[class 2014] palestra técnica - marcelo branquinho
DESCRIPTION
Título da Palestra: Panorama atual da segurança das redes industriais BrasileirasTRANSCRIPT
![Page 1: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/1.jpg)
O Estado da Segurança Cibernética da
Infraestrutura Crítica Brasileira
Rio de Janeiro, Novembro de 2014
Marcelo Branquinho
![Page 2: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/2.jpg)
• O Estado atual da segurança cibernética da
infraestrutura crítica Brasileira
• Estatística de incidentes de segurança em
infraestruturas críticas Brasileiras
• Treinamento e Conscientização em segurança
cibernética industrial no Brasil
#class2014
Agenda
![Page 3: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/3.jpg)
• Cada vez mais sofisticados, os ataques cibernéticos são
hoje capazes de paralisar setores inteiros da
infraestrutura critica de um país.
• Os eventos internacionais de grande porte atraem a
atenção do mundo e trazem riscos de invasões virtuais
em infraestruturas críticas brasileiras.
• E o Brasil, estaria blindado contra ataques virtuais como
estes? Já houve incidentes de segurança cibernética no
Brasil? Qual o estado atual da segurança de nossa
infraestrutura crítica?
Introdução
![Page 4: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/4.jpg)
O Estado atual da seguranO Estado atual da segurançça a
ciberncibernéética da infraestrutura tica da infraestrutura
crcríítica Brasileiratica Brasileira
![Page 5: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/5.jpg)
• Pesquisa conduzida pela TI Safe e o CCI (Centro de Ciberseguridad Industrial) de
forma online através de e-mail enviado com um formulário em anexo a gestores de
empresas brasileiras.
• Durante o tempo que o formulário esteve disponível para o preenchimento, de
23/6/14 a 13/7/14, 51 organizações industriais o responderam plenamente.
• Este documento apresenta os resultados da pesquisa e proporciona interpretações
baseadas no conhecimento e experiência de seus redatores e participantes do
processo de revisão.
• Os dados fornecidos nos formulários da pesquisa possuem caráter extremamente
sigiloso e estão protegidos por acordos de confidencialidade que a TI Safe mantém
com seus clientes.
• Nenhum nome de cliente, projeto, informação técnica ou financeira será revelado
nesta pesquisa, que contém apenas dados quantitativos consolidados e não
representa de nenhuma forma uma ameaça à confidencialidade dos dados de nossos
clientes.
Metodologia da Pesquisa
![Page 6: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/6.jpg)
• As organizações industriais pesquisadas englobam os principais setores da
indústria brasileira, com uma maior presença das empresas do setor
elétrico e petróleo e gás, mas incluindo também os setores de alimentos e
bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear,
mineradoras e indústrias químicas.
Organizações industriais
pesquisadas
![Page 7: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/7.jpg)
Resultados da PesquisaResultados da Pesquisa
GovernanGovernanççaa IndustrialIndustrial
![Page 8: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/8.jpg)
• A responsabilidade de proteger os sistemas de controle de processos industriais é
compartilhada entre vários departamentos.
• 65% das organizações têm atribuído essa responsabilidade para um único
departamento, enquanto que 35% das organizações não têm responsabilidade definida
para segurança cibernética industrial.
Responsabilidade de proteger
as redes industriais
![Page 9: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/9.jpg)
• Pouco mais da metade dos gestores das empresas pesquisadas (53%) se encontram
muito pouco sensibilizados quanto às normas e riscos em redes industriais.
• Apenas 6% dos gestores atestaram estar muito sensibilizados para os riscos
cibernéticos em redes industriais.
Nível de sensibilização dos
responsáveis pelo negócio
![Page 10: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/10.jpg)
• Quanto ao planejamento das ações de segurança cibernética, 36% das organizações
industriais pesquisadas afirmaram somente executá-las de forma reativa em caso de
incidente, enquanto 27% das empresas planejam as ações ao longo do tempo.
• Estas ações, na maior parte das ocasiões estão motivadas por recomendações internas (15%)
e na menor parte por recomendações operacionais externas (8%).
Planejamento de ações de
segurança industrial
![Page 11: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/11.jpg)
• Chama a atenção o fato de existirem indústrias que não utilizam nenhuma norma para
implementar a segurança industrial, e ainda, que existem indústrias que usam apenas a
família ISO27000 para implementar segurança em redes de automação, o que pode levar a
graves erros de implementação devido às particularidades operacionais das redes em tempo
real em comparação com as redes de tecnologia da informação.
• A maior parte das organizações
utiliza normas para balizar o
estabelecimento da segurança
cibernética industrial na
empresa. As famílias ANSI/ISA-99
e ISO27000 lideram a preferência
dos entrevistados.
Normas usadas para
segurança industrial
![Page 12: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/12.jpg)
• A maioria das organizações industriais pesquisadas contempla requisitos básicos de
segurança cibernética industrial em todos os aspectos de seus novos projetos.
• No entanto ainda é preocupante que 20% das organizações não os considerem.
Acreditamos que este cenário venha a mudar conforme seja ampliada a consciência
das equipes de tecnologia da automação em segurança cibernética industrial.
Requisitos de normas em
novos projetos
![Page 13: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/13.jpg)
• A pesquisa mostra que ainda não existe um perfil definido, mas que a tendência é que
fabricantes juntamente com empresas especializadas em segurança cibernética industrial
venham a ser os maiores provedores no futuro próximo.
• Por enquanto a maioria das empresas pesquisadas ainda utiliza recursos internos para esta
complicada tarefa.
Quem são os provedores de
segurança cibernética industrial?
![Page 14: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/14.jpg)
• No que diz respeito à realização de avaliações de riscos em redes industriais, 29% das
organizações revelaram não ter feito nenhum tipo de avaliação de riscos, enquanto que 31%
admitiram fazer periodicamente avaliações técnicas como análises de vulnerabilidades e
testes de invasão.
• O restante das empresas apresenta percentuais menores e semelhantes de realização de
avaliações organizacionais (políticas, procedimentos) ou normativas (ANSI/ISA-99 e outras).
Análise de riscos em sistemas
de controle industriais
![Page 15: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/15.jpg)
Resultados da PesquisaResultados da Pesquisa
Tecnologias AplicadasTecnologias Aplicadas
![Page 16: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/16.jpg)
• 27% das organizações industriais pesquisadas afirmou que existe separação total entre suas
redes corporativas e industriais.
• A maioria (63%) das organizações que reconhecem existir conexão entre as redes
corporativa e de automação dispõem de firewall entre estas redes.
• Existem preocupantes 6% de empresas que mantêm suas redes de TI e TA conectadas
diretamente, o que representa um enorme risco de incidentes.
Segmentação e proteção de
redes de automação
![Page 17: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/17.jpg)
• A existência de conexões à internet a partir das redes industriais, especialmente
quando estas são permanentes, gera um dos principais riscos às organizações
industriais.
• A maioria das organizações pesquisadas (74%) afirma que suas redes industriais
não possuem dispositivos conectados à internet, enquanto 22% afirmam terem
dispositivos que estão conectados à internet de forma permanente ou temporária.
Dispositivos de redes de
automação conectados à Internet
![Page 18: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/18.jpg)
• Hackers estão usando o site de busca Shodan para encontrar computadores
de sistemas SCADA que utilizam mecanismos potencialmente inseguros para
autenticação e autorização.
http://www.shodanhq.com
Shodan
![Page 19: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/19.jpg)
• A grande maioria das organizações industriais pesquisadas afirma fazer uso de
acessos remotos, sendo que em 27% delas o acesso remoto está
permanentemente disponível para conexões, enquanto em 42% das empresas os
dispositivos de comunicação são ligados sob demanda.
Acessos Remotos
![Page 20: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/20.jpg)
• Os motivos para o estabelecimento de acessos remotos aos sistemas de controle
industriais das empresas pesquisadas são principalmente o suporte e manutenção
remota dos equipamentos das redes de controle.
• Normalmente este acesso é feito em uma conexão para a rede de TI e a partir da
rede de TI é feita uma conexão remota com a rede de TA.
Motivos para uso de acesso
remoto
![Page 21: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/21.jpg)
• As medidas de segurança
cibernética corporativa são as mais
utilizadas em ambientes industriais
(firewalls convencionais, antivírus,
backups).
• As medidas específicas de
segurança cibernética Industriais
(firewalls industriais, gateways
unidirecionais, whitelisting) ainda
tem uso bastante limitado.
Medidas de segurança
industrial utilizadas
![Page 22: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/22.jpg)
Resultados da PesquisaResultados da Pesquisa
MotivaMotivaçção e Tendênciasão e Tendências
![Page 23: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/23.jpg)
Motivação para projetos de
segurança cibernética industrial
![Page 24: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/24.jpg)
• Um total de 80% das empresas pesquisadas tem previsão de iniciar atividades de
segurança cibernética industrial, sendo que mais da metade delas (54%) o farão já
nos próximos 6 meses.
• Somente 20% das empresas pesquisadas ainda não contemplam as ações de
segurança cibernética industrial em seus orçamentos.
Previsão de novas atividades de
segurança
![Page 25: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/25.jpg)
• A maioria das organizações pesquisadas considera que o investimento em
segurança cibernética industrial se manterá no nível atual, enquanto 45%
acreditam que ele aumentará.
• Nenhuma das empresas pesquisadas aposta em uma diminuição do nível de
investimentos.
Tendência dos investimentos
em segurança cibernética
![Page 26: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/26.jpg)
EstatEstatíísticas de incidentes de sticas de incidentes de
seguransegurançça em infraestruturas a em infraestruturas
crcrííticas Brasileirasticas Brasileiras
![Page 27: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/27.jpg)
• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de
compartilhar publicamente os incidentes de segurança, 55% das empresas tratam
internamente os incidentes de segurança e apenas 12% das empresas declaram
seus incidentes sigilosamente aos fabricantes e consultorias especializadas de
segurança.
Declaração pública de
incidentes de segurança
![Page 28: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/28.jpg)
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes
#
Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - Não
identificados 9
Incidentes de segurança
cibernética industrial no Brasil
![Page 29: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/29.jpg)
Incidentes de segurança
cibernética industrial no Brasil
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
![Page 30: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/30.jpg)
• O DOWNAD, mais conhecido como
“Conficker”, dominou a contagem de
malware em plantas industriais no Brasil.
• Dos 27 casos documentados em nosso
estudo, 14 foram derivados de infecções
do Conficker.
• Isso acontece porque plantas de automação
não são atualizadas com os últimos patches,
deixando-as expostos a malwares como o
Conficker.
• Além disso, boa parte das plantas
industriais brasileiras não possui política de
segurança adequada, medidas para
controle de acesso à rede de automação e
proteção de portas USB.
Malware, o principal vilão
![Page 31: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/31.jpg)
• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de
incidentes de segurança cibernética industrial desenvolvido e em produção.
• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa
quando ocorrem incidentes de segurança.
• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este
processo.
Gestão de incidentes de
segurança cibernética
![Page 32: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/32.jpg)
Treinamento e ConscientizaTreinamento e Conscientizaçção ão
em seguranem segurançça ciberna cibernéética tica
industrial no Brasilindustrial no Brasil
![Page 33: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/33.jpg)
• A pesquisa mostra que as organizações industriais brasileiras investem mais na
capacitação dos departamentos que estão diretamente relacionados com a
segurança das informações (T.I.) do que com as que são as responsáveis pela
manutenção do funcionamento dos processos de negócio (T.A.).
• Existe aí uma inversão de valores uma vez que o core business das indústrias está
baseado juntamente em seus processos produtivos que são geridos pelas redes de
automação.
Comparativo do nível de
capacitação (TI x TA)
![Page 34: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/34.jpg)
• Existem aproximadamente 31.000 plantas industriais no Brasil
• Se considerarmos pelo menos uma pessoa responsável pela segurança cibernética, temos um
número mínimo de 31000 gestores que precisam ser treinados no país.
• Desde 2010 a TI Safe tem oferecido de forma pioneira a “Formação em Segurança de
Automação Industrial", primeira formação em segurança SCADA em língua portuguesa e que
hoje conta com pouco mais de 400 alunos formados, o que representa 1,3% do total estimado
de gestores, o que é uma quantidade ainda muito pequena.
Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras
Alunos treinados no Brasil
![Page 35: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/35.jpg)
• A pesquisa mostra que apenas 8% das organizações não valorizam a
existência de certificações profissionais em prestadores de serviços.
• Pouco mais da metade as considera um requisito fundamental, enquanto
os 41% restantes fizeram uma avaliação positiva.
Avaliação da importância de
certificações de segurança
![Page 36: [CLASS 2014] Palestra Técnica - Marcelo Branquinho](https://reader033.vdocuments.site/reader033/viewer/2022052906/558c027cd8b42ab25b8b4609/html5/thumbnails/36.jpg)
• Algumas dicas:
– Visitem a área de exposição e conheçam mais
sobre as soluções apresentadas.
– Visitem os stands e conversem diretamente
com os fabricantes
– Visitem o ICS Village e vejam o
ICS.SecurityFramework implementado
– Conversem com os palestrantes e troquem
experiências
– Aproveitem os cursos em paralelo às palestras
– Participem das atividades no stand da TI Safe
Aproveitem a conferência!