A rápida evolução da automação industrial com a introdução de IIoT – Industrial Internet of Things – permite, através de sensores e outros dispositivos interconectados em rede junto com aplicações industriais o controle da produção e o gerenciamento de energia. Uma outra função de deve ser explorada é a proteção dos sistemas industriais contra ataques cibernéticos e outras vulnerabilidades associadas a segurança da informação. Para reduzir investimentos, é importante buscar sinergia entre os projetos.
O IIoT oferece maior grau de automação, comparado a sistemas mais antigos, e se beneficia com o uso de outras tecnologias, como a computação em nuvem, para armazenar grandes volumes de dados, e inteligência artificial (IA), permitindo melhores controles dos processos industriais. O IIoT facilita o controle de equipamentos e a coleta de dados em tempo real, potencializada com o uso do 5G, permitindo a rápida troca de dados entre robôs na linha de produção para a reconfiguração da linha de produção para a manufatura de novos produtos.
O uso de IA na manufatura é cada vez mais útil para atender, rapidamente, as demandas dos consumidores, otimizar os insumos industriais, aumentar a proteção contra ataques de hacker e reduzir dos custos do uso de energia. O aumento de capacidade de processamento e armazenamento de dados de pequenos dispositivos remotos permite executar softwares com IA na ponta, trazendo respostas mais rápidas e controles em tempo real para ajustes de configuração de equipamentos e desligamentos para prevenir falhas.
Na área de eficiência energética, a programação das linhas de produção deve considerar o consumo de energia em cada etapa da produção e estabelecer fluxos de produção baseados nas tarifas preço-horário do mercado de energia. A automação das linhas de produção com o uso de IA é importante para tornar a produção mais flexível e atender aos novos marcos regulatórios do setor de energia no Brasil, com os incentivos para a compra de energia no mercado livre e geração distribuída de energia renovável.
Com a convergência das tecnologias, as organizações de TI e TO estão se integrando cada vez mais, aumentando a sinergia no controle e integração de processos. Veja a tabela 1, que descreve as atribuições de cada organização.
| Tecnologia da Informação (TI) | Tecnologia Operacional (TO) | |
| Propósito | Gerenciar informações, automatizar processos de negócios | Gerenciar ativos e eventos, controlar processos da planta |
| Foco | Confidencialidade | Segurança e disponibilidade |
| Arquitetura | Transacional, sistema de gerenciamento de banco de dados, publicação ou colaboração | Orientado por eventos, tempo real, software embarcado, baseado em regras |
| Interfaces | Navegador web, terminal e teclado | Sensores, interfaces de usuário proprietárias |
| Custódia | CIO, infraestrutura, operações e aplicativos profissionais | Engenheiros, técnicos e gerentes de fábrica |
| Conectividade | Rede corporativa, baseado em IP, redes móveis sem fio | Controle de redes, cada vez mais baseados em IP e em redes sem fio |
| Exemplos | ERP, gerenciamento da cadeia de suprimentos, CRM, e-mail, gerenciamento de ativos corporativos e faturamento | Sistemas de controle integrados, sistemas de segurança, controladores lógicos programáveis, interfaces humano-máquina, historiadores de dados, sistema de carregamento de caminhões e sistema de aferição de tanques. |
No passado distante, a segurança da informação na TO, era resolvida com o uso de redes de comunicação apartadas da rede corporativa. Entretanto, esta solução foi invalidada com o caso do worm Stuxnet em 2010 que afetou o funcionamento do sistema de controle de supervisão e aquisição de dados (SCADA) da usina de beneficiamento de uranio do Irã, arruinou quase um quinto de suas centrífugas nucleares. Este worm já infectou mais de 200.000 computadores e fez com que 1.000 máquinas se degradassem fisicamente, segundo dados de 2017. Desta forma, é fator crítico proteger os sistemas industriais de ataques de hackers.
O NIST – National Institute of Standards and Technology – uma agência do governo americano, não regulatória, recomenda o uso de uma estrutura de segurança cibernética com orientações para o setor privado americano avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. A tabela 2 apresenta as cinco funções da estrutura de segurança do NIST.
| Identificar | As organizações devem desenvolver uma compreensão de seu ambiente para gerenciar os riscos de segurança cibernética. É essencial ter plena visibilidade dos ativos digitais e físicos e suas interconexões. As organizações em conformidade também devem ter funções e responsabilidades definidas, entender o nível atual de exposição e colocar políticas e procedimentos em prática para gerenciar esses riscos. |
| Proteger | As organizações devem desenvolver e implementar salvaguardas apropriadas para limitar ou conter o impacto de um incidente cibernético. Isso significa, controlar o acesso a ativos digitais e físicos, aumentar a conscientização dos funcionários através de treinamentos e colocando os processos em prática para manter os dados seguros. As organizações em conformidade deverão mantar os dados de configuração e das operações da rede para reparo dos componentes do sistema. A tecnologia de proteção deve ser implantada para melhorar a resiliência cibernética. |
| Detectar | Uma organização deve ter a capacidade para identificar rapidamente ameaças cibernéticas. Soluções de monitoramento que detectam atividade anômala e outras ameaças à operação são necessárias para cumprir essa função. A observação contínua e a busca por ameaças cibernéticas são formas eficazes para avaliar e prevenir incidentes cibernéticos no ambiente de produção. |
| Responder | Uma organização deve ser capaz de conter ataques cibernético. Devem ser criados planos de resposta para definir canais de comunicação entre diferentes stakeholders. A organização também deve coletar e analisar informações relacionadas ao ataque, erradicar qualquer ameaça ativa e incorporar lições aprendidas em estratégias de resposta revisadas. |
| Recuperar | As organizações devem desenvolver e implementar planos de ação para recuperar os serviços após um ataque cibernético. É vital coordenar a atividade de restauração com todas as partes afetadas. |
A ISA/IEC-62443 é uma série de normas que definem os procedimentos para a implementação de sistemas de automação e controle industrial (IACS) eletronicamente seguros. O sistema deve fazer a prevenção de interferência (intencional ou não) dos sistemas de controle que gerenciam serviços essenciais, incluindo energia, produção de petróleo, água, transporte, manufatura e comunicações. Isto porque todos estes serviços dependem de redes de computadores, sistemas operacionais, aplicativos e controladores programáveis (PLCs), que possuem, intrinsicamente, cada um deles vulnerabilidades de segurança. Aqui, mais uma razão para o uso de sistemas de IA para prever falhas críticas, envolvendo um grande de equipamentos em um parque industrial.
A família de normas ISO 27.000, apresenta as diretrizes para um sistema de gestão de segurança da informação (SGSI), relacionadas à segurança de dados digitais e sistemas de armazenamento eletrônico. As normas apresentam diretrizes desde a implementação de um SGSI até pontos mais específicos, como o gerenciamento de risco.
Uma boa oportunidade de sinergia é a implantação da ISO 27.000 juntamente com a ISO 9.000, uma vez que os objetivos das normas é garantir a qualidade e a disponibilidade dos processos das empresas.
Em resumo, é desejável que as empresas implementem modelos de governança corporativo e gestão de tecnologia dentro de uma visão holística e integração entre a TI e a TO, aproveitando ao máximo a sinergia dos projetos, garantindo melhores controles e redução de custos.