Industrial Security: primeiros passos para empresas

Simon Nutz, Consultor de Industrial Security

“Security? Isso não nos diz respeito!” – Quando questionados sobre Security, essa ainda é a resposta comum dos fabricantes e operadores de máquinas. ”Nossa equipe de TI é a responsável pela Security”, acrescentam, como se desculpando. No entanto, a prática mostra que a TI carece de conhecimentos específicos, especialmente no que diz respeito às redes de automação. Por outro lado, designers ou gerentes de saúde e segurança (HSEs) não têm certeza sobre como lidar com a segurança cibernética. Dessa forma, como você pode se equipar para a Industrial Security?

A partir de janeiro de 2027, o Regulamento de Máquinas 2023/1230 (RM) será obrigatório por lei na União Europeia. Ele se aplicará a todas as empresas que desejem importar ou operar máquinas na UE. O RM prescreve Industrial Security sob a forma de medidas de proteção contra a corrupção. Com ele, Industrial Security se torna um elemento crítico para os negócios a cargo da administração da empresa. A administração deve garantir que a Industrial Security seja um valor consolidado na empresa.

Trazendo todos para a conversa
Para que isso seja bem-sucedido, o primeiro passo é reunir todos os envolvidos em uma conversa. No caso dos engenheiros mecânicos, trata-se de TI e desenvolvimento/design e, se disponível, dos gerentes de Security (por exemplo, CISO). No caso dos usuários, além da TI, há tecnologia e gestão da produção, HSE e CISO.
Em primeiro lugar, trata-se de construir conhecimento e desenvolver um entendimento comum sobre Industrial Security: quais obrigações legais a indústria mecânica e de instalações enfrentará? Como ficam Safety e Security reunidas? Em quais interfaces TI e OT se encontram?

Na segunda etapa, essas equipes interdisciplinares desenvolvem uma estratégia adequada para a empresa, incluindo um conceito de implementação. É questão de se encontrar e estruturar dentro da empresa: onde estarão as responsabilidades no futuro? Como é a topologia de rede das suas próprias máquinas? Como isso se encaixa nos novos requisitos legais?

A implementação começa com a avaliação de risco
Só assim a empresa estará em condições de implementar a Industrial Security. Isso começa com a avaliação e quantificação de possíveis eventos de danos e a elaboração de uma análise das necessidades de proteção. No decorrer desses esforções, também são identificadas possíveis vulnerabilidades, bem como potenciais de ataque e manipulação por meio de redes, digitalização e IA. Importante: além dos objetivos clássicos de proteção de TI, como confidencialidade, integridade e disponibilidade, os objetivos de proteção de Industrial Security também incluem Safety, ou seja, a segurança funcional da máquina.

Uma avaliação de risco de Security é sempre o ponto de partida. O objetivo é analisar os perigos e riscos causados por brechas de Security. Isso requer monitoramento contínuo e adaptação das medidas de segurança. Geralmente, isso envolve infraestruturas e redes de TI complexas, o que requer conhecimento técnico e recursos adicionais.

Procuram-se especialistas em Safety e Security!
Se você estiver procurando suporte externo ao começar a usar Industrial Security em automação, deve estar ciente de que o know-how de Security de TI é de ajuda limitada. Isso ocorre porque os processos de redução do risco de ataques às máquinas (Industrial Security) são muito semelhantes aos processos de redução de riscos que podem surgir das máquinas (Safety). Caso deseje implementar a Industrial Security, você precisa ser um especialista em segurança de máquinas e conhecer as especificações e normas associadas, em primeiro lugar o Regulamento de Máquinas.

A implementação concreta da legislação está atualmente em andamento. Em alguns locais, as normas harmonizadas ainda se encontram em fase de elaboração. Como especialista em segurança de máquinas, a Pilz está próxima da ação e contribui ativamente para moldar as normas relevantes. A Pilz transmite esse know-how aos seus clientes sob a forma de serviços e treinamento. O treinamento "Noções básicas de Industrial Security" é voltado para iniciantes. Os participantes aprenderão terminologia e os requisitos e entenderão a segurança cibernética no contexto da segurança de máquinas e redes. As práticas recomendadas contribuem para a compreensão dos riscos de segurança cibernética em sua própria produção.
O curso de formação "Certified Expert for Security in Automation (CESA)" fornece as ferramentas para tomar medidas organizacionais e técnicas eficazes em redes de automação industrial.

Além dos treinamentos oferecidos, a Pilz disponibiliza o portfólio "Identification and Access Management" (I.A.M.). Produtos e soluções individuais para uma variedade de tarefas relacionadas à proteção de funcionários, proteção de responsabilidade, produtividade máxima e proteção de dados. Entre os aplicativos estão inclusos, por exemplo, autenticação de usuários, seleção de modo seguro, segurança de dados e rede e gerenciamento de acesso. Desta forma, Safety e Security podem ser cobertas em um único sistema.

Para se prepararem para os desafios de Industrial Security em tempo hábil, fabricantes e operadores de máquinas em todo o mundo devem lidar com o tema desde já. É necessário construir conhecimentos, definir responsabilidades e interfaces e desenvolver uma estratégia própria. Idealmente, cabe à administração iniciar esse processo.