O documento propõe uma arquitetura de segurança para sistemas SCADA na distribuição de água com base nas normas ISO 27002 e ISA 99. A proposta sugere a arquitetura 8 do estudo GAIT, combinando firewalls e VLANs entre as redes de automação e corporativa, e complementa com mecanismos de autenticação e autorização RADIUS/LDAP. A validação ocorreu em ambiente de produção e laboratório para testar o processo de autenticação.

1. Segurança em Centro de
Controle da Operação para
Sistemas de Automação SCADA
na Distribuição de Água
Apresentação do Artigo
Sistemas de Proteção de Perímetro
Prof. Dr. Adilson Eduardo Guelfi
Aluno: Silvio Rocha

2. • Motivadores e Justificativa
• Objetivo
• Referencial Teórico
• Trabalhos Relacionados
• Proposta
• Validação
• Conclusão
Agenda

3. Motivadores e Justificativas
 Envolvimento com ambientes SCADAs no setor de saneamento com
foco na distribuição de água;
 A área de sistemas automatizados vem ganhando maior visibilidade nos
últimos anos e a sua utilização torna-se cada vez mais importante para os
negócios, principalmente pela sua integração com as redes corporativas;
 Garantir uma melhor proteção das informações que trafegam nas redes
de automação, que se atacadas podem ter grande impacto na sociedade;
 Os sistemas de controle e aquisição de dados (Supervisory Control and
Data Acquisition – SCADA) estavam protegidos de ataques externos e
internos graças a seus protocolos proprietários e redes isoladas;
 Com o crescente uso do padrão Ethernet nas estruturas de automação
industrial, esse ambiente vem convergindo para sistemas abertos e com
isso levanta a questão da segurança da informação.

4. Motivadores e Justificativas
Figura 1 – Compara três anos e
mostra o crescimento em
incidentes (azul) e o nível de
impacto (vermelho) para as
organizações que utilizem
sistemas de controle.
Figura 2 – Mostra a distribuição
por setor para todos os
incidentes relatados em 2011.
No setor de saneamento (água)
temos um elevado número de
incidentes devido as
características de acesso remoto
inseguro.

5. Objetivo
O objetivo do artigo é propor um modelo
de arquitetura conceitual de segurança,
gerenciamento e disponibilidade, tendo
por base as normas ISO 27002 e ISA 99
para os ambientes de automação no
saneamento, com foco principal no
processo de distribuição de água.

6. Referencial Teórico
Segurança da Informação
De uma maneira simplista, a grande maioria dos incidentes é causado
intencionalmente por pessoas maliciosas. Para tornar uma rede segura e
proteger contra ameaças e ataques, pode-se utilizar:
 Sistema de Detecção de Intruso – IDS
 Firewall
 Criptografia
 Tecnologias de Autenticação e Autorização
O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization
and Accounting) da IETF (Internet Engineering Task Force). Em segurança da
informação, o padrão AAA é uma referência aos protocolos relacionados com
os procedimentos de:
 autenticação;
 autorização e
 contabilização

7. Norma ISA 99 - Arquitetura da Automação Industrial
Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou
supervisórios, são sistemas digitais que provem supervisão, controle,
gerenciamento e monitoramento dos processos em tempo real.
 Unidade de Terminal Remota (Remote Terminal Unit – RUT)
 Controlador Lógico Programável (Programmable Logic Controller – PLC)
 Interface Homem-Máquina (Humam Machine Interface – HMI)
 Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc)
O RADIUS é um protocolo utilizado para disponibilizar acesso a redes
utilizando a arquitetura AAA.
Implementado em pontos de acesso sem fio, switches e outros tipos de
dispositivos que permitem acesso autenticado a redes de computadores. O
protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000).
O RADIUS foi idealizado para centralizar as atividades de Autenticação,
Autorização e Contabilização.

8. Trabalhos Relacionados
Tipo Tema Objetivo
Dissertação
Cibersegurança em sistemas
de automação em plantas de
tratamento de água.
Propor uma metodologia cujo foco seja e
minimização dos riscos de segurança.
Artigo
ICS-CERT Incident Response
Summary Report: 2009 –
2011.
Apresentar um resumo dos incidentes
cibernéticos e orinetar a defesa dos
ambientes de sistema de automação
contra ameaças cibernéticas emergentes.
Guia
Guia de Referência para a
Segurança das Infraestruturas
Críticas da Informação –
Versão 01 – Nov/2010.
Reunir métodos e instrumentos, visando
garantir a Segurança das Infraestruturas
Críticas da Informação e com isso
assegurar, dentro do espaço cibernético,
ações de segurança da informação e
comunicações como fundamentais para
garantir disponibilidade, integridade,
confidencialidade e autenticidade da
informação, no âmbito da Administração
Pública Federal.

9. Trabalhos Relacionados
Tipo Tema Objetivo
Norma ANSI/ISA–99
Segurança para Automação Industrial e
Sistemas de Controle: Terminologia,
Conceitos e Modelos
Artigo
Arquitetura de Segurança
da Informação em Redes
de Controle e Automação.
Ilustrar uma arquitetura de uma solução de
segurança para os diversos estágios de
evolução dos sistemas de automação que
compõem as instalações da Companhia
Hidro Elétrica do São Francisco – CHESF.
Guia
Firewall Deployment for
SCADA and Process
Control Networks – Good
Practice Guide - CPNI
Coleção de informações que foram
resumidas em um artigo em termos de
arquitetura de firewall, implantação,
concepção e gestão para determinar práticas
de segurança atuais.
Livro Industrial Network Security
Proteção de infraestruturas críticas, Redes
para Smart Grid, SCADA e outras sistemas
de controle industrial.
Norma ABNT NBR ISO/IEC 27002
Código de prática para a gestão da
segurança da informação.

10. Proposta
 A proposta desenvolvida foi norteada por todos os trabalhos
relacionados nessa apresentação, porém teve forte influência das
normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas
Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).
 Para o artigo optou-se pelo estudo dos modelos de arquitetura de
automação SCADA que pudessem se aplicados no setor de
saneamento, em especial distribuição de água.

11.  Com base na norma ISA 99, veremos no próximo
slide um diagrama de uma arquitetura recomendada
para uma série de situações práticas e mostra como
definir zonas de segurança.
Proposta

12. Proposta

13. Proposta
Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da
Informação Avançada (Group for Advanced Information Technology – GAIT)
que analisou implantações de redes SCADA e identificou oito arquiteturas:
Arquiteturas Segurança Gerenciamento Disponibilidade Pontuação
1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00
2) Servidor com duas interfaces de rede e com software de
firewall pessoal;
2,00 1,00 1,00 4,00
3) Filtragem de pacotes Router/Switch Camada 3 entre a
Rede de Controle de Processos e a Rede Corporativa;
2,00 2,00 4,00 8,00
4) Firewall com duas portas, uma na Rede de Controle de
Processos e outra na Rede Corporativa;
3,00 5,00 4,00 12,00
5) Combinação de Router/Firewall entre Rede de Controle
de Processos e Rede Corporativa;
3,50 3,00 4,00 10,50
6) Firewall com zonas desmilitarizadas entre a Rede de
Controle de Processos e a Rede Corporativa;
4,00 4,50 4,00 12,50
7) Firewalls emparelhados entre a Rede de Controle de
Processos e a Rede Corporativa;
5,00 3,00 3,50 11,50
8) Combinações de Firewall e VLAN entre a Rede de
Controle de Processos e a Rede Corporativa.
4,50 3,00 5,00 12,50
Pontuação aproximada para arquiteturas de redes SCADA
Pontuação (1 = Pior e 5 = Melhor)

14. Sistemas de
Negócio e
Informação
SCADA e
Sistemas
Supervisório
Automação
Industrial e
Sistemas de
Controle
SCADA DMZ
Proposta
Mesmo com essas diferenças funcionais entre as redes de automação e as
redes corporativas, a integração é necessário conforme já explanado.
Por essa razão é recomendado uma arquitetura segura e que para validação
desse artigo será adotado a arquitetura de número 8 – Combinações de
Firewall e VLAN entre Rede de Controle de Processos e a Rede
Corporativa.
Essa arquitetura será complementada de alguns mecanismos de proteção
de perímetro ligados a tecnologia de autenticação e autorização,
propostos pelo autor deste artigo.

15. Validação
Para validação da proposta utilizou-se de duas
situações:
 Ambiente existente de produção com os servidores SCADAs
segregados por VLAN;
 Ambiente de laboratório prático para validação do processo de
autenticação e autorização RADIUS, por meio do servidor
FreeRadius e serviço de diretório LDAP.

16. Centro de Controle
Rede de
Controle do
Processo
Estação de
Tratamento
de Água
Reservatórios
de Água
Rede Corporativa
Internet
Rede de
Automação
Rede de Automação no Campo
Servidor
Aplicação
Servidor
SCADA
Corporativo
Servidor
OPC
Servidor
RADIUS/
LDAP
Servidor
Historiador
HMI Local
HMI Local
HMI Local
Estação de
Tratamento
de Água
RTU ou PLC
RTU ou PLC
RTU ou PLC
Arquitetura Conceitual
Filias
Servidor
SCADA WEB
Rede Corporativa

17. Frame Relay
Automação
MPLS - Rede
Corporativa
RADIUS/MSCHAP
Servidor
RADIUS/LDAP
Servidor
Historiador
Servidor
SCADA WEB
Rede Corporativa
Servidor
Aplicação
Servidor
SCADA
Corporativo
Servidor
OPC
Rede de Controle do
Processo
Centro de Controle
802.1x/PEAP/MSCHAPv2
RADIUS/TLS
Arquitetura Física e Lógica
Rede IP
10.66.8.0/21
VLAN 2
Rede IP
172.21.0.0/24
VLAN 1
Firewall/NAT
Rede IP
192.168.0.0/24
Autenticação com 802.1x
Liberação de acesso na VLAN
Internet

18. Autenticação e autorização

19.  O acesso da rede corporativa é possível pelas regras de acessos
(Access Rules) aplicadas nos contextos da arquitetura proposta,
além do NAT entre a rede de automação e rede corporativa.
Firewall - DMZ

20. Conclusão
• Existe uma melhoria significativa na segurança com a utilização de
firewalls para separação das redes de processo das redes corporativas,
por meio de DMZ e Vlan;
• Utilizar um ambiente de rede que possua uma forma de autenticação e
autorização para acesso ao meio é uma das formas de aumentar a
segurança;
• Com o processo de autorização, somente usuários legítimos e
devidamente identificados tem acesso aos recursos disponíveis. Já o
processo de autorização fornece flexibilidade para implementar uma
hierarquia de acesso, bem como manter centralizada a base de usuários.