O documento propõe um modelo de arquitetura conceitual de segurança para redes de automação SCADA no setor de saneamento, focando na distribuição de água e integrando normas como ISO/IEC 27002 e ISA 99. A pesquisa destaca a importância dos mecanismos de autenticação e autorização para proteger informações críticas, especialmente em um ambiente onde a segurança é ameaçada pela convergência com redes corporativas. Conclusões apontam melhorias significativas na segurança ao utilizar firewalls e outras tecnologias de proteção para isolar redes de processo das redes corporativas.

1. Segurança em Centro de
Controle da Operação para
Sistemas de Automação SCADA
na Distribuição de Água

2. Silvio Rocha
Graduação em Tecnologia em Processamento de Dados pela UNICID;
Pós-graduação em Ciência da Computação pela FASP;
Pós-graduação em Administração Estratégica Empresarial pela UNINOVE;
Mestrando em Engenharia da Computação – Redes de Computadores pelo
Instituto de Pesquisas Tecnológicas - IPT/USP (Previsão da Defesa: 26/11/2014).
Professor Especialista dos cursos de graduação em Sistema de
Informação, Redes de Computadores, Banco de Dados, Gestão de Projetos
e Gestão da Tecnologia da Informação;
Gestor de TI na Cia de Saneamento Básico do Estado de São Paulo -
SABESP – Unidade de Negócio Leste;
Consultor em Governança de TI pela ITPASSPOT.
ITIL® V3 Foundation (EXIN);
IT Service Management Foundation according to ISO/IEC 20000 (EXIN);
Information Security Foundation based on ISO/IEC 27002 (EXIN).

3. Agenda
• Motivadores e Justificativa
• Objetivo
• Referencial Teórico
• Trabalhos Relacionados
• Proposta
• Validação
• Conclusão

4. Motivadores e Justificativas
Envolvimento com ambientes SCADAs no setor de saneamento com
foco na distribuição de água;
A área de sistemas automatizados vem ganhando maior visibilidade nos
últimos anos e a sua utilização torna-se cada vez mais importante para os
negócios, principalmente pela sua integração com as redes corporativas;
Garantir uma melhor proteção das informações que trafegam nas redes
de automação, que se atacadas podem ter grande impacto na sociedade;
Os sistemas de controle e aquisição de dados (Supervisory Control and
Data Acquisition – SCADA) estavam protegidos de ataques externos e
internos graças a seus protocolos proprietários e redes isoladas;
Com o crescente uso do padrão Ethernet nas estruturas de automação
industrial, esse ambiente vem convergindo para sistemas abertos e com
isso levanta a questão da segurança da informação.

5. Motivadores e Justificativas
Figura 1 – Compara três anos e
mostra o crescimento em
incidentes (azul) e o nível de
impacto (vermelho) para as
organizações que utilizem
sistemas de controle.
Figura 2 – Mostra a distribuição
por setor para todos os
incidentes relatados em 2011.
No setor de saneamento (água)
temos um elevado número de
incidentes devido as
características de acesso remoto
inseguro.

6. Objetivo
O objetivo do artigo é propor um modelo de
arquitetura conceitual de segurança em redes
de automação por meio de mecanismo de
autenticação e autorização, tendo por base os
conceitos das normas ISO/IEC 27002 e ISA 99
para o ambiente SCADA no saneamento, com
foco principal no processo de distribuição de
água.

7. Referencial Teórico
Segurança da Informação
De uma maneira simplista, a grande maioria dos incidentes é causado
intencionalmente por pessoas maliciosas. Para tornar uma rede segura e
proteger contra ameaças e ataques, pode-se utilizar:
Sistema de Detecção de Intruso – IDS
Firewall
Criptografia
Tecnologias de Autenticação e Autorização
O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization
and Accounting) da IETF (Internet Engineering Task Force). Em segurança da
informação, o padrão AAA é uma referência aos protocolos relacionados com
os procedimentos de:
autenticação;
autorização e
contabilização

8. Referencial Teórico
O RADIUS é um protocolo utilizado para disponibilizar acesso a redes
utilizando a arquitetura AAA.
Implementado em pontos de acesso sem fio, switches e outros tipos de
dispositivos que permitem acesso autenticado a redes de computadores. O
protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000).
O RADIUS foi idealizado para centralizar as atividades de Autenticação,
Autorização e Contabilização.
Norma ISA 99 - Arquitetura da Automação Industrial
Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou
supervisórios, são sistemas digitais que provem supervisão, controle,
gerenciamento e monitoramento dos processos em tempo real.
Unidade de Terminal Remota (Remote Terminal Unit – RUT)
Controlador Lógico Programável (Programmable Logic Controller – PLC)
Interface Homem-Máquina (Humam Machine Interface – HMI)
Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc)

9. Recomendações da ISA
TECNOLOGIA DESCRIÇÃO
VULNERABILIDADES
CORRIGIDAS
DEFICIÊNCIAS RECOMENDAÇÕES
Redes Virtuais
(Vlan)
Segregação de
redes físicas e redes
lógicas
Segregação do
tráfego
Spoof de Mac
Protocolos Spanning tree
VLAN Hopping
Atualizações periódicas de versão.
Segregação entre rede corporativa
e a rede industrial.
Firewalls de Rede
Mecanismo usado
para controle de
tráfego.
Proteção do tráfego
de rede que passa
através do dispositivo
Necessidade de trabalhar em
conjunto com detectores de
intrusão;
Grande quantidade de Logs;
Profissionais treinados para
operações diárias.
Segmentation of the networks into
zones;
Criação de uma DMZ para o
tráfego de Internet.
Redes Virtuais
Privadas (VPN)
Acesso Remoto com
criptografia
Acesso às redes
controlado via
autenticação
Acesso de qualquer lugar
(Internet) à rede corporativa
Processo de autenticação forte
Utilidades do log
de auditoria
Suporte à
ferramenta de log
Verificação de
autenticação e
utilização
Documentação e backup
extensos
Planejamento estratégico em
conjunto com outras áreas.
Autenticação
Biométrica
Autenticação
biométrica
Atutenticação forte Não é amplamente usado
Uso ocasional em equipamento
restrito
Tecnologia de
Autenticação e
Autorização
Permissão e níveis
de acesso
Acesso controlado a
redes, via
autenticação
Necessidade de sincronizar
todos os ativos no ambiente
Método de autenticação /
autorização centrados na rede
Criptografia
Processo de
encriptação e
decriptação
Criptografia em
tráfego de texto puro
Deve ser usado um método
de criptografia suportado por
todos os equipamento
Utilização de criptografia em todas
as comunicações internas e
externas
Detectores de
Intrusão
Utilidade para a
detecção de eventos
não permitidos na
rede
Identificação de
tráfego malicioso
Requer atualizações de
assinaturas e excesso de
falsos positivos
Utilização em segmentos
Controle Físico
Acesso restrito aos
equipamentos de
campo
Somente pessoas
autorizadas podem
operar e realizar
alterações físicas
Se não for usado com um
método biométrico, pode
revelar-se ineficaz
Acesso controlado

10. Trabalhos Relacionados
Tipo Tema Objetivo
Dissertação
Cibersegurança em sistemas
de automação em plantas de
tratamento de água.
Propor uma metodologia cujo foco seja e
minimização dos riscos de segurança.
Artigo
ICS-CERT Incident Response
Summary Report: 2009 –
2011.
Apresentar um resumo dos incidentes
cibernéticos e orinetar a defesa dos
ambientes de sistema de automação
contra ameaças cibernéticas emergentes.
Guia
Guia de Referência para a
Segurança das Infraestruturas
Críticas da Informação –
Versão 01 – Nov/2010.
Reunir métodos e instrumentos, visando
garantir a Segurança das Infraestruturas
Críticas da Informação e com isso
assegurar, dentro do espaço cibernético,
ações de segurança da informação e
comunicações como fundamentais para
garantir disponibilidade, integridade,
confidencialidade e autenticidade da
informação, no âmbito da Administração
Pública Federal.

11. Trabalhos Relacionados
Tipo Tema Objetivo
Norma ANSI/ISA–99
Segurança para Automação Industrial e
Sistemas de Controle: Terminologia,
Conceitos e Modelos
Artigo
Arquitetura de Segurança
da Informação em Redes
de Controle e Automação.
Ilustrar uma arquitetura de uma solução de
segurança para os diversos estágios de
evolução dos sistemas de automação que
compõem as instalações da Companhia
Hidro Elétrica do São Francisco – CHESF.
Guia
Firewall Deployment for
SCADA and Process
Control Networks – Good
Practice Guide - CPNI
Coleção de informações que foram
resumidas em um artigo em termos de
arquitetura de firewall, implantação,
concepção e gestão para determinar práticas
de segurança atuais.
Livro Industrial Network Security
Proteção de infraestruturas críticas, Redes
para Smart Grid, SCADA e outras sistemas
de controle industrial.
Norma ABNT NBR ISO/IEC 27002
Código de prática para a gestão da
segurança da informação.

12. Proposta
A proposta desenvolvida foi norteada por todos os trabalhos
relacionados nessa apresentação, porém teve forte influência das
normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas
Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).
Para o artigo optou-se pelo estudo dos modelos de arquitetura de
automação SCADA que pudessem ser aplicados no setor de
saneamento, em especial distribuição de água.
Com base na norma ISA 99, veremos no próximo slide um
diagrama de uma arquitetura recomendada para uma série de
situações práticas e mostra como definir zonas de segurança.

13. Proposta

14. Proposta
Outro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da
Informação Avançada (Group for Advanced Information Technology – GAIT)
que analisou implantações de redes SCADA e identificou oito arquiteturas:
Pontuação aproximada para arquiteturas de redes SCADA
Arquiteturas Segurança Gerenciamento Disponibilidade Pontuação
1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00
2) Servidor com duas interfaces de rede e com software de
2,00 1,00 1,00 4,00
firewall pessoal;
3) Filtragem de pacotes Router/Switch Camada 3 entre a
Rede de Controle de Processos e a Rede Corporativa;
2,00 2,00 4,00 8,00
4) Firewall com duas portas, uma na Rede de Controle de
Processos e outra na Rede Corporativa;
3,00 5,00 4,00 12,00
5) Combinação de Router/Firewall entre Rede de Controle
de Processos e Rede Corporativa;
3,50 3,00 4,00 10,50
6) Firewall com zonas desmilitarizadas entre a Rede de
Controle de Processos e a Rede Corporativa;
4,00 4,50 4,00 12,50
7) Firewalls emparelhados entre a Rede de Controle de
Processos e a Rede Corporativa;
5,00 3,00 3,50 11,50
8) Combinações de Firewall e VLAN entre a Rede de
Controle de Processos e a Rede Corporativa.
4,50 3,00 5,00 12,50
Pontuação (1 = Pior e 5 = Melhor)

15. Proposta
Mesmo com essas diferenças funcionais entre as redes de automação e as
redes corporativas, a integração é necessário conforme já explanado.
Por essa razão é recomendado uma arquitetura segura e que para validação
desse artigo será adotado a arquitetura de número 8 – Combinações de
Firewall e VLAN entre Rede de Controle de Processos e a Rede
Corporativa.
Essa arquitetura será complementada de alguns mecanismos de proteção
de perímetro ligados a tecnologia de autenticação e autorização,
propostos pelo autor deste artigo.
Sistemas de
Negócio e
Informação
SCADA e
Sistemas
Supervisório
Automação
Industrial e
Sistemas de
Controle
SCADA DMZ

16. Validação
Para validação da proposta utilizou-se de duas
situações:
Ambiente existente de produção com os servidores SCADAs
segregados por VLAN;
Ambiente de laboratório prático para validação do processo de
autenticação e autorização RADIUS, por meio do servidor
FreeRadius e serviço de diretório LDAP.

17. Rede Corporativa
Centro de Controle
Rede de
Controle do
Processo
Estação de
Tratamento
de Água
Reservatórios
de Água
Rede Corporativa
Internet
Rede de
Automação
Rede de Automação no Campo
Servidor
Aplicação
Servidor
SCADA
Corporativo
Servidor
OPC
Servidor
RADIUS/
LDAP
Servidor
Historiador
HMI Local
HMI Local
HMI Local
Estação de
Tratamento
de Água
RTU ou PLC
RTU ou PLC
RTU ou PLC
Arquitetura Conceitual
Filias
Servidor
SCADA WEB

18. Arquitetura Física e Lógica
Frame Relay
Automação
Servidor
RADIUS/LDAP
RADIUS/MSCHAP
MPLS - Rede
Corporativa
Servidor
Historiador
Servidor
SCADA WEB
Rede Corporativa
Firewall/NAT
Servidor
Aplicação
Servidor
SCADA
Corporativo
Servidor
OPC
Rede de Controle do
Processo
Centro de Controle
802.1x/PEAP/MSCHAPv2
RADIUS/TLS
Rede IP
10.66.8.0/21
VLAN 2
Rede IP
172.21.0.0/24
VLAN 1
Rede IP
192.168.0.0/24
Internet
Autenticação com 802.1x
Liberação de acesso na VLAN

19. Autenticação e autorização

20. Conclusões
• Existe uma melhoria significativa na segurança com a utilização de
firewalls para separação das redes de processo das redes corporativas,
por meio de DMZ e Vlan;
• Utilizar um ambiente de rede que possua mecanismos de autenticação e
autorização para acesso ao meio é uma das formas de aumentar a
segurança;
• Com o processo de autorização, somente usuários legítimos e
devidamente identificados tem acesso aos recursos disponíveis. Já o
processo de autorização fornece flexibilidade para implementar uma
hierarquia de acesso, bem como manter centralizada a base de usuários.

21. Obrigado!
Silvio Rocha
srocha.silva@yahoo.com.br