O documento discute a aplicação da norma IEC 62443 em usinas hidrelétricas. Primeiramente, apresenta os objetivos e sistemas típicos de usinas hidrelétricas. Em seguida, fornece uma visão geral da norma IEC 62443 e do método HAZOP para análise de riscos. Por fim, propõe um roteiro teórico para aplicação da norma em uma usina hidrelétrica média.
4. Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 4
Matriz energética brasileira
2016
Hidráulica: 71,5%
Gás: 8,7%
Eólica: 6,8%
2021
Hidráulica: 68,3%
Gás: 8,7%
Eólica: 9,7%
Fonte: ONS - Plano de Operação Energética 2017 / 2021
5. Sistemas típicos de Usinas Hidrelétricas
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 5
• Auxiliares elétricos e
mecânicos
• Máquinas hidráulicas e
elétricas
• Proteção elétrica
• Automação e controle
6. IEC 62443
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 6
Componente
Requisitos para
desenvolvimento de
produtos
Requisitos técnicos
de componentes
IACS
Geral
Conceitos e
modelos
Glossário
Métricas de
conformidade
Ciclo de vida dos
IACS
Sistema
Tecnologias de
segurança para
IACS
Avaliação de riscos
e design do
sistema
Requisitos e níveis
de segurança
Políticas &
Procedimentos
Requisitos para um
CSMS
Guia de
implementação de
um CSMS
Gerenciamento de
patches
Requisitos para
provedores de
IACS
7. Defesa em camadas
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 7
Conscientização e treinamento
Camada física Gateway
Camada de rede IDS, IPS, firewall
Camada de aplicação Monitoramento de aplicações
Integridade de dados Monitoramento de integridade de arquivos
Dados Gateway unidirecional
Acesso aos dados Controle de permissões
Gerenciamento de usuários IAM, AD
Acesso à rede NAC, ACL
Acesso físico Biometria, sistemas de acesso físico
Elemento humano
8. Análise de risco HAZOP
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 8
Identificar o processo/atividade a ser avaliado
Seccionar o processo em nós discretos descrevendo de forma sucinta
Descrever parâmetros relevantes
Selecionar uma palavra guia, aplicar e analisar
Repetir para todas as palavras guia
Repetir para todos os parâmetros
Repetir para todos os nós
9. HAZOP x SVA
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 9
HAZOP SVAs
Sistemática Parcialmente sistemática
Velocidade lenta Velocidade moderada
Detalhes específicos Mais geral
Custo alto Custo moderado
SVA – consiste na análise de ameaças e
vulnerabilidades associadas, assim como respectivas
probabilidades de serem exploradas
10. Reaproveitamento de know-how
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 10
A causa é
“hackeável”?
Os salvaguardas
são “hackeáveis”?
SIM Determine o nível de segurança
“SL” e, se necessário, uma
solução inerentemente segura
contra ataques cibernéticos
SIM
Próximo
cenário
NÃO NÃO
11. IEC 62443 - Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 11
INICIAR
PROGRAMA DE
CSMS
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
MANTER O CSMS
12. Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 12
ROTEIRO / ESTUDO
DE CASO TEÓRICO
13. Estudo de caso: UHE média
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 13
14. Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 14
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
MANTER O CSMS
INICIAR
PROGRAMA DE
CSMS
15. Início do CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 15
• Resultado esperado x ROI?
• Recursos financeiros para implementações iniciais?
• Recursos financeiros a curto, médio e longo prazo?
• Recursos de pessoal com especialistas em cada sistema?
• Necessário realizar contratações?
• A implementação será interna ou mista?
• O programa local ou do grupo?
• Expectativa de tempo para implementação?
16. Início do CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 16
TÓPICO DECISÃO
Plano de Negócios
Investimento suficiente para montar uma equipe dedicada e implementar
CSMS em uma planta piloto
Escopo do CSMS
Arquitetura completa de automação com seleção de contramedidas
prioritárias de acordo com nível de tolerância e resultado da análise de
risco detalhada
Stakeholders
Matriz da companhia elétrica, unidades regionais, provedores de serviços
e produtos
Apoio organizacional
Suporte total de todo o grupo, dado que segurança cibernética se tornou
uma prioridade na estratégia da companhia
17. Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 17
INICIAR
PROGRAMA DE
CSMS
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
MANTER O CSMS
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
18. Análise de risco de alto nível
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 18
• Sistemas x danos pessoais?
• Sistemas x danos ao meio ambiente?
• Sistemas x danos aos equipamentos?
• Impacto na reputação?
• Impacto financeiro?
• Nível de tolerância a risco atual e pretendido?
• Integração TI / TO? Qual atua em caso de incidentes?
• Exigência de órgãos reguladores?
• Tendências futuras em relação a riscos, soluções e órgãos reguladores?
19. Análise de risco de alto nível
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 19
Maior risco
identificado
Ataques do tipo
Ransomware
Tolerância a
risco
Passou de alta
para média
20. Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 20
INICIAR
PROGRAMA DE
CSMS
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
MANTER O CSMS
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
21. Análise de risco detalhada - HAZOP
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 21
• Histórico de problemas x priorização de sistemas?
• Análise de risco de segurança física?
• Nível de profundidade de defesa em camadas?
• Possíveis impactos das contramedidas?
22. Análise de risco detalhada - HAZOP
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 22
SUBSISTEMA P. GUIA PARÂMETRO DESVIO CAUSAS POSSÍVEIS CONSEQ. P S R
SALVAGUARDAS
EXISTENTES
SISTEMA DE EXCITAÇÃO
Sistema de
excitação
Baixa/
Não
Isolação
Isolação baixa
ou inexistente
Sujeira no carvão das
escovas do gerador.
Danos nos equipamentos
internos do sistema de
excitação que estão
conectados a circuitos de
potência.
Parada da
unidade
0,1 5,0 0,5
Alarme no SCADA.
Relé de proteção 64R.
Sistema de
excitação
Não
Sistema de
controle
Sistema de
controle fora de
funcionamento
Danos no CLP.
Falha nos cabos.
Falha no sistema de
alimentação 125 Vcc.
Parada da
unidade
0,1 3,0 0,3
Redundância no
sistema de controle.
23. Análise detalhada – Proteção Elétrica
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 23
Desvio: ação errada
Causas: erro de parametrização; falha interna; falha de instalação;
Consequências: operação indevida; perda de geração/receita; penalidades;
impacto no SIN; avarias nos equipamentos
Salvaguardas: relés redundantes; projeto com transformadores de medição
adequados; fonte de alimentação redundante; procedimentos de testes para
comissionamento e manutenção
24. Análise detalhada – Proteção Elétrica
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 24
...
▪ Firewall
▪ Serviços
▪ Portas
▪ Usuários
▪ Patches
Rede separada
Proteção de acesso físico
25. Análise detalhada – Reg. Hidráulico
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 25
Desvio: velocidade muito alta
Causas: falha de operação do
regulador de velocidade; falha de
sistema; falha na válvula de entrada
Consequências: vibrações; avarias
na estrutura do eixo;
desbalanceamento da máquina
Salvaguardas: detecção de sobrevelocidade
no regulador digital; detecção de
sobrevelocidade através de pêndulo
mecânico; projeto que contempla operação
nessa condição por tempo limitado
Recomendações: utilização de pêndulo mecânico além
de outras camadas de defesa
26. Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 26
INICIAR
PROGRAMA DE
CSMS
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
MANTER O CSMS
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
27. Políticas, Procedimentos e Conscientização
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 27
• Treinamentos x recursos?
• Assuntos?
• Interno x externo?
• Treinamentos obrigatórios? Periodicidade?
• Meios de divulgação?
• Abordagem TI x TO?
• Periodicidade de revisão das políticas e procedimentos?
• Políticas obrigatórias ou recomendações?
28. Políticas, Procedimentos e Conscientização
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 28
Riscos, ameaças
e vulnerabilidades
Análise de risco
Normas Engenharia social
Treinamentos
29. Políticas, Procedimentos e Conscientização
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 29
Políticas&Proced.
Uso de mídia
removível
Backup Recuperação
Incidentes Mudanças Inventário
Patches Controle de acesso Logs
30. Etapas de um CSMS
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 30
INICIAR
PROGRAMA DE
CSMS
REALIZAR
ANÁLISE DE
RISCO DE ALTO
NÍVEL
ESTABELECER
POLÍTICAS E
PROMOVER
CONSCIENTIZAÇÃO
REALIZAR
ANÁLISE DE
RISCO
DETALHADA
MANTER O CSMS
SELECIONAR E
IMPLEMENTAR
CONTRAMEDIDAS
31. Salvaguardas
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 31
• Ênfase para ataques internos ou externos? Intencionais ou não-
intencionais?
• Implementação única ou em etapas?
• Casos recentes de ataques em plantas semelhantes foram devido a que tipo
de falha de segurança cibernética?
• Piores consequências x contramedidas? É possível melhorar?
32. Salvaguardas
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 32
• Controle físico de acesso
• Divisão em células de segurança protegidas com firewall
• Inclusão de um servidor de antivírus e patches de segurança
• Inclusão de um sistema para gerenciamento de logs
• Inclusão de uma DMZ
• Checklists para configurações de segurança de dados
34. Salvaguardas: checklists
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 34
• Sistema Supervisório
• Link de comunicação com o ONS / COG
• Link de comunicação com a rede corporativa
• Equipamentos da rede de dados
• Equipamentos de proteção elétrica
• Controladores
35. Checklists – Comunicação ONS/COG
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 35
COMUNICAÇÃO COM ONS/COG
Item Descrição Sim Não Comentários
1
Segurança física: alocação de gateway em rack específico com acesso
restrito
2 Hardening: desabilitar funcionalidades não utilizadas
3
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
4 Hardening: testar lista de sinais e possibilidade de comandos via ONS
5
Firmware: garantir que equipamento está com a última versão
homologada de firmware
6
Firewall: configurar regras do firewall de borda de conexão com o
ONS/COG
36. Checklists – Sistema Supervisório
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 36
SISTEMA SUPERVISÓRIO
Item Descrição Sim Não Comentários
1
Segurança física: alocação de computadores em rack específico com
acesso restrito
2 Hardening: desabilitar serviços do Windows desnecessários
3
Hardening: desabilitar softwares desnecessários à aplicação do
SCADA
4
Hardening: desabilitar funcionalidades não utilizadas no software da
aplicação do SCADA
5
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
6
Gerenciamento de usuários: configurar usuários de operação,
manutenção e engenharia seguindo regra de senha forte e diferente da
padrão
37. Checklists – Sistema Supervisório
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 37
SISTEMA SUPERVISÓRIO
Item Descrição Sim Não Comentários
7
Atualizações Windows: garantir que sistemas Windows estão com os
últimos patches de segurança disponíveis e homologados para a
solução do SCADA
8
Antivírus: configurar antivírus de acordo com manual e garantir que
esteja com as últimas atualizações disponíveis
9 Whitelisting: configurar softwares e rotinas permitidas
10 Caso haja solução de terceiros, testar aplicação
11
Backup/Imagem: realizar backup das aplicações e também criar
imagens dos computadores com todas as configurações aplicadas
12
Firewall: configurar regras dos firewalls que conectam as redes de
operação e processo
38. Checklists – Comunicação com Rede Corporativa
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 38
COMUNICAÇÃO COM REDE CORPORATIVA
Item Descrição Sim Não Comentários
1
Segurança física: alocação de firewall da DMZ em rack específico com
acesso restrito
2 Hardening: desabilitar funcionalidades não utilizadas
3
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
4
Firmware: garantir que equipamento está com a última versão
homologada de firmware
5
DMZ: configurar regras de tráfego de dados e testar funcionamento do
sistema para todas as situações planejadas
6
Logging: configurar servidor de logs para registrar tudo que fuja às
regras aplicadas, sejam as regras de firewall, autenticação de usuários,
ou eventos da rede.
39. Checklists – Comunicação com Rede Corporativa
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 39
COMUNICAÇÃO COM REDE CORPORATIVA
Item Descrição Sim Não Comentários
7
Histórico: configurar relatórios para envio à rede corporativa apenas
com dados estritamente necessários
8
Patches: restringir acesso deste servidor à Internet apenas para os
domínios de atualização de patches do Windows e do Antivirus
40. Checklists – Rede de Dados
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 40
REDE DE DADOS
Item Descrição Sim Não Comentários
1
Segurança física: alocação de switches dentro dos painéis de
automação ou em específico com acesso restrito
2 Hardening: desabilitar funcionalidades não utilizadas
3
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
4
Firmware: garantir que equipamento está com a última versão
homologada de firmware
5
VLAN: configurar regras de tráfego de dados e testar funcionamento do
sistema para todas as situações planejadas
41. Checklists – Equipamentos de Proteção Elétrica
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 41
EQUIPAMENTOS DE PROTEÇÃO ELÉTRICA
Item Descrição Sim Não Comentários
1
Segurança física: alocação de relés de proteção dentro de painéis com
acesso restrito
2 Hardening: desabilitar funcionalidades não utilizadas
3
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
4
Firmware: garantir que equipamento está com a última versão
homologada de firmware
5
Rede de proteção: seguindo recomendações do ONS, configurar rede
de proteção fisicamente distinta da rede de processo
6
Configuração: manter o equipamento de configuração com acesso
físico restrito, assim como gerenciamento de usuários autorizados a
mudarem as configurações
42. Checklists – Controladores
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 42
CONTROLADORES
Item Descrição Sim Não Comentários
1
Segurança física: alocação dos controladores dentro de painéis com
acesso restrito
2 Hardening: desabilitar funcionalidades não utilizadas
3
Hardening: desabilitar portas físicas (USB e demais aplicáveis) e
lógicas não utilizadas/desnecessárias
4
Firmware: garantir que equipamento está com a última versão
homologada de firmware
5
Configuração: manter o equipamento de configuração com acesso
físico restrito, assim como gerenciamento de usuários autorizados a
mudarem as configurações
46. Conclusão
Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 46
• Regulamentação
• Integração de equipes
• Reaproveitamento de know-how
• Tolerância a risco x arquiteturas
• Modus operandi x checklists
• Fator humano
47. Aplicação da norma IEC 62443 em Usinas Hidrelétricas | Jéssica Heluany | CLASS 2018 47
Obrigada!