao, por exigncia da arquitetura dos sistemas de superviso e controle implantados, faa um endurecimento nas regras de segurana para estabelecer um nvel mnimo de permisses de acesso. No permitir acesso a email nas mquinas de processo; Na medida do possvel, manter a atualizao dos "patches" e atualizaes dos sistemas operacionais e ferramentas do ambiente (SCADA e outros aplicativos), reduzindo a exposio a ataques associados s vulnerabilidades conhecidas. Patches so freqentemente liberados em resposta a estas vulnerabilidades publicamente identificadas. Remova ou desative os servios desnecessrios nos servidores do sistema de controle e nas estaes de operao. Evite o compartilhamento de arquivos entre as mquinas de processo e os servidores do PIMS; Mantenha um backup atualizado (automatizado) com cpias regulares; Mantenha sempre que possvel uma imagem ("ghost") da mquina com a ltima configurao vlida; Monitore o espao em disco e sempre mantenha espao disponvel para as atualizaes; Instale as atualizaes primeiramente em uma mquina com o ambiente similar ao do processo para testes e validao das atualizaes. Somente aps uma etapa de monitoramento e validao faa a atualizao para as demais mquinas da rede de processo. Em caso de utilizao de vrias tecnologias de controle (SCADA, SDCDs, CLPs) interessante testar em cada ambiente!

5.

BIBLIOGRAFIA

WF_PF1008 Rev. 0 16

Pg.