As empresas de energia elétrica operam em ambientes de controlo altamente distribuídos e críticos em termos de segurança, e sistemas como SCADA, EMS, relés de proteção e subestações devem funcionar continuamente, sem interrupções. Muitos desses ativos cibernéticos comunicam apenas através de protocolos antigos, e a maior parte do equipamento foi concebida muito antes do surgimento das ameaças cibernéticas modernas, o que faz com que as atualizações necessárias para acompanhar a evolução pareçam impossíveis.
Apesar das limitações, espera-se que as empresas de serviços públicos no mundo moderno ofereçam monitorização centralizada, proporcionem visibilidade operacional em tempo real e, inevitavelmente, partilhem dados com os departamentos de TI das empresas, os SOC e as entidades reguladoras. Isto cria uma tensão constante entre o isolamento operacional e a visibilidade organizacional.
No setor dos serviços públicos, um incidente cibernético não se limita apenas à perda de dados ou ao tempo de inatividade. Os riscos mais graves incluem a perda de fiabilidade da rede, o que provoca novas falhas em cadeia e acarreta riscos de segurança para os trabalhadores e para o público. Além disso, as violações regulamentares ao abrigo do NERC CIP podem resultar em pesadas sanções, bem como em responsabilidades financeiras e legais.
Muitas organizações modernas optam por firewalls e VPNs para fornecer controlos básicos, mas a dependência destas soluções de segurança expõe as empresas a uma vulnerabilidade crítica: são, por definição, bidirecionais. Os firewalls têm de permitir o tráfego de retorno em cenários de comunicação comuns e podem, frequentemente, ser mal configurados ou explorados. Mesmo os firewalls rigorosamente configurados dependem da correção do software por parte de administradores qualificados e exigem uma manutenção contínua das regras para garantir que as políticas permanecem em vigor, ao mesmo tempo que são permitidas alterações precisas.
Numa perspetiva de BES de alto impacto, tal como exigido pelas normas CIP, isto significa que o risco de entrada nunca desaparece totalmente — está apenas a ser gerido da melhor forma possível — partindo do princípio de que se dispõe de uma equipa sólida de especialistas e operadores. A presença de qualquer via eletrónica de entrada torna-se o risco central que as equipas de conformidade devem defender em configurações complexas durante auditorias, tais como a apresentação de provas para cumprir os requisitos da Tabela R1 da CIP-005-8 para proteger o perímetro de segurança eletrónica (ESP) e da Tabela R1 da CIP-007-7 para o reforço do sistema. Se uma rede de monitorização, de TI ou de fornecedores for comprometida, os atacantes irão explorar os caminhos de retorno permitidos para voltar aos ambientes OT e injetar comandos, malware ou tráfego malformado para causar danos irreversíveis.
É por isso que a norma NERC CIP dá ênfase à minimização e ao controlo rigoroso do acesso de entrada — e não apenas à deteção de utilizações indevidas. Um diodo de dados impõe a transferência unidirecional de dados ao nível do hardware. A informação pode sair de um ambiente OT protegido, mas não pode regressar, independentemente do estado do software, da configuração ou de qualquer violação de segurança. Esta abordagem transforma o modelo de segurança de «o tráfego de entrada é bloqueado por regras» para «o tráfego de entrada é fisicamente impossível».
Com um díodo de dados instalado, as empresas de serviços públicos podem continuar a satisfazer as necessidades essenciais de relatórios empresariais, tais como a exportação de dados de telemetria SCADA ou EMS, a replicação de registos históricos e o envio de registos e alertas para plataformas SOC, tudo isto sem introduzir uma via de ataque de entrada no ambiente do Sistema Cibernético BES.
Conforme ilustrado no diagrama abaixo, a visibilidade é preservada, enquanto a exposição é mantida fora.
Do ponto de vista arquitetónico, a mudança é simples, mas decisiva: os limites de confiança do software são substituídos por medidas de imposição física. Os auditores não precisam de «confiar nas regras», podem confiar na arquitetura e nas leis da física.
A verdadeira vantagem é que, de acordo com as normas CIP-002 a CIP-013, a utilização de um gateway unidirecional/diodo de dados pode isentar uma empresa de serviços públicos de vários requisitos de conformidade (tais como 21 das 26 regras em alguns contextos da NRC). A utilização de um díodo de dados ajuda a evitar os requisitos de documentação para cumprir a Tabela R1 da CIP-010-5 relativa à Gestão e Monitorização de Alterações de Configuração, uma vez que não são necessárias alterações na configuração da firewall. O díodo também cumpre os requisitos da Tabela R1 da CIP-011-4 relativa à Proteção da Informação, uma vez que apenas a informação designada pode ser transferida com um registo totalmente auditável, enquanto que outra informação não pode ser transmitida através da comunicação unidirecional, de acordo com a política.
Este procedimento acelerado permite garantir a conformidade e a preparação para auditorias, de modo a documentar melhor os controlos explicáveis, em conformidade com os objetivos da NERC CIP, reduzir eficazmente o âmbito da justificação do acesso de entrada e fornecer provas sólidas de diligência devida em ambientes de alto impacto. Como principal objetivo da empresa de serviços públicos, a continuidade operacional garante que não haja impacto na disponibilidade do sistema de controlo, que não sejam introduzidas alterações nos protocolos OT legados e que sejam alcançados fluxos de dados previsíveis e estáveis.
Para as empresas de serviços públicos que estão a avaliar arquiteturas de segurança unidirecionais, soluções como MetaDefender Optical Diode concebidas especificamente para ambientes de alta segurança, regidos por regulamentação, onde o risco de entrada é inaceitável. Quer seja motivada pela conformidade com a NERC CIP, pela redução do risco operacional ou pela resiliência a longo prazo, a implementação de um fluxo de dados unidirecional através de hardware continua a ser uma das decisões de segurança mais defensáveis que uma empresa de serviços públicos pode tomar.
Saiba mais sobre como MetaDefender Optical Diode ajudá-lo a cumprir as normas NERC CIP.
