São 22:00; você sabe onde estão seus dados?

Quais são as informações mais importantes na sua rede de sistemas de controle? Se você é como a maioria dos profissionais de TO/TI de ciências da vida que conheço, conseguirá responder a essa pergunta antes mesmo de eu terminá-la.

Identificar dados importantes do sistema (e reconhecer a necessidade de protegê-los) é, de várias maneiras, a parte mais fácil. Mas projetar uma infraestrutura de rede que consiga ajudar a rede o risco de segurança cibernética e tirar proveito das mais recentes tecnologias da Internet das Coisas (IOT) podem ser algo difícil.

Certamente, as empresas de ciências biológicas de hoje reconhecem as vantagens de conectar mais informações em toda a empresa para aprimorar relatórios e registros eletrônicos de lotes, além de permitir análises avançadas e outras tecnologias digitais.

No entanto, na busca por maior conectividade, eles podem estar fazendo escolhas de rede que introduzem riscos sem querer.

Sua infraestrutura de rede é intencional ou não?

Pense nisso. Como você permite que sistemas diferentes compartilhem dados?

Obviamente, a maneira mais fácil de atingir esse objetivo é colocar tudo na mesma rede. E essa não é uma ocorrência incomum.

Por conveniência, uma organização pode decidir avançar com uma rede plana e não segmentada, em que as informações são trocadas livremente. De modo mais comum, uma rede não segmentada é um resultado não intencional de uma infraestrutura herdada que se expandiu ao longo do tempo sem o benefício de VLANs, firewalls e outros limites.

O problema com redes não segmentadas

Independentemente da causa, uma rede não segmentada pode facilitar o acesso e a comunicação, mas consegue isso com um preço elevado.

Primeiro, uma infraestrutura de rede plana e não segmentada expõe igualmente dados importantes (e não importantes) ao risco de segurança cibernética. Sem limites de rede ou limitações de acesso, os invasores podem explorar os pontos de entrada mais vulneráveis ​​e se aprofundar na rede ou em qualquer item conectado a ela.

O conteúdo em risco pode variar desde informações de fabricação e receita a dados de testes clínicos, preços e estratégias de marketing.

Além disso, uma rede não segmentada normalmente é uma rede ineficiente. As empresas podem não estar cientes inicialmente dos problemas de desempenho da rede simplesmente porque ainda conseguem realizar as operações que precisam. Porém, à medida que os sistemas são atualizados e novos recursos são adicionados, o tráfego da rede aumenta, as colisões e lentidões da rede ocorrem com mais frequência e problemas de produção geralmente surgem. 

Você ou alguém que você conhece já perdeu dados... ou a visibilidade do sistema? Isso acontece.  

Como parte de uma abordagem de defesa profunda, a segmentação de rede (ou a divisão de uma rede em redes menores) pode ajudar a reduzir o tráfego de transmissão desnecessário e limitar o que fica imediatamente disponível para um invasor.

Criação de segmentação em seu sistema     

Você considerou o projeto e o desempenho da rede ao criar seu sistema de automação? E como você incorpora a segmentação para ajudar a limitar o alcance de uma possível violação e aprimorar o desempenho da rede?

Na minha experiência, a maioria das empresas de ciências biológicas é ótima em gerenciar os processos de produção. Mas muitas simplesmente não percebem como as opções escolhidas afetam a infraestrutura de rede. Por conta disso, elas talvez desconheçam o escopo do conteúdo e os padrões de tráfego na infraestrutura existente, além dos riscos potenciais e das limitações de desempenho. 

Uma auditoria do sistema pode ajudar você a entender melhor qual conteúdo está incluído no sistema, como os dispositivos se comunicam e como as informações trafegam. Como uma primeira etapa, uma auditoria do sistema fornecerá as informações básicas necessárias para identificar riscos potenciais e avaliar as melhorias de desempenho.

Após a conclusão da auditoria, a realização de uma avaliação de risco alinhada às orientações da IEC 62443 é uma prática recomendada do setor que pode levar você ao caminho certo para um projeto e uma segmentação de rede melhores. 

A IEC 62443 é uma série de normas internacionais que oferecem uma estrutura flexível para tratar e reduzir vulnerabilidades de segurança atuais e futuras em sistemas de automação e controle industrial (IACS). Especificamente, a IEC 62443-3-2 oferece orientações de avaliação de risco.

Uma avaliação de risco fornecerá uma imagem da sua postura de segurança atual e o que você precisa fazer para alcançar um estado de risco aceitável.

Sem dúvida, você descobrirá que diferentes áreas do seu sistema têm diferentes necessidades de segurança. A avaliação de risco ajudará você a tomar decisões razoáveis ​​em relação ao nível de risco que você está disposto a correr para implementar novas tecnologias, além de como segmentar sua rede logicamente para atingir as metas de segurança e produtividade. 

Dependendo dos seus requisitos, você pode escolher vários métodos de segmentação, incluindo listas de controle de acesso, firewalls, VLANS, zonas desmilitarizadas industriais (IDMZ) e outras tecnologias. 

Proteção da sua instalação conectada

Lembre-se de que a segmentação de rede é apenas uma das muitas práticas recomendadas como parte de uma abordagem de defesa em profundidade para a segurança cibernética. Uma estratégia eficaz inclui várias camadas de proteção, que vão desde dispositivos de segurança física tão simples quanto portas, até sofisticadas proteções eletrônicas e de processos.

E uma estratégia eficaz é um processo contínuo que requer não apenas um projeto cuidadoso, mas também intervenção ativa e manutenção.

Aprenda como a Rockwell Automation pode ajudar você a projetar e manter seu sistema alinhado às orientações da IEC 62443. E confira nossas mais recentes certificações IEC 62443.