Sinergia entre automação industrial, eficiência energética e segurança da informação

A rápida evolução da automação industrial com a introdução de IIoT – Industrial Internet of Things – permite, através de sensores e outros dispositivos interconectados em rede junto com aplicações industriais o controle da produção e o gerenciamento de energia. Uma outra função de deve ser explorada é a proteção dos sistemas industriais contra ataques cibernéticos e outras vulnerabilidades associadas a segurança da informação. Para reduzir investimentos, é importante buscar sinergia entre os projetos.

O IIoT oferece maior grau de automação, comparado a sistemas mais antigos, e se beneficia com o uso de outras tecnologias, como a computação em nuvem, para armazenar grandes volumes de dados, e inteligência artificial (IA), permitindo melhores controles dos processos industriais. O IIoT facilita o controle de equipamentos e a coleta de dados em tempo real, potencializada com o uso do 5G, permitindo a rápida troca de dados entre robôs na linha de produção para a reconfiguração da linha de produção para a manufatura de novos produtos.

O uso de IA na manufatura é cada vez mais útil para atender, rapidamente, as demandas dos consumidores, otimizar os insumos industriais, aumentar a proteção contra ataques de hacker e reduzir dos custos do uso de energia. O aumento de capacidade de processamento e armazenamento de dados de pequenos dispositivos remotos permite executar softwares com IA na ponta, trazendo respostas mais rápidas e controles em tempo real para ajustes de configuração de equipamentos e desligamentos para prevenir falhas.

Na área de eficiência energética, a programação das linhas de produção deve considerar o consumo de energia em cada etapa da produção e estabelecer fluxos de produção baseados nas tarifas preço-horário do mercado de energia. A automação das linhas de produção com o uso de IA é importante para tornar a produção mais flexível e atender aos novos marcos regulatórios do setor de energia no Brasil, com os incentivos para a compra de energia no mercado livre e geração distribuída de energia renovável.

Com a convergência das tecnologias, as organizações de TI e TO estão se integrando cada vez mais, aumentando a sinergia no controle e integração de processos. Veja a tabela 1, que descreve as atribuições de cada organização.

 Tecnologia da Informação (TI)Tecnologia Operacional (TO)
PropósitoGerenciar informações, automatizar processos de negóciosGerenciar ativos e eventos, controlar processos da planta
FocoConfidencialidadeSegurança e disponibilidade
ArquiteturaTransacional, sistema de gerenciamento de banco de dados, publicação ou colaboraçãoOrientado por eventos, tempo real, software embarcado, baseado em regras
InterfacesNavegador web, terminal e tecladoSensores, interfaces de usuário proprietárias
CustódiaCIO, infraestrutura, operações e aplicativos profissionaisEngenheiros, técnicos e gerentes de fábrica
ConectividadeRede corporativa, baseado em IP, redes móveis sem fioControle de redes, cada vez mais baseados em IP e em redes sem fio
ExemplosERP, gerenciamento da cadeia de suprimentos, CRM, e-mail, gerenciamento de ativos corporativos e faturamentoSistemas de controle integrados, sistemas de segurança, controladores lógicos programáveis, interfaces humano-máquina, historiadores de dados, sistema de carregamento de caminhões e sistema de aferição de tanques.
Tabela 1. Distinção entre TI e TO. Fonte: Attila Cybertech, ICS/SCADA Cyber Security, and IT Cyber Security

No passado distante, a segurança da informação na TO, era resolvida com o uso de redes de comunicação apartadas da rede corporativa. Entretanto, esta solução foi invalidada com o caso do worm Stuxnet em 2010 que afetou o funcionamento do sistema de controle de supervisão e aquisição de dados (SCADA) da usina de beneficiamento de uranio do Irã, arruinou quase um quinto de suas centrífugas nucleares. Este worm já infectou mais de 200.000 computadores e fez com que 1.000 máquinas se degradassem fisicamente, segundo dados de 2017. Desta forma, é fator crítico proteger os sistemas industriais de ataques de hackers.

O NIST – National Institute of Standards and Technology – uma agência do governo americano, não regulatória, recomenda o uso de uma estrutura de segurança cibernética com orientações para o setor privado americano avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. A tabela 2 apresenta as cinco funções da estrutura de segurança do NIST.

IdentificarAs organizações devem desenvolver uma compreensão de seu ambiente para gerenciar os riscos de segurança cibernética. É essencial ter plena visibilidade dos ativos digitais e físicos e suas interconexões. As organizações em conformidade também devem ter funções e responsabilidades definidas, entender o nível atual de exposição e colocar políticas e procedimentos em prática para gerenciar esses riscos.
ProtegerAs organizações devem desenvolver e implementar salvaguardas apropriadas para limitar ou conter o impacto de um incidente cibernético. Isso significa, controlar o acesso a ativos digitais e físicos, aumentar a conscientização dos funcionários através de treinamentos e colocando os processos em prática para manter os dados seguros. As organizações em conformidade deverão mantar os dados de configuração e das operações da rede para reparo dos componentes do sistema. A tecnologia de proteção deve ser implantada para melhorar a resiliência cibernética.
DetectarUma organização deve ter a capacidade para identificar rapidamente ameaças cibernéticas. Soluções de monitoramento que detectam atividade anômala e outras ameaças à operação são necessárias para cumprir essa função. A observação contínua e a busca por ameaças cibernéticas são formas eficazes para avaliar e prevenir incidentes cibernéticos no ambiente de produção.
ResponderUma organização deve ser capaz de conter ataques cibernético. Devem ser criados planos de resposta para definir canais de comunicação entre diferentes stakeholders. A organização também deve coletar e analisar informações relacionadas ao ataque, erradicar qualquer ameaça ativa e incorporar lições aprendidas em estratégias de resposta revisadas.
RecuperarAs organizações devem desenvolver e implementar planos de ação para recuperar os serviços após um ataque cibernético. É vital coordenar a atividade de restauração com todas as partes afetadas.
Tabela 2. Framework com 5 funções para prover uma visão estratégica de riscos cibernéticos (NIST)

A ISA/IEC-62443 é uma série de normas que definem os procedimentos para a implementação de sistemas de automação e controle industrial (IACS) eletronicamente seguros. O sistema deve fazer a prevenção de interferência (intencional ou não) dos sistemas de controle que gerenciam serviços essenciais, incluindo energia, produção de petróleo, água, transporte, manufatura e comunicações. Isto porque todos estes serviços dependem de redes de computadores, sistemas operacionais, aplicativos e controladores programáveis (PLCs), que possuem, intrinsicamente, cada um deles vulnerabilidades de segurança. Aqui, mais uma razão para o uso de sistemas de IA para prever falhas críticas, envolvendo um grande de equipamentos em um parque industrial.

A família de normas ISO 27.000, apresenta as diretrizes para um sistema de gestão de segurança da informação (SGSI), relacionadas à segurança de dados digitais e sistemas de armazenamento eletrônico. As normas apresentam diretrizes desde a implementação de um SGSI até pontos mais específicos, como o gerenciamento de risco.

Uma boa oportunidade de sinergia é a implantação da ISO 27.000 juntamente com a ISO 9.000, uma vez que os objetivos das normas é garantir a qualidade e a disponibilidade dos processos das empresas.

Em resumo, é desejável que as empresas implementem modelos de governança corporativo e gestão de tecnologia dentro de uma visão holística e integração entre a TI e a TO, aproveitando ao máximo a sinergia dos projetos, garantindo melhores controles e redução de custos.

Deixe uma resposta