Thiago Lima, engenheiro de sistemas da A10 Networks. Foto: Divulgação.

Por Thiago Lima*
Na velocidade da fibra óptica, o IoT e suas aplicações chegaram ao ambiente industrial. Hoje já são mais de 23 bilhões de dispositivos e a previsão é triplicar este número em menos sete anos com 75 bilhões de "coisas" conectadas na internet, segundo pesquisas do SANS Institute. O ambiente das indústrias não deve perder o fluxo da maré, já que os diretores e gerentes de TO (Tecnologia da Operação) gostaram da ideia de monitorar seus mais diversos sistemas "a qualquer hora, em qualquer lugar".

O IIoT (sigla em inglês para Internet das Coisas Industrial) está permeando toda a linha de produção. No campo, está monitorando a posição de um trator. Na indústria, controlando a emissão ou vazamento de gases no ambiente. Em uma hidrelétrica, se os níveis da represa estão corretos. Em um fast-food, do lado do seu escritório, se a geladeira está aberta por mais tempo do que deveria. As possibilidades são fantásticas e infinitas e as empresas devem aproveitá-las para melhorar a eficiência da produção, a qualidade, reduzir custos e elevar os níveis de segurança física.

Mas, a praticidade do IIoT e a tranquilidade de monitorar e prevenir desastres tem seu preço. Estes dispositivos implantados de forma desenfreada apresentam uma brecha imensa de segurança. É necessário pensar na segurança "a qualquer hora, em qualquer lugar", e não apenas no acesso. A grande diferença do IoT Industrial para o comum é que este pode causar danos físicos. Em questão de segundos, podemos especular cenários desde uma simples geladeira aberta gastando energia até uma explosão em uma fábrica ou uma cidade inteira alagada. Esta ficção não está tão longe assim da realidade.

Para que o IIoT siga com suas funções seguras, a área de TO precisa estar em perfeito alinhamento com a de TI para mensurar riscos e identificar melhores práticas. Ainda na pesquisa do SANS, notou-se que os gerentes de rede possuem dificuldades para definir o que é um IIoT endpoint. Portanto, algo que está ligado de uma ponta a outra, por exemplo, uma câmera que pode enviar informações diretamente a um computador remoto, tornam-se um endpoint ou não, dependendo da passagem por uma rede segura ou não. Pensando desta maneira, parece que atualmente estamos em uma zona cinza, mas não é bem assim.

Pensando em um projeto seguro, é necessário monitorar todo o ciclo pelo qual a informação e o device passam. Como são aparelhos com baixo custo de aquisição e consumo de energia, os dispositivos das coisas não conseguem suportar segurança embarcada e muitas vezes é complicado, até mesmo atualizá-los e alterar suas senhas. Quem possui grandes redes de câmeras IP, por exemplo, sabe do que estou falando. Mas, se não podemos embarcar segurança, como defender estes aparelhos para que não virem armas no caso de ataques DDoS, brechas de rede ou até mesmo espionagem industrial? Tornando a rede segura.

Para assegurar um pequeno IIoT na ponta da rede, não é necessário termos segurança no dispositivo, mas sim no caminho até ele. Um atacante que consiga se infiltrar na rede será parado por um Firewall Convergente ou Firewall de Próxima Geração assim que tentar seguir em direção ao dispositivo na ponta. Uma rede bem projetada freia agentes mal-intencionados no meio e no caminho inverso, pois, se por algum motivo, ele conseguir atacar o IIoT, não fará seu caminho de volta para rede, já que os Firewalls irão detectar o dispositivo comprometido.

Outro fator importante para a segurança de rede é separá-la em silos com controle de acesso. Uma rede de Internet das Coisas Industrial dividida terá poucos ou mesmo um único dispositivo comprometido, que será isolado e tratado conforme o caso. Também fica clara a importância para que criminosos não se movimentem pela rede, como em casos que vimos no passado, em que um endpoint a quilômetros de distância foi porta de entrada para um data center.

Por fim, lembre-se, projetar segurança desde o início é algo que não devemos esquecer. O IIoT veio para monitorar, aprimorar meios de produção, trazer segurança e prevenir desastres e não gerar um desastre.

* Thiago Lima é engenheiro de sistemas da A10 Networks.