O documento discute a segurança cibernética de sistemas de automação de energia. Apresenta os riscos crescentes de ataques cibernéticos à infraestrutura crítica com a adoção de redes Ethernet e conectividade à internet. Defende a abordagem de Defesa em Profundidade para mitigar riscos, segmentando redes, aplicando firewalls, criptografia e hardening de sistemas. Conclui destacando a necessidade de capacitação de equipes e atualização da legislação brasileira para garantir a segurança desses
2. Pág. 2 EM DG EN
1 – IEC-61850 e a aplicação de redes Ethernet em Infraestrutura Crítica
• Com a publicação da norma IEC-61850 no ano de 2003, cada vez mais sistemas de
automação de energia começaram a contar com redes Ethernets e conectividade
com o segmento Intranet das empresas de geração, transmissão e distribuição de
energia.
• No entanto, essa expansão do perímetro tem aumentado o risco de exposição
desses sistemas e, consequentemente, a possibilidade de ataques cibernéticos. Este
problema, embora mais comum e já bastante discutido no ambiente de Tecnologia da
Informação, ainda não recebeu a devida atenção nos ambientes industriais e nas
instalações críticas.
3. Pág. 3 EM DG EN
1 – IEC-61850 e a aplicação de redes Ethernet em Infraestrutura Crítica
Bay
Parallel wiring
Fault recorder
Protection
RTU
Mimic board
Ancient past
Parallel wiring
1st generation:
Standard cabling
Recent past
Other bays
Serial connection
Parallel wiring
Bay
Substation
controller
Control Center
HMI
2nd generation:
Point-to-point connections
since 1985 ........
3rd Generation: Digital Substations
4. Pág. 4 EM DG EN
2 – Ataques a Infraestrutura Crítica
• Em 25/01/2003, a usina nuclear Davis-Besse, em Oak Harbour - Ohio,
foi infectada com o worm "Slammer“ do MS SQL.
• A infecção causou sobrecarga de tráfego na rede local. Como
resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP)
ficou inacessível por quase 5h, e o computador de processos da planta
por mais de 6h;
• Um firewall estava no local para isolar a rede de controle da rede da
empresa, no entanto, havia uma conexão T1 a partir de uma empresa de
consultoria de software, que entrou na rede de controle por trás do
firewall, ignorando todas as políticas de controle de acesso impostas
pelo firewall corporativo.
5. Pág. 5 EM DG EN
2 – Ataques a Infraestrutura Crítica
• Em 23/12/2015, distribuidoras de energia na Ucrânia vivenciaram interrupções
não planejadas de energia elétrica. Essas interrupções foram causadas por Cyber
Attacks;
• As interrupções foram causadas por intrusões remotas em 3 diferentes empresas
de distribuição de energia, impactando aproximadamente 225 mil consumidores.
• Durante os ataques, manobras de disjuntores de energia foram realizadas
remotamente através de acessos VPN, com o objetivo de causar as interrupções
de energia.
• Alguns sistemas (Gateways e IHM´s) foram apagados usando o malware KillDisk
ao término do ataque, dificultando a recuperação do sistema elétrico.
Paralelamente, ligações telefônicas falsas foram feitas para o SAC, impedindo que
clientes reais informassem a falta de energia.
• Em todas empresas atacadas, foi encontrado o malware BlackEnergy. No entanto,
ainda não está clara a relação do malware com os Cyber Attacks.
https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01
6. Pág. 6 EM DG EN
2 – Ataques a Infraestrutura Crítica
Fábricas de armas nucleares Fábricas de cyber-armas
7. Pág. 7 EM DG EN
2 – Ataques a Infraestrutura Crítica
Usando toolkits baixados da internet precisam de muito pouco conhecimento técnico para lançar um
ataque:
8. Pág. 8 EM DG EN
3 – Honey-Pot SCADA Brasileito
Exposição de um sistema SCADA à internet. Analisando o total de incidentes (361), com o período de
tempo de exposição do sistema (90 dias), tem-se uma média de 4,01 incidentes por dia (Regis
Carvalho – 2014):
Origem Faixa IP Ataque Total
Brasil, EUA, Alemanha, Argélia, Indonésia TCP SYN – Port SCAN 14
EUA UDP – Port SCAN 1
Brasil, EUA, Paraguai
Modbus – Fluxo Inválido
de gravação
82Brasil
Modbus – Requisição de
Leitura
Brasil, Rússia, Romênia, Suiça, Suécia
Modbus – Leitura de
identificação do CLP
EUA, Brasil, Canadá, Espanha Conficker 6
Argentina, China, Espanha, Indonésia, Índia,
Suiça
SQL Slammer 40
Alemanha, Coréia do Sul, EUA, França,
Holanda, República Tcheca, Suécia, Ucrânia
DoS 218
9. Pág. 9 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Conectividade aumenta o
risco de ataques
cibernéticos
Acesso não
autorizado HMI
Malware
Field Level
Substation Level
Ataques via internet
Control Center Level
10. Pág. 10 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Condições:
Infraestrutura Crítica
Operação 24/7
OS Windows e Linux
Interfaces com redes não seguras
Interfaces com Intranet empresas
Componentes legados
Tecnologias proprietárias
Combinação de componentes de
diferentes fabricantes
Station level
Field level
Switch
Switch
Switch Switch
Switch
Switch
Switch
Switch
Control center
Untrusted network
Remote access
Service
PC
HMI
PC Station controller
IEDs
Protection and
field devices
Router
11. Pág. 11 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Station level
Field level
Switch
Switch
Switch Switch
Switch
Switch
Switch
Switch
Control center
Untrusted network
Remote access
Service
PC
HMI
PC Station controller
IEDs
Protection and
field devices
Router
! Acesso não autorizado
!
Uso indevido de direitos de adm!
!
! Ataques via Internet
!
! Malware
!
Firmware modificado!
!
Possíveis Atacantes:
Organizações Criminosas
Script Kiddies
Funcionários da empresa
etc
!
Sequestro de dados/sistema!
!
!!
12. Pág. 12 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Stationlevel
Acesso Remoto
Malware
Malware
Acesso não autorizado
Ataques via Internet
Service PC
Fieldlevel
Riscos para IHMs sem elementos adequados de
segurança:
Com uma IHM sem controle de acesso, é possível
conseguir acesso não autorizado e controle da
subestação
IHMs que não passaram pelo processo de hardening
ou estão com sistemas e hotfixs desatualizados são
vulneráveis a malwares e vírus
Malwares/virus podem gerar valores de processo
incorretos na tela de operação ou influenciar os IEDs
de maneira maliciosa
Condições favoráveis para hackers obterem exito no
ataque se a IHM pode ser acessada remotamente
(arquitetura sem conceito de defesa em profundidade)
IHM
13. Pág. 13 EM DG EN
5 – Defesa em Profundidade (Defense in Depth)
• A defesa em profundidade é originalmente uma estratégia militar, que tenta atrasar o ataque,
ao invés de preveni-lo.
• Adaptando ao cenário de automação de energia, o esquema visa não apenas prevenir
brechas de segurança, mas garantir tempo à organização para detectar e responder ao ataque.
Assim, reduzir e mitigar as consequências da exploração de uma vulnerabilidade de segurança.
• A aplicação direta dessa filosofia em uma arquitetura de um sistema de automação de energia
consiste na utilização de diversos mecanismos de proteção, desde o ponto de acesso da
subestação com a Intranet da empresa, até os IEDs (Intelligent Electronic Devices) instalados
para a proteção e controle do sistema de energia elétrica.
14. Pág. 14 EM DG EN
6 – Mitigação de Riscos
A solução de defesa em profundidade, associada a outros mecanismos, ajuda a aumentar a
segurança cibernética de uma infraestrutura crítica:
• Segmentação de rede e utilização de DMZ (Demilitarized Zone);
• Uso de Firewalls Industriais combinado com funcionalidade de VPN;
• Criptografia de protocolos de controle remoto (ex. IEC-104 e DNP 3.0);
• Uso de aplicativo Whitelisting (alternativamente ao Antivírus convencional);
• Hardening: um processo que consiste em aumentar a segurança de um sistema reduzindo a
superfície de ataque;
• Firmwares de IEDs com assinatura digital;
• Uso de Radius Server (Remote Authentication Dial In User Service);
• Gestão de Senhas centralizada
15. Pág. 15 EM DG EN
7 – Arquitetura de rede Segura
16. Pág. 16 EM DG EN
7 – Arquitetura de rede Segura DMZ
• Não é possível acesso
remoto direto da Intranet
para a Zona da Subestação;
• O acesso é feito
inicialmente ao computador
da Zona DMZ;
• A conexão remota é feita
via VPN, com verificação de
certificado digital para
acesso ao sistema.
17. Pág. 17 EM DG EN
7 – Arquitetura de rede Segura DMZ
• Uma vez conectado à estação
local, o usuário pode:
• Acessar o Gateway da SE;
• Acessar o IHM;
• Acessar os IEDs;
• Para acessar arquivos de
oscilografia, obter log de
eventos, modificar parâmetros
remotamente, etc.
18. Pág. 18 EM DG EN
7 – Arquitetura de rede Segura Hardening
1. Switches:
• Desabilitar FTP;
• Desabilitar múltiplos acessos;
• Alterar senha padrão;
• Desabilitar Telnet;
2. Gateway e IHMs (Windows
OS):
• Habilitar Firewall;
• Desabilitar USB;
• Desabilitar serviços não utilizados do
Windows;
• Instalar Hotfix / Patches Testados;
3. IEDs:
• Desabilitar Acessos não utilizados (Web
Monitor);
• Alterar senha padrão;
Switches
Switches
19. Pág. 19 EM DG EN
7 – Arquitetura de rede Segura Antivírus / Whitelisting
Antivírus ou Whitelisting?
• Antivírus (AV): apropriado
para sistemas dinâmicos, que
passam por constante
instalação e atualização de
aplicativos;
• Whitelisting (WL):
apropriado para sistemas que
não sofrem alterações
constantes;
WL
AV
WL
AV
21. Pág. 21 EM DG EN
9 – Situação das Empresas Brasileiras de Energia
• Observa-se que a legislação brasileira tem construção bastante antiga e, portanto, defasada em
termos do contexto atual de segurança cibernética.
• Movimento crescente pelos setores envolvidos para mitigar os potenciais danos :
• PNSIEC (Plano Nacional de Segurança das Infraestruturas Críticas);
• Os Grupos Técnicos de Segurança das Infraestruturas Críticas de Energia, Transportes,
Comunicações, Água, e Finanças;
• O Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação;
• Equipes de resposta e tratamento de incidentes. como o CERT.br;
• Rede Nacional de Segurança da Informação e Criptografia (RENASIC), gerenciada pelo
CDCiber do Ministério da Defesa.
22. Pág. 22 EM DG EN
9 – Situação das Empresas Brasileiras de Energia
Destacam-se os trabalhos no contexto do RENASIC , um conjunto de ação práticas
aplicadas às Infraestruturas Críticas como:
• Desenvolvimento de mapa de rota para segurança SCADA no Brasil;
• Plano de capacitação;
• Normatização e aspectos regulatórios, aspectos de certificação e homologação;
• Iniciativas de P&D;
• Criação de um ICS-CERT Nacional.
23. Pág. 23 EM DG EN
10 - Conclusão
• Uma opção é defesa em profundidade associada a outros elementos de segurança, pois criam
ambiente muito mais seguro do que o atual;
• Segurança Cibernética não depende apenas da instalação de equipamentos! É necessária a
capacitação do corpo técnico que opera e mantém sistemas de infraestrutura critica. Grande
parte dos ataques a sistemas começa com a chamada “Engenharia Social”!
• O Brasil está no foco devido à Copa do Mundo de 2014 e às Olimpíadas de
2016. Casos reais de ataques e o resultado do “Honey Pot SCADA” mostram
o interesse mundial em sistemas de energia;
• A legislação e regulamentação devem mudar rapidamente para garantir
que esses sistemas possuam o mínimo de recursos para mitigar as
vulnerabilidades;