INSTITUTO A VOZ DO MESTRE PROGRAMA DE PS-GRADUAO EM SEGURANA DE REDES DE COMPUTADORES

FRANCISCO RICARDO ANDRASCHKO

A SEGURANA EM REDES DE COMUNICAO PARA SISTEMAS DE AUTOMAO INDUSTRIAL BREVE ESTUDO

SO JOS DO RIO PRETO/SP 2014

FRANCISCO RICARDO ANDRASCHKO

A SEGURANA EM REDES DE COMUNICAO PARA SISTEMAS DE AUTOMAO INDUSTRIAL BREVE ESTUDO

Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obteno do ttulo de Especialista em Segurana de Redes de Computadores.

Orientador: Prof. Ludmilla Flres Meneses Lima

SO JOS DO RIO PRETO/SP 2014

INSTITUTO A VOZ DO MESTRE PROGRAMA DE PS-GRADUAO EM SEGURANA DE REDES DE COMPUTADORES

FRANCISCO RICARDO ANDRASCHKO

A SEGURANA EM REDES DE COMUNICAO PARA SISTEMAS DE AUTOMAO INDUSTRIAL BREVE ESTUDO

APROVADO EM ____/____/____

BANCA EXAMINADORA

______________________________________________________________
LUDMILLA FLRES MENESES LIMA ORIENTADOR E PRESIDENTE DA BANCA

______________________________________________________________ NOME DO PROFESSOR EXAMINADOR

______________________________________________________________ NOME DO PROFESSOR EXAMINADOR

DEDICATRIA

Dedico este trabalho as duas grandes importncias da minha vida, minha esposa Michele Andraschko e beb Lua, nossa gata siamesa, que por vrias noites aturaram luzes acessas e comentrios tcnicos.

AGRADECIMENTOS

Agradeo a minha esposa por estar ao meu lado em mais essa jornada. Como cita o Ditado Popular: Por trs de um grande homem, existe uma grande mulher. E complemento dizendo que com certeza a minha a maior de todas! Agradeo tambm a todos que contriburam respondendo o questionrio online, pois apesar de rpido, sempre se torna maante esse tipo de atividade.

ii

A vingana nunca plena, mata a Alma e a Envenena.

Seu Madruga (Personagem de Don Ramn)

iii

RESUMO

alguns anos Tecnologia da Informao deixou de ser sinnimo de um computador e algumas planilhas eletrnicas ou editores de texto, passando a ser uma trama de aplicativos, redes de comunicaes e acima de tudo um parceiro dos negcios, ou seja, deixou de ser uma mera ferramenta para tornar-se um apoio a tomadas de decises, um parceiro no avano tecnolgico industrial e comercial, cada vez mais engajado com as metas e objetivos da empresa e agindo ativamente nas decises e resultados. Com isso redes de comunicaes para sistemas industriais passaram a apresentar e requerer nveis de seguranas melhorados, mais abrangentes e elaborados, afim de que pragas virtuais (principalmente) de diferentes tipos no comprometam o alinhamento entre a TI e o Negcio. Objetivando um apoio a esta problemtica, este trabalho apresenta um breve estudo sobre as vertentes das redes de comunicaes industriais, as principais vulnerabilidades e/ou malwares que podem atingir os sistemas de Automao industrias (e as redes componentes destes sistemas) e um plano de ao e continuidade s redes de comunicaes industriais.

Palavras-chave: rede de comunicao industrial; segurana da informao; plano de ao e continuidade s redes industriais.

iv

ABSTRACT

For years the Information Technology is no longer synonymous with a computer and few spreadsheets or writers, becoming a lot of applications and communications network and foremost a business partner, ceased to be a mere tools to become a support for decision making, a partner in the technological industrial and commercial breakthrough, becoming more engaged with the goals and objectives of the company and acting actively in decisions and results. With the communications network for industrial systems now present and required enhanced levels of security, more comprehensive and elaborate, so that malware (mostly) of different types do not compromise the alignment between IT and Business. Aiming to support this issue, this paper presents a short study on aspects of industrial communications networks, the main vulnerabilities and/or malware to can achieve the Industrial Automation Systems ( and components of these systems networks) and an action plan and continuity the industrials communications networks.

Key-words: industrial communications network; security of information; action plan and continuity the industrials communications networks.

LISTA DE ILUSTRAES

FIGURA 1 - ARRANJO DE PROTOCOLOS NAS CAMADAS. FONTE: (ARAUJO, 2011) .................................................................................................................. 15 FIGURA 2 - COMPARATIVO DAS CAMADAS OSI E CAMADAS TCP/IP. FONTE: (TORRES, 2007) ................................................................................................ 15 FIGURA 3 - CAMADAS OSI. FONTE: (SOUZA, 2012) ............................................. 16 FIGURA 4 - EXEMPLO DE REDE DE REA LOCAL (LAN) ..................................... 19 FIGURA 5 - EXEMPLO DE REDE DE REA LOCAL SEM FIO (WLAN) .................. 19 FIGURA 6 - EXEMPLO DE REDE DE LONGA DISTNCIA (WAN) ......................... 20 FIGURA 7 - EXEMPLO DE REDE DE REA METROPOLITANA (MAN) ................. 21 FIGURA 8 - ARQUITETURA ORIGINAL DE ETHERNET. FONTE: (TANENBAUM, 2002) .................................................................................................................. 22 FIGURA 9 - ARQUITETURA TOKEN RING .............................................................. 23 FIGURA 10 - EXEMPLO DE TOPOLOGIA EM ANEL ............................................... 24 FIGURA 11 EXEMPLO DE TOPOLOGIA EM BARRAMENTO .............................. 24 FIGURA 12 - EXEMPLO DE TOPOLOGIA ESTRELA .............................................. 25 FIGURA 13 - EXEMPLO DE REDE EM MALHA ....................................................... 26 FIGURA 14 - EXEMPLO REDE PONTO-A-PONTO ................................................. 27 FIGURA 15 - EXEMPLO DE TELA DE SISTEMA SCADA. FONTE: WWW.THEVERGE.COM ................................................................................... 29 FIGURA 16 - EXEMPLO DE REDE DE SISTEMAS SUPERVISRIOS. FONTE: (DJIEV, 2003)..................................................................................................... 29 FIGURA 17 MODELO DE ARQUITETURA DE REDE INDUSTRIAL PARA AUTOMAO. ................................................................................................... 30 FIGURA 18 - TRADE CID ........................................................................................ 33

vi

LISTA DE ABREVIATURAS E SIGLAS ARPA Advanced Research and Projects Agency TCI/IP Transmission Control Protocol/Internet Protocol OSI Open Systems Interconnection ABNT Associao Brasileira de Normas Tcnicas NBR Normas Brasileiras ISO International Organization for Standardization ISA The Instrumentation Systems and Automation Society IEC International Engineering Consortium MAC Media Access Control AP Access Points P2P Peer-To-Peer DoS Denial of Service CLP Controlador Lgico Programvel SDCD Sistema Digital de Controle Distribudo MES Manufacturing Execution System PIMS - Process Information Management System RTU Remote Terminal Unit DH Data Highway

vii

SUMRIO

INTRODUO ................................................................................................... 11 1.1 1.2 1.3 OBJETIVOS ................................................................................................. 12 PROCEDIMENTOS METODOLGICOS..................................................... 12 ESTRUTURA DO TRABALHO ..................................................................... 12

FUNDAMENTAO TERICA .......................................................................... 14 2.1 REDES DE COMPUTADORES ................................................................... 14 REDES DE COMPUTADORES PROTOCOLOS................................ 14 REDES DE COMPUTADORES PROTOCOLOS MODELO OSI ..... 16 REDES DE COMPUTADORES TIPOS DE REDES ........................... 18

2.1.1 2.1.2 2.1.3 2.2

AUTOMAO INDUSTRIAL ........................................................................ 27 AUTOMAO EQUIPAMENTOS E PROTOCOLOS ......................... 28 AUTOMAO INDUSTRIAL MODELO DE REDE INDUSTRIAL ....... 30

2.2.1 2.2.2 2.3

SEGURANA DE REDES ........................................................................... 32 ATAQUES MOTIVAES E TCNICAS ........................................... 34 ATAQUES MALWARES E OUTRAS AMEAAS ............................... 35 FALHAS DE SEGURANA DA INFORMAO EM AMBIENTE DE

2.3.1 2.3.2 2.3.3

REDE DE AUTOMAO INDUSTRIAL ............................................................. 37 3 POLTICAS DE SEGURANA EM REDES INDUSTRIAIS................................ 39 3.1 POLTICA DE SEGURANA DA INFORMAO (S.I.) ............................... 39 POLTICA DE S.I. PREMISSAS ......................................................... 39 POLTICA DE S.I. DOCUMENTAO ............................................... 40 POLTICA DE S.I. REVISO .............................................................. 41 POLTICA DE S.I. E REDES INDUSTRIAIS .......................................... 42

3.1.1 3.1.2 3.1.3 3.1.4 3.2 4 5

DIRETRIZES INTERNACIONAIS DE S.I. PARA REDES INDUSTRIAIS..... 43

ESCOPO DE SEGURANA PARA REDE INDUSTRIAL .................................. 45 DADOS COLETADOS JUNTO AOS USURIOS DE REDES INDUSTRIAIS ... 47 viii

6 7

CONSIDERAES FINAIS ............................................................................... 48 REFERNCIAS BIBLIOGRFICAS ................................................................... 49

APNDICE A QUESTIONRIO: SEGURANA DE REDES DE COMUNICAO PARA SISTEMAS DE AUTOMAO INDUSTRIAL ................................................. 52 APNDICE B RESULTADOS DO QUESTIONRIO: SEGURANA DE REDES DE COMUNICAO PARA SISTEMAS DE AUTOMAO INDUSTRIAL ..................... 60

ix

INTRODUO Com o aumento dos dispositivos, mveis ou no, conectados em rede e a

internet cada vez mais presente e popular no Brasil e no Mundo, atualmente se pode dizer que praticamente no se vive sem estar conectado. O mundo dos negcios, seja uma grande corporao ou um empresrio individual, tambm se insere nesse crescimento mundial da tecnologia. Troca de arquivos, e-mails, comunicados internos, reunies, seleo de candidatos, enfim, inmeras atividades dirias so executadas pela conectividade internet. (Portal GeoBrasil, 2007) Ambientes Industriais so essencialmente geridos por automao e com o advento da tecnologia, redes e sistemas esto cada vez mais incorporados a eles. Com conectividade entre mquinas, computadores, sistemas industriais e

administrativos, em maioria gerenciados por usurios e com ligao internet. Tendo a automao um papel de grande importncia na sobrevivncia das indstrias, garantindo a melhoria do processo produtivo e possibilitando a competio nesse mercado globalizado, onde o concorrente mais prximo pode estar do outro lado do mundo. (Martins, 2012) E nessa ligao internet e conectividade dos usurios que intruses hackers, vrus, spywares e outros malwares aproveitam ou geram brechas para bisbilhotar, roubar ou danificar as redes, industriais ou no. Visando criar barreiras s essas ameaas virtuais, aumento do controle e a segurana das redes de automao industrial que o uso de Sistemas de Deteco de Intruso e Sistemas de Preveno de Intruso se torna cada vez mais comum em cho de fbrica e nesse tipo de ambiente. Relacionadas estas situaes, surgem os questionamentos principais: Como amadurecer o ambiente de rede industrial? Como aumentar o nvel de segurana nas redes de automao

industrial, reduzindo a incidncia de paradas? Quais os itens (recursos, informaes, servios, ...) devem ser

monitorados e/ou merecem ateno especial? Existe mesmo a lucratividade, seja por reduo de custo, tempo ou

outra varivel, aps adequaes e monitoramentos das redes? Como assegurar a continuidade segura de tais redes? 11

1.1

OBJETIVOS Constitui objetivo geral deste trabalho estudar e relacionar polticas e medidas

de segurana da informao que possibilitem e assegurem as comunicaes em sistemas de redes computacionais usadas em automao industrial. Constituem objetivos especficos: a) Estudar mtricas e polticas de segurana da informao em redes de

computadores industriais; b) Investigar as principais falhas de segurana da informao em

ambiente de rede de automao industrial; c) d) Identificar e criar um escopo de segurana para rede industrial; Modelar um plano bsico de continuidade segura da rede de

automao industrial.

1.2

PROCEDIMENTOS METODOLGICOS O desenvolvimento deste trabalho respalda-se em livros de Segurana da

Informao, Redes de Computadores e Sistemas de Comunicao e Automao Industrial, bem como em normas tcnicas NBR ISO/IEC 2001:2005, NBR ISO/IEC 27002:2007, NBR ISO/IEC 27005:2008, descritivos tcnicos de fornecedores de solues de comunicao industrial e nas disciplinas estudadas na graduao e no decorrer do deste curso. Realizando por meio de questionrios online, com pblicos-alvo trabalhadores de indstrias dos setores de automao, manuteno eltrica e mecnica e tecnologia da informao, a fim de levantar ameaas, dificuldades e prticas em uso. Os dados levantados sero confrontados com as melhores prticas e com as normativas e descritivas tcnicas a fim de indicar o que est em desacordo e as principais dificuldades, auxiliando no diagnstico e criao de melhorias.

1.3

ESTRUTURA DO TRABALHO O TCC est esquematizado da seguinte forma: 12

O captulo 2, a seguir, trata do referencial terico. So abordados os itens Redes de Computadores, Automao Industrial, Segurana das Redes e as conexes entre eles. O 3 captulo apresenta as mtricas e polticas de segurana da informao em redes de computadores industriais. O captulo 4 identifica as bases para criar um escopo de segurana para rede industrial. O captulo 5 apresenta os dados coletados junto aos usurios de redes industriais. O captulo 6 apresenta as consideraes finais, relacionando os principais critrios para modelar um plano bsico de continuidade segura da rede de automao industrial.

13

2 2.1

FUNDAMENTAO TERICA REDES DE COMPUTADORES Em 1969 a ARPANet foi desenvolvida pela agncia Norte-Americana ARPA

(Agncia de Pesquisa em Projetos Avanados) a dita primeira rede, com intuito de interligar as bases militares e os departamentos de pesquisa do governo americano. Desde seu surgimento, a rede ARPANet sofre alteraes, mas a principal foi o incio do uso do protocolo TCI/IP. (ARPANet, 2012) A partir disso ficaram caracterizadas que uma rede de computadores so estruturas fsicas (hardware) e lgicas (aplicativos e protocolos) que permite conectividade entre dois ou mais equipamentos computacionais, a fim das mesmas executarem a troca de informaes. (Cant, 2003) Como dito, redes de computadores so fruto da unio entre hardware e software e devido a isso, vrias so as designaes dos tipos de redes, dos protocolos usados, dos meios de ligao entre eles e dos equipamentos envolvidos.

2.1.1 REDES DE COMPUTADORES PROTOCOLOS Em redes, sejam de computadores ou no, tem um papel importante, pois atravs deles, teremos a interao entre os hardwares e os softwares envolvidos. Um exemplo de descrio sobre o que um protocolo, dado por (Araujo, 2011):
Para explicar o que so os Protocolos de Rede, eu vou usar um exemplo clssico: pensemos num chins que no fala portugus e um brasileiro que no fala chins. Ambos podem se comunicar usando uma lngua em comum, digamos o ingls, que seria algo como um protocolo. Mesmo que ambos no falassem nenhuma lngua em comum poderiam usar gestos universais como o dedo para cima indicando "positivo" ou juntar as duas mos prximas ao ouvido para dizer que est com sono ou dormindo. Os protocolos so justamente estas lnguas e sinais universais que permitem aos dispositivos comunicar-se atravs da rede.

14

Aps isso, pode-se complementar que uma srie de protocolos existe no mercado atualmente e os mesmos so arranjados em camadas, conforme sua similaridade na atuao, como exemplifica a Figura 1.

Figura 1 - Arranjo de Protocolos nas camadas. Fonte: (Araujo, 2011)

Devido variedade de protocolos, existiu a necessidade de alguma padronizao e foi criado ento o Modelo OSI e segue de guia para o arranjo acima citado.

Figura 2 - Comparativo das Camadas OSI e Camadas TCP/IP. Fonte: (Torres, 2007)

15

2.1.2 REDES DE COMPUTADORES PROTOCOLOS MODELO OSI Com a necessidade de formalizao na forma de conectar os computadores, a ISO foi uma das primeiras organizaes a emplacar tal, com a arquitetura do Modelo OSI1 ou camadas OSI como tambm conhecido.

Figura 3 - Camadas OSI. Fonte: (Souza, 2012)

A conectividade entre os equipamentos das redes antes da padronizao OSI era um tanto difcil, pois eram inmeros protocolos diferenciados nas

particularidades, que impediam a comunicao direta e foravam a aquisio de equipamentos especficos para tais. (Araujo, 2011) As 7 camadas do modelo OSI, apresentadas em ordem decrescente so: Aplicao (7), Apresentao (6), Sesso (5), Transporte (4), Rede (3), Link de Dados (2) e Fsica (1).

OSI em traduo oficial significa Interconexo de Sistemas Abertos.

16

Cada camada tem uma funo diferente e encapsula os dados de um meio diferente para a camada posterior. Nesse encapsulamento a respectiva camada acoplar seu prprio cabealho, que o seu identificador e identificador do contedo em trfego e processamento. Aps isso, este encapsulado ser enviado a prxima camada, num nvel mais baixo, at chegarem no 1 nvel, quando estaro prontas para serem transmitidas. As camadas esto desenhadas como: Camada 7 Aplicao: Como seu nome diz, o aplicativo, o

programa utilizado. Essa camada representa todos os programas envolvidos na comunicao da rede e no da rede em si. Essa camada e os programas nela contido utilizam o nvel abaixo (6), para comunicar-se pela rede. Camada 6 Apresentao: Essa camada serve de preparao para

os dados do domnio local e ajuste para um formato compatvel com os procedimentos do transporte. nessa camada que a padronizao dos diferentes tipos de dados ajustada para transporte na rede, indiferente da implementao nas camadas inferiores. nessa camada que criptografia e compresso de dados so executadas, em geral pela prpria aplicao. Camada 5 Sesso: responsvel pelo estabelecimento de conexo

entre dois computadores em comunicao. Nesta camada que o dilogo entre as aplicaes locais e remotas so controlados. Ainda nessa camada que blocos de dados so criados, para envio posterior, caso haja alguma interrupo na conectividade. Camada 4 Transporte: Responsvel por fornecer meios para que os

ns locais e remotos possam trocar informaes, nessa camada que um tnel entre a camada 5 local e a camada 5 remota (caso necessrio) ser criada. dita como orientada a conexo. Camada 3 Rede: Nesta camada a atuao em nvel de hardware,

diferente das camadas acima onde a atuao em software. Esta camada detentora de toda a topologia e distribuio da rede e com isso sabe como 17

encontrar um equipamento especfico da rede, de forma direta. Diferente da camada de transporte (4), esta no orientada a conexo. Outra caracterstica desta que os pacotes de dados enviados por ela, no apresentam garantia de entrega, podendo chegar ou no ao destino. Camada 2 Enlace: Responsvel pela comunicao direta entre duas

interfaces numa mesma rede tem conhecimento exclusivo de sua rede. a camada responsvel pela coleta e entrega de pacotes interface de rede correta. Tambm nesta que a deteco de erros feita. Camada 1 Fsica: responsvel pelo envio dos frames aos meios

fsicos, ou seja, feita a converso do meio em sinal, por exemplo: meio eltrico em sinal eltrico; meio luminoso em sinal luminoso; meio sonoro em sinal sonoro, etc. Esta converso feita a partir do sistema binrio (0 ou 1).

2.1.3 REDES DE COMPUTADORES TIPOS DE REDES Os tipos de redes podem ser diferenciados por: Localizao Geogrfica, Arquitetura de Rede, Topologia e Meio de Transmisso. Baseado na Localizao Geogrfica (Cant, 2003) descreve as redes como sendo: LAN: Local Area Network Rede de rea Local so as redes

pertencentes a uma mesma organizao e interligados entre si em pequena rea geogrfica. Uma rede local a representao mais simples de redes e sua velocidade de transferncia de dados pode variar entre 10 Mbps e 1 Gbps, de acordo com as configuraes dos adaptadores de rede dos equipamentos, onde o padro dos equipamentos Brasileiros ainda so 100 Mbps.

18

Figura 4 - Exemplo de Rede de rea Local (LAN)

WLAN: Wireless Local Area Network Rede de rea Local Sem Fio

similar s redes Lans, so as redes pertencentes a uma mesma organizao e interligados entre si em pequena rea geogrfica, porm com conexo sem fio. Esta rede a comumente usada em Smartphones, Notebooks e outros equipamentos portteis.

N LA W
AN WL
WLA N
WLAN

LAN

LAN

Figura 5 - Exemplo de Rede de rea Local Sem Fio (WLAN)

19

WAN: Wide Area Network Rede de Longa Distncia so as redes

que abrangem grandes reas geogrficas, interligando redes locais segmentadas, de diferentes localidades. Essas lans segmentadas so chamadas de sub-redes. WANs surgem e so necessrias devido crescimento das empresas que fisicamente aumentam suas dimenses de atuao, montando escritrios remotos, fbricas estrategicamente

posicionadas, home offices e outras lans, que devem ser interligadas, sendo esse o papel da WAN.

LAN

LAN

WAN

LAN

LAN

Figura 6 - Exemplo de Rede de Longa Distncia (WAN)

MAN: Metropolitan Area Network Rede de rea Metropolitana so

as redes ocupantes de permetro de uma cidade. So redes de alta velocidade de trafego que permitem conectividade entre setores de uma mesma cidade (empresas em diferentes bairros e regies). Esse tipo de rede tem sido difundido principalmente pelas redes de TV a Cabo, para comercializao de sinal de internet e televisivo.

20

MAN

Figura 7 - Exemplo de Rede de rea Metropolitana (MAN)

Os tipos de rede descritos so os principais, mas ainda existem: SAN (Storage Area Network) PAN (Personal Area Network) WMAN (Wireless Metropolitan Area Network) WWAN (Wireless Wide Area Network) RAN (Regional Area Network) CAN (Controller Area Network)

Todos os tipos de redes citados acima so baseados por sua localizao geogrfica, e com isso cada um tem uma abrangncia que minimiza ou maximiza sua utilidade. Seguindo com os tipos de redes, baseado na sua arquitetura, cita-se: ARCNET Attached Resource Computer Network Rede de Computador com Recurso Anexado Assim como Ethernet e Controller Area Network (CAN), ARCnet uma tecnologia de camada de link de dados sem camada de aplicao definida. Designers de Softwares e/ou Redes escrevem sua prpria camada de aplicao para atender s suas necessidades 21

especficas e muitas vezes no anunciar o fato de que ARCnet est sendo usada. ARCnet no recebe o reconhecimento do nome, mas

frequentemente a rede de escolha em aplicaes embarcadas. Ela est oculta aos usurios, mas possui cerca de 22 milhes de ns comercializados, o que d credibilidade e torna a ARCnet realmente popular. Com forte atuao no campo da automao de escritrios e indstrias extremamente popular no Japo, Amrica e Europa e est introduzindo-se na China, por intermdio das Universidades, que cada vez mais a integram em seus projetos. (ARCNET Trade Association, 2002) Ethernet desenhada como tecnologia de conexo de redes LAN

baseada no envio de pacotes, passou por algumas mudanas deste seu surgimento e tem em seu formato atual o papel de definio do cabeamento e sinais eltricos da camada Fsica de protocolos e formato de pacotes e protocolos para MAC no modelo OSI. Este tipo de rede se popularizou e tomou grande parte dos acessos dos demais tipos nas redes LAN. (PARC, 2002)

Figura 8 - Arquitetura Original de Ethernet. Fonte: (Tanenbaum, 2002)

Token ring com operao na camada fsica e de enlace no Modelo

OSI (variando de acordo com sua aplicao). Essa topologia trabalha em anel (ring), circulando uma ficha (token) pelos equipamentos, por isso seu nome. Essa ficha circula infinitamente na rede, descarregando seu contedo nos equipamentos destino, mas caso circule no anel todo e no localize o destino, um aviso de erro ser reportado ao emissor. Como dito, a circulao infinita, mesmo que a ficha esteja vazia. Essa caracterstica de circulao infinita cria a dependncia de todos os equipamentos estarem interligados e em funcionamento. (CISCO, 2009) 22

Figura 9 - Arquitetura Token Ring

Por se tratarem das principais arquiteturas de comunicao Lan, as trs tecnologias apresentadas acima (ARCnet, Ethernet e Token Ring) so as principais arquiteturas encontradas em ambientes industriais. (Lugli, et al., 2009) Porm existem ainda as arquiteturas usadas principalmente em comunicao a longas distancias: FDDI (Fiber Distributed Data Interface) ISDN (Integrated Service Digital Network) Frame Relay ATM (Asynchronous Transfer Mode) X.25 DSL (Digital Subscriber Line)

Tambm foi citado que os tipos de redes podem variar quanto a sua Topologia, com base em (Tanenbaum, 2002) tem-se:

Rede em Anel: topologia da arquitetura Token Ring, necessrio que

todos os equipamentos conectorizados estejam ativos para que os dados trafeguem normalmente. 23

Rede em Anel
Figura 10 - Exemplo de Topologia em Anel

Rede em Barramento: essa topologia avanou em relao a em Anel,

pois independe de todos os equipamentos ativos, porm ainda possui a dependncia de apenas um equipamento escrever na rede por vez e os demais apenas leem. Esse tipo de rede incide em muitas colises, que so os problemas de tentativa de escrita simultnea entre equipamentos.

Rede em Barramento
Figura 11 Exemplo de Topologia em Barramento

24

Rede em Estrela: essa topologia exige a existncia de um

concentrador de rede, onde todos os perifricos conectorizados a rede, estaro conectorizados a ele. Esse concentrador o nico a conhecer todos os equipamentos da rede, bem como s ele consegue se conectar a todos. Esse tipo de topologia bastante comum, apesar da dependncia do concentrador, pois detm um maior tempo de conectividade da rede.

Rede em Estrela
Figura 12 - Exemplo de Topologia Estrela

Rede em Malha: com foco exclusivo a redes sem fio, tem sua

infraestrutura composta por APs, onde estes se comunicam entre si, fechando ento a malha de comunicao. Um equipamento cliente pode se conectar em qualquer AP (integrante da malha) que conseguir acesso ao contedo destino. Estes APs funcionaro como repetidores e pode estar conectado a diferentes malhas, com isso um contedo pode ser acessvel por diferentes caminhos lgicos e fsicos. Por se tratar de uma tecnologia de baixo custo, fcil implantao e principalmente alta tolerncia a falhas e roteamento dinmico, tem sido 25

comumente utilizada em ambientes hostis, como indstrias, condomnios e ambientes de media distancia. A Figura 13 representa estaes conectadas a APs e estes conectados entre si. Indiferente da proximidade de um AP, a conectividade a ele se dar pela carga que o mesmo estiver carregando, ou seja, se muitos equipamentos estiverem conectados ao mesmo AP, este redirecionar os equipamentos para outro.

Figura 13 - Exemplo de Rede em Malha

Rede Ponto-a-Ponto: Conforme (Andraschko & Sponholz, 2008):

A maioria dos sistemas em uso em plataformas WEB so sistemas distribudos e interagem em uma arquitetura convencional de clienteservidor, onde cada cliente utiliza um protocolo especfico operao requerida. Essa abordagem concentra as operaes no servidor, requerendo assim um equipamento de hardware e um sistema operacional em profunda sintonia com os demais sistemas em execuo, pois o aumento de processamentos (diga-se simultneo) afeta diretamente a desempenho do equipamento e com isso a qualidade de retorno (resultado) do aplicativo ao usurio. Rede Peer-To-Peer, ou apenas P2P uma tecnologia a qual seus estudiosos, desenvolvedores e usurios vislumbram sanar o problema citado, pois a mesma segue a premissa de no concentrar todas as operaes em uma nica estao (servidor), atuando ento no modelo Descentralizado. Essa topologia descentralizada auxilia ainda na expanso da rede, pois uma estao (seja computador ou outro equipamento) que possua uma interface de rede capaz de adquirir um endereo IP, pode facilmente ingressar a rede, sem prvia autorizao de um servidor, ou mesmo sem que haja alteraes na estrutura lgica ou fsica da rede. Os requisitos para que tal estao ingresse na rede P2P, possuir um meio de ligao e um aplicativo compatvel com o da rede. As redes P2P exploram a conectividade entre seus integrantes, utilizando os recursos fsicos e lgicos disponveis (processador, memria, entre outros) do equipamento, fazendo com que a capacidade da rede cresa em larga escala.

26

Devido facilidade de ingresso, aos recursos disponveis e a falta de um servidor central monitorando essas redes, impossvel diagnosticar com exatido o tamanho atual e o tamanho que uma rede P2P pode atingir.

Rede em P2P
Figura 14 - Exemplo Rede Ponto-a-Ponto

2.2

AUTOMAO INDUSTRIAL Automao Industrial o campo de estudos prticos e tericos que

caracteriza a aplicao de tcnicas, softwares e equipamentos, em um determinado processo industrial, sempre objetivando a maximizao da produo e o aumento da eficincia da mesma. (Martins, 2012) Cita ainda que automao visa tal maximizao, reduzindo ou com o menor consumo de energia e matria prima possvel e com isso a menor emisso de resduos qualquer que seja a espcie, inclusive humano (mo de obra), assim como melhoria nas condies de segurana. (Martins, 2012) Tambm refere-se a Automao mo somente como uma mecanizao do processo, mas tambm como o uso da tecnologia eletroeletrnica e computacional para o atingimento dos itens citados e ainda para reduo do esforo humano em tais atividades, assegurando-os e aumentando a preciso das atividades. Na automao trs grandes reas so abordadas: 27

Eltrica: pelo conhecimento de motores e seus acionamentos e a

eletrnica dos comandos e controles. Mecnica: pelo conhecimento de engrenagens e afins e pela grande

capacidade de transformao de matria-prima em produto acabado Computao: pelo conhecimento dos bancos de dados, redes e

sistemas.

2.2.1 AUTOMAO EQUIPAMENTOS E PROTOCOLOS Atualmente a rea mais aparente da automao industrial a Robtica, porm no somente. Devido a gama de reas que usufruem da automao, vrios so os equipamentos envolvidos na automao industrial. Como citado no item 2.2, eletroeletrnicos ou computacionais faz parte dos equipamentos utilizados em automao industrial, porm destes pode-se destacar os mais comuns, como: CLPs Microcontrolveis e SDCD e tratando-se de redes: Switchs e Concentradores, Cabeamentos e Barramentos e Interconectores especficos, alm de protocolos prprios como CAN OPEN, PROFIBUS, MODBUS e Devicenet2. Estes protocolos so ditos prprios por atuarem em conectividade ou controle de equipamentos especficos de automao, como Vlvulas, Sensores, Atuadores Mecnicos e Eletromecnicos. Vale ressaltar que tais barramentos atuam de forma especfica, mas no isolada, ou seja, conectam equipamentos de automao, porm comunicase com redes comerciais, principalmente por serem oriundos (em sua arquitetura) de tais redes. Um item importante ao tratar de redes e sistemas de automao so os sistemas supervisrios ou de superviso, SCADA (Figura 15), os quais executam exatamente a integrao citada no pargrafo acima, fazendo com que processos e outros acompanhamentos sejam difundidos e obtidos tanto a partir dos

equipamentos de automao quanto dos sistemas comerciais.

Todos estes protocolos tm como protocolos base os tipos comerciais, como Ethernet.

28

Figura 15 - Exemplo de tela de sistema SCADA. Fonte: www.theverge.com

Figura 16 - Exemplo de rede de Sistemas Supervisrios. Fonte: (DJIEV, 2003)

29

2.2.2 AUTOMAO INDUSTRIAL MODELO DE REDE INDUSTRIAL Assim com as redes de computadores residenciais e comerciais, as redes industriais, interligando equipamentos (mquinas e outros dispositivos) e

computadores, promovem o aumento da produtividade e o surgimento de novas oportunidades e novas funcionalidades, alm claro das informaes trafegadas, sua confiabilidade e velocidade de transmisso, melhorando para o gerenciamento de produes, melhoria nas configuraes de equipamentos, entre outros. Devido ento a essa e outras facilidades, as demandas de tais redes aumentam consideravelmente, como cita (The Internacional Society of Automation, 2012) e devido a isso, propem um modelo de referncia para redes industriais de automao. Esse modelo descrito em 6 nveis (sendo do 5 ao 0), como segue:

Figura 17 Modelo de Arquitetura de Rede Industrial para Automao.

30

Fonte: (The Internacional Society of Automation, 2012)

Nvel 5 Corporativo: Inclui os sistemas corporativos da empresa,

como ERPs SIGs, Sutes de E-mail, Intranet, entre outros. Nvel 4 Planejamento de Negcios e Logstica: Inclui Sistemas de

Planejamento da Produo, Gerenciamento Operacional, Gerenciamento de Manuteno e Inspeo, Sistemas MES. Nvel 3 Operaes de Manufatura e Controle: Inclui Sistemas de

Planejamento detalhado de Produo, Gerao de Dados Histricos ( PIMS), Anlise offline dos dados para funes de suporte de engenharia, otimizao de custos para reas de produo especficas, consolidao de relatrios de produo. Nvel 2 Operao, controle e superviso: Inclui as funes de

operao da planta de produo. Os sistemas deste nvel so responsveis por prover uma interface homem-mquina para o operador, gerar alarmes e alertas para o operador, funes de controle e superviso e gerar dados histricos com curto perodo de armazenamento. Os protocolo de redes do nvel 2 so: FieldBus HSE, PROFInet, EtherNet/IP, Modbus/TCP, OPC. Nvel 1 Controle bsico de processo: Inclui os equipamentos de

controle e monitorao, ligados aos sensores (instrumentos de medio de variveis de processo) e elementos finais de controle do processo (vlvulas de controle, motores eltricos e outros). Equipamentos de monitorao so responsveis pela leitura dos dados dos sensores e assegurando o histrico de processo. E os equipamentos de controle so responsveis pela leitura dos dados dos sensores, enviando dados para o elemento final de controle e assegurando o histrico de processo. Neste nvel esto os SDCDs, CLPs e RTU's e os protocolos de rede so: DH+, DeviceNet, Modbus/TCP. Nvel 0 Rede de campo: Sendo este o nvel primrio da rede

industrial, est disposto em cho de fbrica e inclui os sensores e elementos finais de controle que so conectados ao processo ou aos equipamentos de um processo industrial. Os sensores so responsveis por medir a varivel do processo (presso, temperatura, nvel, fluxo e outros) e convert-la em um sinal padro a ser enviado ao equipamento de controle. Os transmissores, os 31

analisadores e os transdutores, so exemplos de sensores. E os elementos finais de controle, so responsveis por receber o sinal de correo do controlador, e atuar no processo, de modo a manter o equilbrio desejado do processo. As vlvulas de controle e os motores eltricos so exemplos deste tipo de equipamento. Protocolos de redes deste nvel: FieldBus H1, Profibus PA, Profibus DP, AS-i, Modbus/TCP. 2.3 SEGURANA DE REDES Segurana de redes, como prprio nome diz, a rea de redes responsvel pela segurana, seja ela das informaes trafegadas como da prpria rede fsica. Essa rea de redes tem em seu escopo o desenho, provisionamento, execuo e manuteno das polticas e aes englobadas pelas mesmas, tais como:

Segurana preventiva Segurana reativa Tcnicas de Ataque Ataque Interno Ataque por Spoofing Ataque por Sniffer Ataque por DOS Ataque por Malware Ataque por Vrus Ataque por Spam Ataque por Worm Ataque por Trojan Ataque por Spyware Ferramentas de Segurana Auditoria de Segurana Segurana Fsica

32

Existem outros itens abordados pela segurana de redes e de informaes que trafegam pelas redes, onde (NIC BR Security Ofce, 2003) cita que todos eles se baseiam na trade:

Confidencialidade Integridade Disponibilidade

Figura 18 - Trade CID

Ainda existem autores, como exemplo (Bishop, 2002) que citam um quarto elemento: Autenticidade

O objetivo dessa trade ou qudrupla assegurar ou minimizar que acessos, modificaes, servios e dados sejam usurpados, roubados e/ou disseminados de forma ilcita, descontrolada e desgovernada pelas redes, tornando-as um local inseguro e no confivel (Bishop, 2002). Em (NIC BR Security Ofce, 2003) apresentado um documento padro de segurana da informao de uma rede, cobrindo uma variedade de redes, pblicas e privadas, indiferente da natureza econmica, financeira, fsica e de produtividade, sendo uma documentao padronizada pela norma ISO/IEC 27002:2005 (para fins de registros de continuidade da norma, tambm pode ser dita ISO/IEC 17799:2005, (International Organization for Standardization, 2005).

33

2.3.1 ATAQUES MOTIVAES E TCNICAS Ataques a redes de computadores so efetuados de diversas formas e com diversos propsitos. Atualmente qualquer equipamento que esteja conectado a uma rede, principalmente se conectado internet, est sujeito a um ataque, assim como pode participar de um ataque. (Comit Gestor da Internet no Brasil, 2012) Os principais motivos de ataques s redes so: Demonstrao de Poder: Mostrar que a rede pode ser invadida e

assim obter vantagens contra o proprietrio da mesma. Prestgio: Vangloriar-se perante outros atacantes do feito. Motivaes Financeiras: Coletar e utilizar informaes confidenciais,

aplicando golpes. Motivaes Ideolgicas: Ir contra redes que exponham contedo de

opinio contrria a sua. Motivaes Comerciais: Tornar redes de concorrentes inacessveis,

comprometendo a reputao destas empresas.

Para atingimento destes motivos inmeras tcnicas podem ser usadas, onde as mais comuns so: Explorao de Vulnerabilidades: visa buscar uma brecha de

segurana na aplicao e/ou rede, onde o resultado a violao da mesma, como por exemplo: Falhas de Projetos, na implementao ou configurao de aplicativos, servios ou equipamentos de rede. Scan: varredura em rede consiste em efetuar buscas minuciosas a fim

de identificar equipamentos ativos e coletar suas informaes. Com base nestas informaes outros tipos de ataques podero ser usados, como por exemplo, a Explorao de Vulnerabilidades. Scan quando associada a Explorao de Vulnerabilidades pode ser usada de forma Legtima quando se testa a segurana do ambiente e de forma Maliciosa quando usada como forma de ataque. Falsificao de Email: consiste em alterar campos de cabealho de e-

mail, de forma a apresentar o mesmo como se fosse enviado por outra pessoa, ou seja, como se algum conhecido estivesse enviando. 34

Sniffing: Interceptao de Trfego consiste em inspecionar os dados

trafegados na rede e assim como Scan, apresenta a forma Legtima, quando usada para deteco de problemas e Maliciosa quando usada para ataques e furtos de contedo. Fora Bruta: consiste em forar a descoberta da senha, nome de

usurio ou outro item de segurana, por tentativa e erro e assim obter acesso irrestrito com altas permisses ao ambiente atacado. Este tipo de ataque, mesmo se sem sucesso, pode acarretar outros problemas, pois pode causar indisponibilidade no ambiente se exposto por muito tempo em atividade maliciosa. Negao de Servios: O objetivo deste ataque no a invaso, mas sim a inoperncia do atacado, como por exemplo, derrubar um servidor ou site, principalmente pelo excesso de comunicaes e conexes.

2.3.2 ATAQUES MALWARES E OUTRAS AMEAAS Assim como no item anterior (2.3.1), malwares faz parte do escopo da Segurana de Redes, sendo um item abordado em separado, principalmente pela quantidade de causadores encontrados nas redes, pelos estragos feitos e pela dificuldade de eliminao (parcial ou completa) sem danos aos atacados. (Norton Brasil, 2012) Dentre os malware, os mais comuns e disseminados so: Vrus: na Biologia vrus tratado como uma ameaa muito pequena

que atinge e usufrui de sistemas mais complexos para sua sobrevivncia, como refere (International Committee on Taxonomy of Viruses, 2012). Na Computao os vrus seguem exatamente essa prtica, sendo que os mesmos visam infectar o sistema, se aproveitando do mesmo para se multiplicar e disseminar-se pela rede. A principal via de liberao e proliferao dos vrus diretamente pelos usurios, por meio de mdias, emails e arquivos infectados e tambm sistemas desatualizados e com vulnerabilidades aparentes. Uma caracterstica do vrus que, em geral, ele depende de outro aplicativo ou sistema ou at mesmo hardware e usurio para sua difuso. 35

Worm: ou verme em portugus, caracteriza-se por ser semelhante a

um vrus, porm sem a necessidade de outro aplicativo para propagar-se. Devido a esta caraterstica auto replicante pode ser prejudicar em massa, rapidamente, destruindo redes, arquivos, sistemas e outros. Spam: termo usado para referir-se a e-mails no solicitados,

geralmente enviados em massa, ou seja, a um grande nmero de usurios, seu contedo pode conter alguma ameaa ou ser meramente comercial. (Neste segundo caso, spam tambm chamado de UCE Unsolicited Commercial E-mail E-mail Comercial No Solicitado). J como item realmente malicioso, spam pode agregar outros maliciosos, como keylogger, trojans, cavalos de tria e outros e um atrativo parceiro, pela sua principal caracterstica, a base de conhecimento de contatos de usurios e dispositivos. Cavalo de Tria: Tambm conhecido como Trojan, assim como na

lenda de tria este malware visa entrada ao equipamento/sistema sem suspeitas, para que possa ento liberar o acesso a uma possvel invaso de outro malware, este sim realmente nocivo. Este tipo de ameaa, sozinho, no causa danos ao atacado, porm evidncia as vulnerabilidades do sistema e/ou se aproveita da interao do usurio. Backdoor: malware com intuito de permitir a invaso de um sistema por um Cracker3 para que o mesmo obtenha controle total sobre equipamento ou software afetado. Em geral este tipo de malware serve apenas como porteiro para outros maliciosos (vrus e worms, por exemplo). Spyware: sendo este um programa automtico, que visa a absoro

dos dados do usurio, como seus dados pessoais, costumes, tipos e locais (websites) de acessos e os transmite para o invasor proprietrio, para que o mesmo utilize tais informaes para causas maiores como um segundo ataque. Este tipo de malware difere dos Trojans por no terem como objetivo o domnio do sistema, ao contrrio, ele depende que o sistema esteja livremente em uso pelo usurio para que sejam coletados os seus dados pessoais.

Cracker: tipo de hacker (invasor) o qual visa destruio, roubo ou deleo do sistema ou de suas informaes.

36

Keylogger: sendo um tipo de spyware, sua finalidade registrar tudo

que digitado, com intuito de capturar senhas, nmeros de cartes de crditos e contas correntes e outros. O uso deste nocivo uma das principais causas de ataques com perdas financeiras e faz com que as instituies bancrias cada vez mais se preocupem com eles, criando mecanismos contra a leitura de teclas pressionadas ou sensveis a toques. Exploit: um conjunto de comandos ou programas usados para fins

nocivos, de invaso. Esta srie de comandos usada para a explorar as vulnerabilidades e falhas dos sistemas, assegurando a entrada do invasor. Em geral os mtodos de explorao no so divulgados e seu uso em massa se deve aos atacantes menos experientes, conhecidos como Script Kiddies e conhecedores das tcnicas de ataque e das vulnerabilidades dos sistemas. Ataques Internos: o tipo de ataque onde no precisa existir um

software nocivo. O Ataque interno caracterizado quando usurios autorizados ou no, efetuam aes maliciosas. Este tipo de ataque j mais danoso que muitos ataques externos.

2.3.3 FALHAS DE SEGURANA DA INFORMAO EM AMBIENTE DE REDE DE AUTOMAO INDUSTRIAL O avano e a facilidade de acesso tecnolgico, como j citado, um atrativo ao conhecimento das redes, de seus protocolos e estruturas e de novas tecnologias e com isso a explorao de suas vulnerabilidades e ao descobrimento de suas falhas, (Runge Filho, 2012). No ambiente de rede industrial, principalmente da automao industrial, por agregarem uma gama de itens suscetveis a falhas, as vulnerabilidades so mais aparentes. Porm alguns desses itens requerem destaque (distintas pelo meio de ao): Fsicas: a) Aumento de redes (cabeamentos, switches e outros perifricos) conectados aos Sistemas SCADA; b) Instalaes inadequadas; 37

c) Falta de equipamentos de segurana (extintores, detectores de fumaa, controle de humidade e temperatura, etc.) d) Desorganizao de cabeamentos e equipamentos; Hardware: a) Defeito de Fabricao; b) Defeito de Configurao; c) M conservao do equipamento; Software: a) Aumento de Aplicativos conectados aos Sistemas SCADA; b) Falta e Falha no controle de acesso aos Sistemas; c) Falha na programao dos Sistemas; Armazenamento de Dados: a) Mdias externas (HD externo, DVD, Pen-drive, cd-roms, etc.) sem controle de uso; Comunicao: a) Falha ou ausncia na comunicao de dados entre perifricos e sistemas (podendo ser por questes de software, hardware ou fsicas (ambiente)). Humana: a) Falta de conhecimento tcnico dos sistemas, equipamentos, mdias externas, ou seja, do conjunto todo que envolve o ambiente tecnolgico. b) Conhecimento excessivo do ambiente, agregado a falha de controle de acesso, deixando o ambiente suscetvel a coleta e disseminao indevida das informaes.

Todas essas vulnerabilidades, agregadas as pragas e ataques virtuais (item 2.3 acima) tornam o ambiente das redes de automao industrial falho.

38

3 3.1

POLTICAS DE SEGURANA EM REDES INDUSTRIAIS POLTICA DE SEGURANA DA INFORMAO (S.I.) A (International Organization for Standardization, 2005) define que uma

Poltica de Segurana da Informao (S.I.) tem por objetivo prover direo da companhia uma orientao e apoio segurana da informao atravs da emisso e manuteno da poltica toda organizao. Baseado na descrio da (International Organization for Standardization, 2005), pode-se expandir a poltica de segurana da informao, onde se deve ter um documento bem definido e difundido a toda a organizao, visando assim o conhecimento de todos e mais, visando o entendimento e a integrao de todos na prtica das mesmas, sem distino funcional do colaborador e com isso atuar na democratizao e difuso do conhecimento, sem, ou melhor, minimizando os impactos nocivos s redes e bases de dados e informaes. 3.1.1 POLTICA DE S.I. PREMISSAS Entendida a necessidade de uma poltica de segurana da informao, se faz necessrio que algumas premissas sejam vistas, pois s assim assegurar-se- que as boas prticas j existentes sejam seguidas e assim impactos negativos surjam antes mesmo da difuso do documento de poltica de segurana da informao. Essas premissas so elaboradas por rgos respaldados e responsveis pela padronizao (nos seus pases de origem ou em mbito mundial): etc.). Entender as necessidades da empresa Obter informaes sobre os ambientes de negcios Obteno dos procedimentos, normas e padres (ABNT, SOX, ISO,

Conforme (Runge Filho, 2012), aps entendidas essas premissas, pode-se ento partir ao desenvolvimento do contedo (documento) das polticas de segurana da informao.

39

3.1.2 POLTICA DE S.I. DOCUMENTAO Dito anteriormente, a poltica orientar a direo da empresa, por isso o ideal que o documento da poltica seja se no escrito com participao, aprovado pela direo ou gerncia ou outro cargo de alta gesto. Novamente frisa-se que o documento deve ser difundido e estar ao alcance de todos e que seja de conhecimento de todos. As informaes mnimas sugeridas por (International Organization for Standardization, 2005) so: a Definio de segurana da informao, resumo das metas e escopo e importncia da segurana como um mecanismo que habilita o

compartilhamento da informao; Declarao do comprometimento da alta direo, apoiando as metas e

princpios da segurana da informao; Breve explanao das polticas, princpios, padres e requisitos de

conformidade de importncia especfica para a organizao, por exemplo: a) Conformidade com a legislao e clusulas contratuais; b) Requisitos na educao de segurana; c) Preveno e deteco de vrus e software maliciosos; d) Gesto da continuidade do negcio; e) Consequncias das violaes na poltica de segurana da informao; f) Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; g) Referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

Os itens listados acima tambm so referenciados por (Runge Filho, 2012) como itens obrigatrios da documentao, numa forma mais simples e entendvel, traduzida na linguagem do usurio: Utilizao dos Recursos de TI: Utilizar os recursos tecnolgicos 40

estritamente para fins profissionais;

 digital;

Titularidade das informaes da Empresa: Definir que todos os

dados e informaes pertencem empresa; Segurana das informaes / Sigilo da Informao: Definir quais

dados e informaes so confidenciais; Estaes de trabalho: Sempre bloquear quando o usurio se

ausentar, senhas, definir utilizao de CD, USB, etc; Proteo contra Malwares: Manter sempre atualizado o antivrus; Softwares no homologados: Respeitar as licenas e autorizaes

para uso de software; Criptografia: Mtodos de mascarar os dados, por exemplo, Assinatura

Advertncias: Discriminar os nveis de punies (leves, mdias e

graves) e os casos em que so aplicveis; Procedimentos para acesso internet: Regras de navegao, onde

devem ser criados os nveis de acesso, os contedos permitidos, gerar e armazenar o histrico de navegao, bem como o equipamento e usurio de navegao; Termos de Responsabilidade e de Confidencialidade: Tornar

pblico o documento, fazendo com que todos os colaboradores tomem cincia de sua existncia e faam uso do mesmo, comprovando o recebimento do mesmo e dos direitos, deveres e punies constantes em tal documentao.

3.1.3 POLTICA DE S.I. REVISO Para que a poltica tenha efetividade, preciso que tenha um gestor ou comit que seja responsvel por sua reviso, anlise crtica e manuteno, de acordo com regras j definidas e alinhadas com o negcio. Tambm preciso que este processo garanta que a anlise crtica ocorra como decorrncia de qualquer mudana que venha a afetar a avaliao de risco original, tais como um incidente de segurana significativo, novas vulnerabilidades ou mudanas organizacionais ou na infraestrutura tcnica.

41

Esta anlise crtica deve ter uma agenda definida e com itens de reviso definidos, para que no caia em desatualizao ou no conformidade com o negcio e suas reas: Efetividade da poltica, demonstrada pelo tipo, volume e impacto dos

incidentes de segurana registrados; Custo e impacto dos controles na eficincia do negcio; Efeitos das mudanas na tecnologia.

3.1.4 POLTICA DE S.I. E REDES INDUSTRIAIS Entendidas e definidas as polticas de segurana da informao, bem como difundidas entre os colaboradores, transport-las ao ambiente industrial torna-se automtico e facilitado. Aproveitando-se as regras gerais, tais como compartilhamento e

confidencialidade dos dados e outros citados no item acima, algumas regras exclusivas para polticas de segurana de redes industriais devem ser includas. Esta incluso necessria e capaz, por passarem por um processo evolutivo diferenciado, um processo evolutivo das 3 reas j citadas, da automao. Essa evoluo caracteriza uma nova viso e melhora de muitos processos e com isso o aumento do retorno financeiro. Contudo esse avano acompanhado por todos os avanos da tecnologia da informao, inclusive as periculosidades. Dito isso e como j citado, as redes industriais esto cada vez mais integradas as redes comerciais, o que faz realmente com que as inseguranas que antes eram isoladas das redes industriais, estejam cada vez mais frequentes, principalmente as vindas pela web e internet. Com isso os itens a serem includos na poltica de segurana para redes industriais devem ser: Acompanhamento tecnolgico e de pessoas baseado em normas de

segurana NBR e de outros rgos (quando por exigncia do cliente ou das atividades em exerccio). Ex1: Atuao na manipulao de equipamentos eltricos: NBR 10. Ex2: Atuao com risco ao Meio Ambiente: ISO 14001.

42

Gerenciamento de Continuidade do Servio baseado no somente nos

equipamentos de TI, mas principalmente nos equipamentos responsveis pelos repositrios e de automao. Monitoramento individualizado ou apartado do monitoramento da rede

de geral de TI (diga-se como rede comercial para efeito de visualizao), aumentando o controle sobre anomalias e tambm diagnsticos e a garantia de ininterrupo. Restrio de pessoas aos dados vitais das redes industriais e sua

manipulao (este item redunde poltica de S.I., porm importante cit-la, pois 3 reas da automao industrial sero envolvidas e devem delas partir a responsabilidade de controle e manuteno dos dados, ficando a TI isenta exceto pelo armazenamento dos dados). Deveres e direitos bem definidos e rgidos ao uso de equipamentos de

TI do ambiente de automao, principalmente no que tange a licenciamento, acesso internet e intranet e demais, pois se trata de um ambiente extremamente delicado (por sua criticidade e singularidade) e muitos destes acessos serem hostis ao ambiente em questo. Ex: Acesso a Webmail em computador do SCADA.

Agregados estes itens poltica ou criada uma poltica de segurana adicional para o ambiente Industrial sero minimizadas hostilidades e inseguranas das redes industriais.

3.2

DIRETRIZES INTERNACIONAIS DE S.I. PARA REDES INDUSTRIAIS No Brasil ainda no existe uma diretriz ou norma especfica para Segurana

da Informao em Redes Industriais, por isso, utiliza-se das polticas padres de S.I. adequando-as a este ambiente. Porm a comunidade internacional, detm algumas normativas. Especificamente a (ISA - The Instrumentations, Systems and Automation

Society, 2004), regula a norma ANSI/ISA 99, a qual visa estabelecer Segurana da Informao para Redes Industriais e a (NIST - National Institute of Standards and

43

Technology, 2012) estabelece um guia para Sistemas de Controle de Segurana para Industrias (ICS) atravs da NIST 800-82. Ambos os documentos so a base internacional para S.I. em redes industriais, mas ainda no esto com uso frequente no Brasil e isso evidenciado pela ausncia de referncias das normativas nos editais publicados em licitaes e/ou nos manuais de fabricantes/prestadores de servio nacionais.

44

ESCOPO DE SEGURANA PARA REDE INDUSTRIAL Com base no citado nos itens anteriores deste trabalho, principalmente no

que tange as normais internacionais (ANSI/ISA-99 e NIST 800-82), Diretrizes Internacionais de S.I. para Redes Industriais - cap. 3.2, temos como aes relevantes ao escopo de segurana da informao para redes industriais, os seguintes pontos: Analisar os riscos nas redes: realizar uma srie de atividades a fim

de levantar os riscos envolvidos nas redes, bem como os itens que os cercam. Estas atividades podem/devem ser: a) b) Inventrio dos componentes da rede Entrevistas com gestores e pessoas estratgicas na automao,

principalmente os responsveis pelas redes. c) d) e) f) Anlise das vulnerabilidades das redes industriais e corporativas Avaliao e estimativa dos riscos e impactos no negcio Definio de contrapartidas e planos de ao aos incidentes Definio de atuao preventiva e gesto continuada de S.I.

Alinhar padres com normas: deve ser realizada uma anlise

constante do status das redes industriais, para assegurar que estejam em conformidade com as normas, principalmente quando ocorrem mudanas no cenrio (redes) assim como quando ocorrem nas normas (revises e desmembramentos de normas). Para tanto necessrio: a) b) Manter o inventrio dos componentes da rede atualizado Avaliar os controles e polticas de S.I., bem como os nveis de

seguridade dos mesmos. c) Constante reviso dos planos e acompanhamento frequente das

alteraes das normas internacionais d) Relatrios frequentes de conformidade dos itens do plano de

ao e de continuidade, confrontando com as normas internacionais. Analisar o ambiente operacional SCADA: deve ser feita anlise das

vulnerabilidades no ambiente de operao SCADA, sendo principalmente averiguado o servidor e aplicativos que o compem (Sistema Operacional,

45

aplicativos conjuntos, Banco de dados, regras e permisses de acesso). Neste item os pontos relevantes so: a) Escaneamento constante e por ferramentas especificas e

atualizadas do sistema operacional do servidor b) Manter base de conhecimento das aes proativas de

segurana, das varreduras efetuadas e dos resultados obtidos c) Manter base de conhecimento seja por relatrios ou por banco

de dados, das principais vulnerabilidades sofridas, bem como das medidas tomadas para remedia-las. Dominar e dar suporte a segurana das redes industriais: aps

todos os itens acimas assimilados, assumisse que a equipe tcnica possui o domnio necessrio da rede industrial e com isso transpassa o nvel de segurana necessria para a mesma atuar em plenitude. Para certificar-se que h tal domnio e assim prestar os servios que garantam o funcionamento, preciso ento que, no mmino, os seguintes pontos realmente sejam dominados: a) Implementar procedimentos de governana para redes industriais b) Implementar, revisar e controlar a politica de segurana de redes, bem como de controle de acessos c) Conhecimento (documentado) d) Monitorar ambiente e sempre manter bases de testes e incidentes atualizadas e) Deter conhecimento para resoluo de problemas e/ou deter conhecimento de escalabilidade dos responsveis pela resoluo da localizao fsica dos equipamentos

46

DADOS COLETADOS JUNTO AOS USURIOS DE REDES INDUSTRIAIS Com intuito de levantar dados referentes ao mundo corporativo atual, foi

pesquisado por meio de formulrio eletrnico a colaboradores de diferentes reas de atuao ligadas s redes industriais, sobre as redes industriais e as falhas de segurana da informao encontradas pelos mesmos no dia-a-dia. A pesquisa inserida neste atravs do APNDICE A e divulgada aos entrevistados pelo website: https://docs.google.com/spreadsheet/viewform?fromEmail=true&formkey=dDl wc01FY1luZlJWOGJ1NElBMmc3blE6MQ Cita uma srie de tipos de redes de comunicao, tipos de sistemas em uso e falhas de segurana afim de traar um perfil das redes e seu status atual, do ponto de visto dos usurios. Os resultados encontrados esto em APNDICE B e tambm foram apresentados de forma parcial ao trmino da pesquisa. A compilao dos resultados mostra que

47

CONSIDERAES FINAIS Com o advento da internet e das redes globais integrando pessoas,

empresas, servios entre outros, est cada vez mais imprescindvel o cuidado com a segurana das informaes, de seus equipamentos, de seus dados pessoais, enfim, de sua rede de dados. As indstrias no se isolam desta situao, sendo deveras importante que mantenham suas redes de comunicao em constante atualizao e sob um olhar de segurana eficiente. Nesse olhar, setores como TI e Automao devem estar engajadas para que as ferramentas, mtricas e politicas sejam aplicadas e regidas com sucesso, pois o sucesso destes implica no sucesso da Indstria, assim como o insucesso poder levar ao Fracasso da empresa. Detalhes, ferramentas novas, culturas diversificadas, altos custos, ameaas internas e externas, falta de efetivo, falta de apoio gerencial entre outros, so os principais itens a serem considerados para a segurana das redes industriais, onde muitos deles so fatores que impedem o sucesso, mas que, se tratados com a devida importncia assegura o sucesso tambm. Com isso, pode-se concluir que na atualidade e em perodos futuros o fator segurana nas redes de comunicao industriais tem uma vital importncia e deve ser tratada como tal, sendo desenhada/projetada por profissionais capacitados, utilizando ferramentas que comportem tal segurana, com politicas e mtricas bem definidas, com usurios treinados, com o apoio gerencial e engajamento da alta direo, tudo para que haja rentabilidade das mesmas e alinhamento ao negocio, gerando ento a satisfao do cliente interno e externo, evitando a proliferao de malwares diversos pelas redes, minimizando cada vez mais as inseguranas.

48

REFERNCIAS BIBLIOGRFICAS F. R. & Sponholz, E., 2008. ESTUDO DE APLICAES

Andraschko,

DISTRIBUDAS P2P. Ponta Grossa - PR: s.n. Araujo, Available F., 2011. at: Os Protocolos de Rede. [Online]

http://www.inforlogia.com/os-protocolos-de-rede/

[Acesso em 05 Agosto 2012]. ARCNET Available [Acesso em 15 Agosto 2012]. ARPANet, Available 2012. at: Wikipedia ARPANet. [Online] Trade Association, 2002. at: ARCNET Trade Association. [Online]

http://www.arcnet.com/

http://pt.wikipedia.org/wiki/ARPANET

[Acesso em 05 Agosto 2012]. Bishop, M., 2002. Computer Security: Art and Science. s.l.:Addison-Wesley Professional. Cant, E., 2003. Redes de Computadores e Internet. So Jos: CEFET/SC. CISCO, Available 2009. at: Token Ring/IEEE 802.5. [Online]

http://docwiki.cisco.com/wiki/Token_Ring/IEEE_802.5

[Acesso em Agosto 2012]. Cogui, M. A., 2003. Critrios para seleo de redes para automao industrial. Revista Mecatrnica Atual, Setembro.Issue 11. Comit Gestor da Internet no Brasil, 2012. Cartilha de Segurana para Internet, v. 4.0. Available [Acesso em setembro 2012]. DJIEV, S., 2003. Industrial Networks for Communication and Control. Reading for Elements for Industrial Automation, Sofia: Technical University. International Committee on Taxonomy of Viruses, 2012. International Committee on Taxonomy Available [Acesso em 2012]. of at: Viruses. [Online] http://www.ictvonline.org/ at: [Online] http://cartilha.cert.br

49

International Organization for Standardization, 2005. ISO/IEC 17799:2005. [Online] Available at: http://www.iso.org/iso/catalogue_detail?csnumber=39612

[Acesso em 29 Agosto 2012]. Lugli, B. A., Santos, M. M. D. & Franco, L. R. H. R., 2009. Uma viso dos protocolos para redes Ethernet industriais e suas aplicaes. Martins, G. M., 2012. Princpios de Automao Industrial. Santa Maria - RS: UNIVERSIDADE FEDERAL DE SANTA MARIA. Martins, G. M., 2012. Princpios de Automao Industrial, Santa Maria - RS: Universidade Federal de Santa Maria. NIC BR Security Ofce, 2003. Praticas de Segurana para Administradores de Redes Internet, s.l.: s.n. Norton Available [Acesso em 2012]. PARC, Available [Acesso em Agosto 2012]. Portal GeoBrasil, 2007. Novo recorde marca incio da popularizao da Internet no Brasil: O nmero de usurios residenciais ativos atinge 16,3 milhes de brasileiros.. [Online] Available at: http://www.portalgeobrasil.org/info/material/dadoswebbrasil.pdf 2002. PARC at: A Xerox Company. [Online] Brasil, 2012. Firewall at: e Antivrus Norton Brasil. [Online]

http://br.norton.com/

http://www.parc.com/

[Acesso em Julho 2012]. Runge Filho, P. R., 2012. Polticas de Segurana da Informao, s.l.: s.n. Souza, R., 2012. CoooperaTI. [Online]

Available at: http://www.cooperati.com.br/wordpress/2012/08/02/camadas-modeloosi-analogia-correios/ [Acesso em 05 Agosto 2012]. Tanenbaum, A. S., 2002. Computer Networks. 4 ed. s.l.:Prentice Hall. The Internacional Society of at: Automation, 2012. ISA.org. [Online]

Available [Acesso em Agosto 2012].

http://www.isa.org

Torres, G., 2007. O Modelo de Referencia OSI para Protocolos de Rede. [Online] Available at: http://www.clubedohardware.com.br/artigos/O-Modelo-de-Referencia50

OSI-para-Protocolos-de-Rede/1349/4 [Acesso em 05 Agosto 2012].

51

APNDICE A Questionrio: Segurana de Redes de Comunicao para Sistemas de Automao Industrial Website: https://docs.google.com/spreadsheet/viewform?fromEmail=true&formkey=dDlwc01F Y1luZlJWOGJ1NElBMmc3blE6MQ

52

53

54

55

56

57

58

59

APNDICE B Resultados do Questionrio: Segurana de Redes de Comunicao para Sistemas de Automao Industrial Website: https://docs.google.com/spreadsheet/viewform?fromEmail=true&formkey=dDlwc01F Y1luZlJWOGJ1NElBMmc3blE6MQ

60

61

62

63

64

65

66

67

68

69