A National Security Agency (NSA) fez uma parceria com agências de segurança cibernética da
Austrália, Canadá, Alemanha, Japão, Holanda, Nova Zelândia, Coreia do Sul e Reino Unido para
lançar um guia que apresenta seis princípios fundamentais. Esses princípios têm o objetivo de
ajudar a criar e manter um ambiente seguro e crítico para a infraestrutura de tecnologia operacional
(TO).
Seu objetivo é fornecer às organizações que gerenciam infraestruturas críticas uma estrutura para
proteger seus ambientes de tecnologia operacional (TO) contra ameaças cibernéticas, garantindo a
continuidade de serviços essenciais, como energia, água e transporte. A crescente dependência da
tecnologia operacional e a complexidade desses ambientes representam desafios significativos
para a tomada de decisões de negócios, especialmente ao introduzir novas tecnologias, selecionar
fornecedores ou desenvolver planos de continuidade.
O documento detalha seis princípios fundamentais que devem orientar as organizações na criação
e manutenção de ambientes OT seguros:
1. A segurança é fundamental
2. Conhecer o negócio é essencial
3. Os dados OT são valiosos e devem ser protegidos.
4. Segmentação e separação de redes OT
5. Protegendo a cadeia de suprimentos
6. As pessoas são essenciais para a OT de segurança cibernética
Cada princípio foi criado para ajudar os tomadores de decisão a identificar e mitigar os riscos
cibernéticos associados à tecnologia operacional. O documento fornece diretrizes claras para a
implementação de controles adequados, reduzindo as vulnerabilidades e promovendo a
continuidade dos negócios. Ele também destaca a importância de alinhar a segurança cibernética
com a cultura organizacional e a colaboração entre todos os níveis da organização, de engenheiros
a executivos.
Essa estrutura busca garantir que os sistemas essenciais não apenas operem com eficiência, mas
também com segurança, minimizando a exposição a ameaças cibernéticas e mantendo a confiança
do público em serviços essenciais.
Princípio 1: A segurança é fundamental
Esse princípio ressalta a importância fundamental da segurança em ambientes operacionais (TO),
destacando que, diferentemente dos sistemas corporativos de TI, em que a inovação rápida pode
ser uma prioridade, no TO é essencial garantir a segurança física e evitar ameaças que possam
colocar em risco a vida humana e a continuidade de serviços essenciais. As organizações que
operam infraestruturas essenciais, como usinas de energia ou sistemas de tratamento de água,
devem sempre considerar os riscos físicos e as possíveis repercussões que uma falha, seja por
erro humano ou ataque cibernético, pode ter sobre a segurança pública e a estabilidade social.
Principais aspectos
● Proteção da vida humana e do meio ambiente: Os sistemas OT operam equipamentos que,
se adulterados ou manipulados, podem levar a incidentes perigosos, como explosões,
vazamentos de produtos químicos, descargas elétricas ou colapso estrutural.
● Continuidade do serviço: a segurança também abrange a necessidade de manter a
operacionalidade de serviços essenciais, como o fornecimento de água potável ou energia,
para evitar um impacto negativo na sociedade.
Exemplos e considerações
● Resposta a incidentes: As organizações devem estar preparadas para responder a
incidentes em sistemas que exigem operação segura. Em alguns casos, o pagamento de
um resgate (como nos ataques de ransomware) não é viável, pois não há garantia de que o
sistema voltará a um estado seguro.
● Validade dos backups: se um invasor estiver presente na rede OT, pode ser difícil confiar
nos backups disponíveis, pois eles podem ter sido comprometidos.
● Planos de recuperação: Os sistemas críticos devem ter procedimentos de recuperação bem
definidos que garantam um retorno seguro à operação, mesmo após grandes interrupções.
Esse princípio ressalta a necessidade de uma abordagem rigorosa e disciplinada para a operação e
o gerenciamento dos sistemas de TO. A segurança nesses ambientes envolve não apenas a
proteção contra ataques cibernéticos, mas também a garantia de que quaisquer alterações ou
interrupções não afetem a integridade física do sistema ou coloquem em risco vidas ou serviços
essenciais. O segredo é que as organizações adotem uma mentalidade preventiva, sempre
priorizando a segurança em detrimento de qualquer outro objetivo.
Princípio 2: Conhecer o negócio é essencial
Esse princípio ressalta a importância de as organizações terem um entendimento completo dos
processos e sistemas operacionais que dão suporte aos seus serviços essenciais. A premissa é
que, para proteger adequadamente a tecnologia operacional (TO), é essencial entender tanto as
necessidades essenciais dos negócios quanto as características específicas dos sistemas que
permitem seu funcionamento.
Principais aspectos
● Identificação de sistemas vitais: as organizações devem determinar quais são os sistemas
essenciais que permitem a continuidade dos serviços críticos. Isso inclui a identificação de
quais partes do processo operacional são indispensáveis para a produção e o fornecimento
de serviços essenciais, como energia, água ou transporte.
● Compreensão do processo de TO: é essencial compreender cada parte do processo
controlado pelos sistemas de TO, garantindo que as dependências e os pontos críticos
possam ser identificados. A arquitetura projetada deve permitir a defesa desses sistemas
vitais contra ameaças, tanto internas quanto externas.
● Integração da segurança cibernética no planejamento: As equipes responsáveis por
projetar, operar e manter os sistemas de TO devem estar alinhadas com o contexto
comercial. Isso inclui compreender como os processos físicos conectados ao ambiente de
TO agregam valor ao negócio e como as interrupções podem afetar o serviço aos usuários.
● Conexões e dependências: As organizações precisam saber como os sistemas OT se
interconectam com outros sistemas e quais são as dependências existentes. Isso é
fundamental para avaliar os riscos e estabelecer controles eficazes.
● Planos de continuidade e gerenciamento de crises: a criação de planos de resposta a
incidentes, continuidade de negócios e gerenciamento de crises deve incluir a participação
de especialistas em engenharia de processos e segurança cibernética. Além disso, esses
planos devem ser continuamente exercitados, revisados e atualizados para garantir sua
eficácia.
Exemplos e considerações
● De cima para baixo vs. de baixo para cima: a abordagem de cima para baixo levou à
separação das redes de TO e TI, mas a perspectiva de baixo para cima permite a
identificação dos elementos mínimos necessários para a operação de processos essenciais.
Por exemplo, para gerar eletricidade, talvez você precise apenas de um gerador, um
controlador e um suprimento adequado de combustível.
● Pacotes de informações de terceiros: ao envolver terceiros no gerenciamento de sistemas
OT, é essencial fornecer uma documentação clara, incluindo contatos, ferramentas
permitidas e procedimentos para garantir uma colaboração eficaz sem comprometer a
segurança.
● Sinais visuais e controles físicos: identificar e marcar fisicamente os dispositivos autorizados
no ambiente de TO ajuda a reduzir o risco de interferência não autorizada e permite a
tomada rápida de decisões em caso de eventos de segurança.
Esse princípio destaca que entender o negócio é crucial não apenas para implementar medidas
eficazes de segurança cibernética, mas também para priorizar a recuperação durante incidentes.
Ele também promove a colaboração contínua entre as equipes de operações e de segurança
cibernética, garantindo que a abordagem da segurança cibernética esteja alinhada às necessidades
do negócio e ao contexto operacional.
Princípio 3: Os dados da OT são extremamente
valiosos e devem ser protegidos.
Do ponto de vista de um adversário, o conhecimento sobre a configuração de um sistema de
tecnologia operacional (TO) é altamente valioso, pois os ambientes de TO tendem a permanecer
estáveis e sem mudanças frequentes. Essa estabilidade permite que os agentes mal-intencionados
desenvolvam malwares específicos e sofisticados para atacar esses sistemas com precisão.
Tipos de dados críticos no TO:
● Dados de configuração de engenharia: incluem diagramas de rede, sequências de
operação, esquemas lógicos e dados de configuração, como endereços de dispositivos.
Esses dados não mudam com frequência e podem ser relevantes por décadas, facilitando a
preparação de ataques direcionados.
● Dados efêmeros: como níveis de tensão ou pressão, que fornecem informações em tempo
real sobre o status dos processos e podem revelar detalhes sobre operações internas ou do
cliente.
● Propriedade intelectual (IP) e dados pessoais (PII): os dados de clientes ou processos,
como registros de pacientes na área da saúde ou dados de medição nos setores de energia
ou água, exigem proteção tanto quanto os dados de configuração.
Implicações e estratégias de proteção:
● Armazenamento de controle: as organizações devem definir onde e como os dados de TO
são armazenados para evitar a exposição. Embora as redes de TO sejam geralmente
segmentadas, os dados críticos costumam ser armazenados em sistemas de TI
corporativos, o que aumenta a exposição.
● Minimizar a distribuição de dados: Os processos internos devem evitar a propagação
desnecessária de dados da OT entre diferentes sistemas para reduzir os riscos.
● Detectar acesso não autorizado: implemente ferramentas, como tokens canários, que
alertem se os dados do TO forem acessados ou extraídos de forma não autorizada.
Questões-chave para a proteção de dados da OT
● Os fornecedores ou consultores têm cópias dos dados essenciais?
● As informações de TO são armazenadas em sistemas corporativos ou em nuvens externas?
● Existem controles para evitar que sistemas de segurança, como EDRs, vazem dados de OT
para fora do ambiente?
● Existe um processo claro para a destruição de dados ao desativar o equipamento de TO?
Esse princípio destaca a necessidade de alertar e monitorar o acesso aos dados da OT, pois a falta
de controle pode facilitar ataques sofisticados e a manipulação de sistemas críticos. Uma estratégia
sólida de segurança cibernética deve, portanto, incluir controles sobre o fluxo e o armazenamento
de dados, bem como medidas para detectar e responder a possíveis violações.
Princípio 4: Segmentar e separar as redes OT de
todas as outras redes.
Esse princípio destaca a importância da segmentação e da segregação em ambientes para
proteger contra ameaças cibernéticas e minimizar os riscos de comprometimento. O princípio
baseia-se na ideia de que as redes de TO devem ser mantidas separadas não apenas das redes de
TI corporativas, mas também de quaisquer outras redes que possam introduzir riscos adicionais.
Importância da segmentação e da segregação
● Redução de riscos: as redes de TO são mais críticas do que as redes de TI porque
controlam processos físicos essenciais (por exemplo, eletricidade, água e transporte). Essas
redes não devem ser conectadas diretamente às redes de TI, que tendem a ser mais
vulneráveis devido à sua exposição à Internet e a serviços como e-mail ou navegação na
Web.
● Segurança entre a TO e outras redes: é essencial proteger não apenas a comunicação
entre as redes de TO e TI, mas também as conexões entre diferentes redes de TO de
terceiros (como fornecedores, clientes ou parceiros). Essas conexões podem se tornar um
vetor de ataque se não forem gerenciadas adequadamente.
Exemplos e implicações do princípio
● Segurança nas conexões entre OTs e terceiros: as conexões com redes de OTs de outros
atores, como fornecedores de energia ou empresas de transmissão, podem abrir brechas de
segurança se não forem gerenciadas adequadamente.
● Separação física e lógica: recomenda-se que as funções críticas sejam separadas física e
logicamente, para garantir que, mesmo que uma rede menos crítica seja comprometida, as
redes mais críticas permaneçam protegidas.
● Segurança na administração de sistemas: As contas e os sistemas administrativos devem
ser devidamente segregados. Por exemplo, os sistemas críticos de TO não devem depender
de serviços gerenciados por redes de TI menos seguras, pois o comprometimento dessas
contas pode colocar a rede de TO em risco.
● Riscos de escalonamento de privilégios: um invasor que acesse a rede de TI pode escalar
privilégios e comprometer o firewall ou os dispositivos de controle da rede de TO se essas
infraestruturas não estiverem adequadamente separadas.
Esse princípio destaca que qualquer conexão existente em uma rede de TO deve ser considerada
como um possível ponto de vulnerabilidade e tratada com o mais alto nível de segurança. A
segmentação não deve ser aplicada somente entre a TO e a TI, mas também entre diferentes
zonas dentro da TO, de acordo com seus níveis de criticidade. Além disso, as organizações devem
avaliar continuamente as configurações administrativas para garantir que o gerenciamento das
redes de TO não dependa de sistemas externos menos seguros.
Princípio 5: A cadeia de suprimentos deve ser
segura
A segurança da cadeia de suprimentos tem sido um foco de atenção há vários anos, e muitas
publicações anteriores já abordaram essa área. Entretanto, em ambientes de tecnologia operacional
(OT), esse princípio destaca algumas considerações específicas adicionais, pois não é suficiente
aplicar controles genéricos.
Exemplos e considerações:
● Mudança da perspectiva do risco do fornecedor: tradicionalmente, apenas os
fornecedores grandes ou operacionalmente críticos eram avaliados rigorosamente. No
entanto, do ponto de vista da segurança cibernética, o tamanho ou a importância do
fornecedor não é um fator determinante. Um dispositivo ou serviço aparentemente pequeno
pode abrir portas críticas para os invasores se não for seguro.
● Exposição em ambientes de TO abertos: nos sistemas de TO, as mensagens de controle
críticas geralmente são enviadas sem criptografia, por meio de mensagens multicast ou
broadcast que qualquer dispositivo na rede pode receber e interpretar. Isso torna qualquer
componente do ambiente – como impressoras, roteadores ou estações de trabalho dos
engenheiros – um ponto de acesso para ameaças.
● Conhecer a origem e o caminho dos dispositivos: é essencial rastrear a origem e o uso
anterior dos dispositivos conectados à rede de TO, incluindo laptops de consultores ou
fornecedores. Esses dispositivos podem ter se conectado anteriormente a redes menos
seguras, introduzindo um risco potencial quando transferidos para o ambiente de TO.
● Avalie os recursos ocultos dos dispositivos: não é importante apenas o que os dispositivos
podem fazer em sua configuração atual, mas também o que eles podem fazer se o firmware
ou a configuração forem alterados. Se os fornecedores tiverem acesso remoto para realizar
atualizações, as organizações devem garantir que o firmware seja assinado
criptograficamente e que sua integridade seja verificada antes da instalação.
● Avaliação rigorosa do comportamento do fornecedor: as organizações devem considerar as
práticas do fornecedor que exigem exceções às políticas de segurança como indicadores
negativos. Por exemplo, se um fornecedor solicitar conexões diretas da rede OT com a
Internet para suporte ou atualizações de firmware, a adequação do fornecedor deve ser
questionada e alternativas mais seguras devem ser buscadas.
● Monitoramento de tráfego e análise de segurança: um bom monitoramento consiste em
conectar um dispositivo à rede e capturar o tráfego com um analisador de pacotes para
verificar se ele não está se comunicando sem autorização com endereços remotos.
A segurança da cadeia de suprimentos é fundamental porque as interconexões e dependências
entre vários dispositivos e sistemas aumentam a exposição a ataques cibernéticos. Um único
dispositivo comprometido ou mal gerenciado pode representar uma vulnerabilidade significativa
para toda a infraestrutura de TO. Portanto, esse princípio exige a manutenção de um controle rígido
sobre todos os elementos da cadeia de suprimentos, garantindo que cada componente que interage
com a infraestrutura crítica atenda aos mais altos padrões de segurança.
Princípio 6: As pessoas são essenciais para a OT
de segurança cibernética
Esse princípio enfatiza que a segurança cibernética da tecnologia operacional (TO) não pode ser
alcançada sem a participação ativa e qualificada das pessoas. As ferramentas e os processos
técnicos por si só não são suficientes para prevenir ou detectar incidentes. A resposta eficaz a
incidentes depende de pessoas com o treinamento, as habilidades e o conhecimento certos para
lidar com esses desafios.
Importância da cultura de segurança cibernética baseada em
segurança
● Ele destaca a necessidade de criar uma forte cultura de segurança cibernética, com foco na
segurança física e digital. A organização deve considerar os princípios de segurança
cibernética como um aspecto essencial da segurança no local de trabalho, e não apenas
como uma obrigação tecnológica.
● Os técnicos de campo e outros operadores são a primeira linha de defesa e desempenham
um papel fundamental na detecção de comportamentos suspeitos. Embora esses
funcionários geralmente não sejam especialistas em segurança cibernética, seu
conhecimento prático do ambiente de TO permite que eles identifiquem anomalias que
possam indicar incidentes cibernéticos.
Principais desafios e estratégias
● Treinamento diversificado: é necessária uma equipe multifuncional, composta por
especialistas em segurança cibernética, engenheiros de controle, equipe de operações e
gerentes de ativos. Todas essas funções devem se alinhar aos princípios fundamentais de
TO, mesmo que tenham culturas e prioridades diferentes.
● Mudança cultural: para funcionários sem experiência em engenharia ou infraestrutura crítica,
pode ser um desafio adotar uma abordagem de "segurança em primeiro lugar". A
organização deve promover um entendimento compartilhado entre todas as áreas
envolvidas.
● Relato sem medo: é essencial capacitar os operadores a relatar possíveis incidentes sem
medo de represálias ou ridicularização. Deve haver procedimentos claros para que as
observações sejam avaliadas e tratadas em tempo hábil.
Desenvolvimento da cultura e da conscientização sobre
segurança cibernética
● Inclua a segurança cibernética nos principais processos: a segurança cibernética deve ser
integrada às avaliações de segurança, aos testes de aceitação (FAT/SAT) e ao
gerenciamento de mudanças de engenharia. Métodos como a Engenharia Informada
Cibernética ajudam a fortalecer essa integração.
● Evitar comportamentos de risco: um exemplo importante é a manutenção remota sem
informar a equipe no local, o que pode fazer com que os operadores ignorem
comportamentos anormais como se fossem normais. Isso demonstra a necessidade de
transparência nas operações.
● Reavaliação de incidentes: Os operadores devem ser treinados para considerar a
possibilidade de comprometimento cibernético em problemas operacionais. Historicamente,
esses problemas têm sido atribuídos apenas a falhas técnicas, o que pode resultar na perda
de evidências importantes para investigações cibernéticas.
Esse princípio destaca que a combinação de tecnologia, processos e pessoas é essencial para
manter a segurança em ambientes de TO. O engajamento ativo e a prontidão da equipe,
juntamente com uma cultura organizacional focada na segurança, são fundamentais para a
resiliência cibernética em infraestruturas críticas.
Conclusão
A abordagem apresentada não se limita ao estabelecimento de controles técnicos, mas promove
uma integração holística da segurança cibernética em todas as dimensões do ambiente de TO:
processos, pessoas e tecnologia. Os princípios destacam a importância de alinhar o gerenciamento
de riscos com a segurança física e operacional, garantindo assim a resiliência completa. A
colaboração entre especialistas técnicos e operacionais, juntamente com o gerenciamento eficiente
de fornecedores e dados, é fundamental para manter a integridade das infraestruturas críticas.
Por fim, a adoção desses princípios exige não apenas recursos tecnológicos, mas um profundo
compromisso organizacional que promova uma cultura de segurança cibernética baseada em
segurança, colaboração e transparência. Com essa estrutura, as organizações poderão enfrentar os
desafios atuais e futuros com eficiência, garantindo a continuidade dos serviços essenciais e a
proteção de seus ativos mais valiosos.



