Dez anos é muito tempo em segurança cibernética. Se pudéssemos ver uma década no futuro em 2011, o quão longe as tecnologias de segurança cibernética avançaram até 2022 – tenho certeza de que ninguém teria acreditado. Incluindo eu! Paradigmas, teorias, práticas, produtos (antivírus – o que é isso? – tudo foi transformado e progrediu além do que se imaginava.
Ao mesmo tempo, não importa o quão longe tenhamos progredido – e apesar das promessas vazias de inteligência artificial, milagres e diversos outros exageros de quase-cibersegurança – hoje ainda enfrentamos os mesmos problemas clássicos que tínhamos há 10 anos no setor de cibersegurança industrial:
Como proteger os dados de olhos não amigáveis e de alterações não sancionadas feitas neles, ao mesmo tempo preservando a continuidade dos processos de negócios?
É bem verdade que proteger a confidencialidade, integridade e acessibilidade ainda constituem o trabalho diário de quase todos os profissionais de segurança cibernética.
Não importa para onde vá, o “digital” sempre traz consigo os mesmos poucos problemas fundamentais. E tornar-se digital será contínuo – sempre – porque as vantagens da digitalização são tão óbvias. Mesmo campos aparentemente conservadores, como construção de máquinas industriais, refino de petróleo, transporte ou energia, já foram fortemente digitalizados há anos. Tudo bem, mas está tudo seguro?
Com o digital, a eficácia dos negócios cresce aos trancos e barrancos. Por outro lado, tudo o que é digital pode ser – e é – hackeado, e há muitos exemplos disso no campo industrial. Há uma grande tentação de abraçar totalmente todas as coisas digitais – para colher todos os seus benefícios; no entanto, isso precisa ser feito de uma forma que não seja dolorosamente perigosa (leia-se – com os processos de negócios sendo interrompidos). E é aqui que nosso novo (ou semi novo) analgésico especial pode ajudar – nosso KISG 100 (Kaspersky IoT Secure Gateway).
Esta pequena caixa (RRP – um pouco mais de € 1000) é instalada entre o equipamento industrial (mais adiante – ‘maquinário’) e o servidor que recebe vários sinais deste equipamento. Os dados nesses sinais variam – em produtividade, falhas de sistema, uso de recursos, níveis de vibração, medições de emissões de CO2 / NOx e uma carga inteira de outros – e é tudo necessário para obter uma visão geral do processo de produção e ser capaz de tomar decisões de negócios bem informadas e fundamentadas.
Como você pode ver, a caixa é pequena, mas com certeza também é poderosa. Uma funcionalidade crucial é que ela autoriza apenas a transferência de dados “permitidos”. Também permite a transmissão de dados estritamente em apenas uma direção. Assim, o KISG 100 pode interceptar toda uma miscelânea de ataques: man-in-the-middle, man-in-the-cloud, ataques DDoS e muitas outras ameaças da Internet que continuam chegando até nós em esses tempos digitais ‘estrondosos’.
O KISG 100 (que funciona na plataforma de hardware SIMATIC IOT2040 da Siemens e em nosso ciberimune KasperskyOS) separa redes externas e internas de tal forma que nem um único byte de código malicioso pode ficar entre as duas – portanto, a máquina fica totalmente protegida. A tecnologia (para a qual temos três patentes pendentes) funciona com base no princípio de diodo de dados: abrindo o fluxo de dados em apenas uma direção e somente quando certas condições são atendidas. Mas, ao contrário de soluções concorrentes, KISG faz isso (i) de forma mais confiável, (ii) mais simples e (iii) mais barato!
OK, vamos dar uma olhada mais de perto …
Não é à toa que esta caixinha é chamada de ‘portal’, pois, em princípio, funciona como o portal mecânico hidrotécnico encontrado em canais – um tipo de fechadura. Você abre o portão inferior, o barco entra na câmara; o nível da água sobe, o portão superior se abre, o barco sai da câmara. Da mesma forma, o KISG 100 inicializa primeiro o agente da fonte da rede industrial, depois o conecta com o agente do receptor de dados na direção do servidor e permite uma transferência unilateral de dados.
Uma vez feita a conexão entre a máquina e o servidor, o sistema passa a ter o chamado status de protegido: o acesso a uma rede externa e também a memória não confiável é proibida para ambos os agentes (fonte e receptor), enquanto o acesso à memória confiável (a partir da qual eles recebem parâmetros de trabalho como chaves de criptografia, certificados, etc.) é permitido. Com este status, o gateway não pode ser comprometido por ataques de uma rede externa – uma vez que todos os seus componentes neste estágio estão desconectados do mundo externo e são considerados confiáveis; eles são apenas carregados e inicializados.
Após a inicialização, o status do gateway é alterado para ativo: o agente receptor obtém o direito de transferir dados para uma rede externa e acessar memória não confiável (na qual dados temporários estão contidos). Assim, mesmo que haja um hack no servidor, os hackers não conseguem chegar aos outros componentes do gateway ou da rede industrial. Assim:
O controle sobre a observação das regras de interação entre os agentes, além da troca de status do gateway, é feito pelo nosso monitor de segurança cibernética – KSS. Este subsistema isolado do KasperskyOS monitora constantemente a observância das políticas de segurança predefinidas (qual componente pode fazer o quê) e, de acordo com o princípio de “negação padrão”, bloqueia todas as ações proibidas. A principal vantagem competitiva do KSS é que as políticas de segurança são muito convenientes para serem descritas com uma linguagem especial e para combinar diferentes modelos predefinidos de segurança cibernética. Se apenas um dos componentes do KISG 100 (por exemplo, o agente receptor) estiver comprometido, ele não pode danificar o resto dos componentes, enquanto o operador do sistema é informado do ataque e pode começar a trabalhar para lidar com isto.
E aí, você ainda aí? Então aí vem o inevitável ‘espere, tem mais!’ …
A pequena caixa pode ajudar a fornecer serviços digitais adicionais. Permite a integração segura de dados industriais no ERP / CRM e diversos outros sistemas de negócios de uma empresa!
Os cenários que envolvem esses serviços podem variar muito. Por exemplo, para nosso respeitado cliente Chelpipe Group (um produtor líder de tubos de aço), calculamos a eficiência de uma máquina-ferramenta que corta tubos. Graças a esta análise preditiva, até US$ 7.000 por mês (!) Podem ser economizados em despesas ao escolher comprar tal ferramenta. Na verdade, essa integração oferece possibilidades simplesmente infinitas.
Mais um exemplo: a empresa LenPoligraphMash de São Petersburgo conectou seu equipamento industrial ao sistema ERP 1C e agora (quase em tempo real) mostra análises em um ERP sobre o desempenho de todos os operadores – para que possa pagar esses operadores com base no real (não normativo ou médio) tempo de inatividade. A singularidade dessa abordagem e sua escalabilidade foram confirmadas por especialistas da respeitada agência analítica Arc Advisory Group em seu primeiro relatório de imunidade cibernética.
Então, como você pode ver, esta não é uma caixa qualquer. É um aparelho mágico perfeitamente engenhoso! Além de estar em pleno funcionamento no Grupo Chelpipe, o KISG 100 já está instalado na máquina de processamento de metais do StankoMashKomplex, projetos-piloto bem-sucedidos estão em andamento na Rostec e Gazprom Neft, e dezenas de outros pilotos com grandes organizações industriais já estão em operação. O dispositivo recebeu prêmios especiais por realizações tecnológicas excepcionais no maior evento de TI da China, a Internet World Conference; na exposição industrial Hannover Messe 2021, a KISG 100 ganhou um lugar entre as melhores soluções inovadoras do mundo; e recentemente levou o prêmio principal no IoT Awards 2021 da Internet of Things Association, vencendo muitas empresas bem avaliadas.
No futuro, expandiremos a variedade dessas caixas inteligentes. O ‘irmão mais velho’ do KISG 100 – KISG 1000 – já está em teste da sua versão beta. Além de ser um gateway-guard como o KISG 100, o KISG 1000 também é um inspetor: ele não apenas coleta, verifica e distribui telemetria, mas também transfere comandos de gerenciamento para dispositivos e protege contra ataques à rede.
Conclusão: você não precisa ter medo do digital; você simplesmente precisa ser capaz de usá-lo corretamente! E estamos aqui para ajudar com isso – com os melhores professores e tutoriais!