Arquivo da categoria: Cibersegurança

LGPD – LEI GERAL DE PROTEÇÃO DE DADOS

A Segurança e a Proteção de Dados na Digitalização e Indústria 4.0

Entendendo que seremos uma sociedade digital, onde informações baseada em dados computacionais, estarão na base de toda a vida da população, sendo na escola, governo, segurança pública, saúde, indústria entre outros, nos remete a uma grande preocupação, que é a segurança sobre estas informações e de que forma ela estará disponível e como será tratada, além de suas responsabilidades.

O mundo já se movimenta na direção de regulamentar, utilizar normas, leis, onde o trato desta informação passa por responsabilidades, nosso texto tem a intenção de iniciar uma discussão acerca da LGPD – Lei Geral de Proteção de Dados, que no Brasil, será a base destas premissas de responsabilidade sobre o dado.

Em nosso caso, vamos lançar um olhar focal sobre a indústria, mais focado em sistemas de automação industrial, que manipula dados e permite a criação de camada de informações digitais, atendendo a realidade da Indústria 4.0.

Não temos a intenção de explicar a LGPD, até porque é um assunto jurídico, nosso principal objetivo é abrir um olhar sobre a importância de construir sistemas que levem em conta as responsabilidades sobre dados trafegados dentro das indústrias.

Vamos limitar nosso assunto neste texto em:

  • Evolução da quantidade de dados e da digitalização das informações como nova forma de comunicação e documentação;
  • Leis e Normas aplicadas a proteção de dados, especificamente a LGPD Lei Geral de Proteção de Dados;
  • Entender a proteção de dados na indústria, aplicando Normas e Leis, nas dimensões IoT (Internet das Coisas), Internet e Computação em Nuvem.

Como dissemos na apresentação do texto, a sociedade caminha para ter suas bases nos dados digitais, lembrando que isto é uma evolução, onde iniciamos com sociedade organizada a transferência de conhecimento e responsabilidades no início através da oratório, evoluímos com a escrita em documentos, após o invento a prensa e agora, com a internet e todo um conceito de dado computacional, teremos em todas as áreas a digitalização de informações.

Relembrando o conceito de Indústria 4.0, onde a interconexão de Toda Cadeia de Valor (Informações + Pessoas + Equipamentos) conectados na Internet, utilizando Inteligência Artificial para tomada de decisões na Indústria, nos leva a observar que cada elemento de conexão é um ponto sensível de informação digital, que deve ser tratada a partir da segurança do dado e da responsabilidade por este.

Quais os desafios frente a segurança da informação e responsabilidades, vejam os principais:

  • Proteger o dono dos dados e da informação;
  • Estabelecer regras na Internet;
  • Proteger Cibersistemas Industriais.

O que é a LGPD:

  • Lei que regulamenta, no Brasil, a forma pela qual as organizações deverão tratar dados e informações de pessoas;
  • A LGPD está alinhada com a regulamentação Europeia de Proteção de Dados (GDPR), colocando o Brasil em patamares globais;
  • A Lei estabelece regras detalhadas para coleta, uso, tratamento e armazenamento de dados pessoais de toda Cadeia de Valor.

Quais são os principais objetivos da LGPD:

  • PRIVACIDADE – proteção de dados da pessoa;
  • TRANSPARÊNCIA – regras claras para tratamento de dados;
  • DESENVOLVIMENTO – desenvolvimento econômico e tecnológico;
  • PADRONIZAÇÃO – regras únicas independente do setor;
  • PROTEÇÃO DO MERCADO – segurança jurídica no tratamento de dados;
  • CONCORRÊNCIA – promover concorrência através da portabilidade.

A LGPD estabelece algumas definições:

  • Dado Pessoal – Informação que identifica a pessoa;
  • Dado Pessoal Sensível – São as características que definem a pessoa;
  • Tratamento – A operação que é realizada com o dado;
  • Controlador – Pessoa que toma a decisão com o dado;
  • Operador – Pessoa que realiza o tratamento do dado em nome do Controlador;
  • Agentes de Tratamento – Controlador e Operador.

Quanto a abrangência da LGPD:

IMPORTANTE

  • Regula dados de pessoas física
  • Aplica-se independente do meio
  • Aplica-se dentro do Brasil e operações fora

NÃO APLICAÇÃO

  • Para fins particulares e não econômicos
  • Para fins jornalísticos, artísticos, acadêmicos
  • Segurança pública
  • Investigação
  • Dados em trânsito de outros países

Quanto aos princípios da LGPD:

USO DO DADO

  • Finalidade
  • Adequação
  • Livre acesso
  • Necessidade
  • Transparência
  • Qualidade dos dados
  • Segurança
  • Prevenção
  • Não discriminação
  • Responsabilização
  • Prestação de contas

COMO DEVE SER

  • Uso de dados com propósitos legítimos
  • O tratamento deve ser compatível com as finalidades
  • O tratamento do dado deve ser limitado ao mínimo para o objetivo
  • O titular tem livre acesso à consulta de seus dados
  • Os titulares devem ter seus dados claros, exatos e relevantes
  • O titular deve ter suas informações precisas e facilmente acessíveis
  • Deve-se aplicar técnicas e segurança para proteger acessos não autorizado de dados
  • Deve haver procedimento de prevenção de danos a dados
  • Não pode haver tratamento de dados discriminatórios
  • Deve haver demonstração de medidas que comprovem o cumprimento das normas de proteção

Quanto a base legal:

HIPÓTESES QUE JUSTIFICAM O TRATAMENTO DE DADOS PESSOAIS

  • Consentimento do titular
  • Cumprimento de obrigação legal ou regulatória
  • Por administração pública para fins de leis e regulamentos
  • Para realização de estudos de órgãos de pesquisa
  • Para execução de contratos ou procedimentos preliminares
  • Para proteção da vida
  • Para exercício regular do direito em processo
  • Para interesses legítimos do controlador
  • Para uso em Saúde ou entidades sanitárias
  • Para proteção do crédito
  • Pessoas sensíveis, crianças e adolescentes tem tratamento específico

TÉRMINO DO TRATAMENTO

  • Finalidade alcançada
  • Fim do período
  • Manifestação do titular
  • Determinação legal

Quanto aos direitos do titular:

LIBERDADE E PRIVACIDADE DE INDIVÍDUOS

  • Informações claras sobre o tratamento de dados
  • Confirmação da existência de tratamento
  • Correção de dados incompletos ou inexatos
  • Bloqueio, anonimato e eliminação de excesso de dados
  • Portabilidade de dados para outro fornecedor
  • Eliminação de dados pessoais do tratamento
  • Informação do uso de dados compartilhados
  • Possibilidade de não fornecer consentimento ou saber das consequências
  • Possibilidade de revogação fácil e gratuita

OBSERVAÇÃO

O Controlador deverá cumprir de imediato qualquer solicitação do titular, caso não possa de imediato, deverá comunicar e justificar com as devidas razões que o impeçam e caso não seja o agente, apontar qual o agente de fato, caso o conheça.

Quanto as obrigações do controlador:

RESPONSABILIDADES

  • Provar o consentimento do dado de acordo com a Lei
  • Confirmar existência ou providencia acesso a dados
  • Manter registro de todas as operações de dados (autoridade nacional)

AUTORIDADE NACIONAL

  • Deverá o controlador, relatar:
  • Descrição dos tipos de dados
  • Metodologia de coleta
  • Metodologia de segurança
  • Análise do controlador quanto a proteção e mitigação de riscos

RESPONSÁVEL PELO DADO

  • Indicar um responsável de forma pública
  • Aceitar reclamações e prestar esclarecimentos e providências
  • Receber comunicação da autoridade nacional
  • Orientar funcionários e contratados
  • Ser responsável por todas atribuições

Quanto a troca de dados internacional:

SEGUIR OS PADRÕES DA LGPD

  • Entre países que tenham grau de proteção de dados previsto em Lei
  • O controlador oferecer e comprovar garantias dos direitos do titular do dado
  • Quando for transferência de cooperação jurídica internacional (acordo)
  • Autorizada pela autoridade nacional de proteção de dados
  • Para execução de políticas públicas
  • Quando o titular fornecer consentimento específico
  • Quando necessário para cumprimento de obrigação legal
  • Para execução de contrato
  • Para exercício de direitos em processos

OBSERVAR

Leis e regulamentações específicas de cada país ou organismo internacional

Quanto a segurança dos dados:

O QUE DEVE SER FEITO

  • O agente deve proteger dados contra acesso não autorizado, destruição, perda, alteração ou comunicação
  • Os projetos de segurança devem ser baseados em Privacy by Design ou Security by Default
  • Casos de incidente de segurança devem ser comunicados a autoridade nacional e ao titular do dado
  • Descrever as providencias a serem tomadas

A COMUNICAÇÃO DO INCIDENTE

  • Descrição da natureza dos dados afetados
  • Envolvidos
  • Técnicas utilizadas para a segurança
  • Riscos do incidente
  • Justificar a comunicação
  • Medidas de correção ou diminuição de impacto

IMPORTANTE

  • O Agente de dados poderá individualmente formular regras de governança de segurança de dados, que possa:
  • Aplicar no tratamento de dados
  • Uso de padrões e normas
  • Obrigações da organização
  • Ações educativas
  • Mecanismos internos de mitigação

Entendendo o PRIVACY BY DESIGN ou SECURITY BY DEFAULT:

PRIVACY BY DESIGN

A empresa que trata o dado é responsável pela proteção e privacidade durante todo o ciclo de vida, o usuário deve ter o controle e a opção sobre seus dados, sempre que possível usar dados não identificáveis, ser proativa na proteção.

SECURITY BY DEFAULT

Quando um produto ou serviço é lançado, todas as configurações de segurança do dado do usuário, já são aplicadas como padrão, sendo habilitadas de forma voluntária por quem usa, quantidade e tempo limitado.

Quanto as sanções:

DESCUMPRIMENTO DA LEI (AGENTES)

  • Indenizar o titular do dado
  • Receber advertência para adoção de medidas corretivas
  • Multa de 2% faturamento, limitada a 50 milhões por infração
  • Infração publicada após confirmação
  • Bloqueio de dados pessoais até regularização
  • Eliminação dos dados pessoais após infração

O PROCEDIMENTO ADMINISTRATIVO PREVE

  • Gravidade e natureza da infração
  • Boa fé
  • Vantagem pelo infrator
  • Condição econômica do infrator
  • Reincidência
  • Grau do dano
  • Cooperação do infrator
  • Adoção de políticas de boas práticas
  • Adoção de medidas corretivas
  • Proporção entre gravidade e intensidade da sanção

OBSERVAR

  • Autoridade nacional poderá considerar faturamento total do grupo empresarial
  • Para aplicação de multa diária poderá ser levado em consideração gravidade da falta ou dano causado

O que fazer para estar de acordo com a LGPD, proposta de um check list geral:

  • Contratar assessoria jurídica;
  • Entender os impactos da LGPD em seus processos;
  • Revisão políticas de tratamento de dados pessoais;
  • Manter registro de dados que demonstrem adequação de tratamento;
  • Avaliar sua base legal por tratamento de dados;
  • Manter documentação de consentimento e transparência nas operações dos dados;
  • Adequar estrutura operacional para viabilizar cumprir a lei perante o titular do dado;
  • Desenvolver mecanismos onde o titular exerça o direito de transparência e edição dos dados (conteúdo);
  • Adotar medidas técnicas de tratamento seguro dos dados;
  • Desenvolver processos internos que realizem manutenção de registros e seus tratamentos;
  • Gravar dados visando atender a finalidade de sua coleta, cumprindo a lei;
  • Nomear encarregado de dados pessoais;
  • Adotar procedimento rígido de transação de dados com exterior;
  • Desenvolver sistemas de identificação e combate a incidentes de segurança;
  • Fazer seguros para cobertura em caso de incidentes de segurança;
  • Criar políticas de segurança para respostas a incidentes;
  • Executar análise de conformidade no tratamento dos dados, analisando riscos e sanções;
  • Ter um plano de contingência caso ocorra um incidente (minimizando o dano).

O que a empresas deverá fazer:

  • Ter entendimento da sua estrutura de dados;
  • Fazer auditoria sobre o tratamento de dados;
  • Fazer gestão do consentimento e anonimização;
  • Fazer a gestão dos pedidos do titular;
  • Ter relatórios de impacto;
  • Implantar medidas de segurança de dados;
  • Criar um plano de governança no tratamento;
  • Estabelecer um plano de comunicação de incidentes de segurança;
  • Validar os términos dos tratamentos;
  • Obter certificação de auditorias;
  • Identificar o encarregado pela LGPD;
  • Mitigar e prevenir conflitos.

Diretrizes de um roteiro básico de implantação:

  • Treine e qualifique as pessoas
  • Mude os processos de acordo com a lei
  • Implante tecnologias

A Internet como sendo o elemento ou mídia de comunicação global, capaz de dar o formato da sociedade digital, vem evoluindo em termos de tecnologia e segurança, mas os desafios aumentam e são impostos de acordo com novas demandas e paradigmas.

Algumas questões de alta relevância que nos remetem a refletir:

  • A Internet como conhecemos hoje, atenderá o Novo Mundo Digital?
  • A segurança na Internet, como conhecemos hoje, permitirá uma Sociedade Digital?
  • A Internet sempre será uma terra de ninguém? Ou poderá mudar de patamar, uma vez que é a nova via na Nova Sociedade.

Segue abaixo, um descritivo de tendência da Internet, de modo a dar uma resposta a evolução e as necessidades da digitalização:

  • Desafio: A Internet para suportar a Sociedade Digital deverá ter alta capacidade de endereçamento, processamento, baixa latência e suportar novos padrões e protocolos.
  • Solução: Tecnologias como, IPV6 de endereçamento, computação em nuvem, 5G e MQTT, são evoluções para atender estas novas realidades.
  • Desafio: A segurança na Internet deverá evoluir para não colapsar com o aumento exponencial de pontos de acesso, como o IoT permite.
  • Solução: Utilização de robôs de antivírus (vacinas digitais) na rede, uso de perfis dentro da Deep Web (Dark Web) para interconexão de infraestrutura crítica, criptografia nativa, são algumas evoluções de alto impacto na segurança na internet.
  • Desafio: A Internet é território livre, mas deve evoluir para um ambiente mais regulado, não rígido, mas monitorado e com possibilidade de intervenções.
  • Solução: As Leis e Marco Regulatórios devem dar um formato que preserve usuários, empresas, entidades e governos no uso da rede, com responsabilidades e penalidades.

Vamos aplicar alguns destes conceitos de segurança na indústria, observamos de imediato que estes desafios são relativamente novos, quando pensamos em chão de fábrica e ambiente de automação industrial.

Observe algumas vulnerabilidades, que hoje existem em uma linha de produção automatizada, bem como em processos industriais:

  • Convergência de dados, computação em nuvem e interconexão com internet;
  • Infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas
  • Banco de dados de clientes, planejamento, fornecedores, logística

Cenários como este, dentro do conceito de Indústria 4.0, apontam soluções, vão desde aplicações de Cibersegurança, boas práticas e a própria LGPD, por isso o entendimento de como o dado trafega na cadeia de valor é de grande importância para questões de responsabilidades.

Então, frente a estes desafios apontados, podemos descrever algumas soluções:

  • Desafio: convergência de dados, computação em nuvem e interconexão com internet.
  • Solução: Aplicar a Técnica de Defesa em Profundidade, criar roteamento em toda a Internet para Fábrica – ISO/IEC 27001 e 27002 (ISA99).
  • Desafio: infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas.
  • Solução: Aplicar a técnica de Defesa em Profundidade, usar criptografia nos dados de fábrica, monitorar a rede industrial contra acesso não autorizado – ISO/IEC 27001 e 27002 (ISA99).
  • Desafio: banco de dados de clientes, planejamento, fornecedores, logística.
  • Solução: Aplicar a LGPD e todas as premissas da Lei, associar boas práticas e criar um manual de Governança de Proteção na Indústria.

Quanto a aplicação direta da LGPD no ambiente de dados industriais, podemos apontar os principais elementos que devem ser mitigados com a lei:

CADEIA DE VALOR INTERCONECTADA

Os dados de clientes, fornecedores, pedidos, marketing, logística, entre outros, são dados de pessoas, que podem inclusive serem sensíveis, a adaptação de acordo com a LGPD é essencial, uma vez que a Cadeia de Valor está toda conectada na Fábrica Digital.

DIVERSOS BANCO DE DADOS INTERCONECTADOS

Banco de dados de cliente, banco de dados de pedidos nominais, banco de dados de transporte e logística, banco de dados de histórico de clientes com perfis de consumo, entre outros, estão sujeitos a todas as condições da LGPD.

APLICAR TODA A LGPD COM UM OLHAR ATENTO EM:

  • Criar política de uso dos dados dentro da rede interconectada na Cadeia de Valor
  • Entender a aplicar dentro da necessidade o formato de compartilhamento de dados na indústria
  • Criar cultura de proteção do dado e sua importância na organização
  • Estabelecer novos procedimentos de coleta e tratamento de dados na indústria (produção)
  • Colocar em prática medidas de transparência no tratamento de dados

Concluímos que a LGPD organiza e orienta de forma clara, a importância que as empresas devem dar aos dados das pessoas, na indústria, dentro da Cadeia de Valor, associado à digitalização, se faz necessário aplicar todas os conceitos da Lei e incorporar boas práticas e tecnologia, de modo a não ter dados extraviados, dentro das vulnerabilidades dos sistemas, caso não existam e não se apliquem Políticas de Segurança de Dados.

INDÚSTRIA 4.0 – PROJETO E IMPLANTAÇÃO

Diretrizes de Projeto e Implantação da Digitalização da Produção de Acordo com a Indústria 4.0

Neste texto vamos falar sobre a implantação de projetos de Automação Industrial aderentes a Indústria 4.0, importante saber que, não estamos querendo postular um modelo, mas sim, apresentar uma proposta, um singelo roteiro de visões sobre as tecnologias que se encontram disponíveis e principalmente, o que poderia ser exequível nas plantas existentes.

Para se chegar a uma planta digital, nos moldes da proposta da Indústria 4.0, utilizando todas as tecnologias existentes, é necessário percorrer um caminho inicial, pois sem um preparo, não poderemos implantar as tecnologias propostas no contexto da indústria digital, são os seguintes passos abaixo que propomos:

  • Passo 1 – Entenda o conceito da Indústria 4.0 e seus impactos;
  • Passo 2 – Analise a automação existente em sua planta;
  • Passo 3 – Otimize o processo existente;
  • Passo 4 – Faça a convergência de dados de sua cadeia produtiva;
  • Passo 5 – Implante as ferramentas da Indústria 4.0 (redesenhe seus processos).

Para delimitar nosso tema a respeito de projeto e implantação da Indústria 4.0, vamos entender:

  • Como repensar um ambiente de produção com ferramentas digitais;
  • Como obter vantagem no negócio com um modelo de tecnologia baseado na Indústria 4.0;
  • Como usar as tecnologias atuais e integrar a planta de produção no negócio digital.

Quando se entende a necessidade de buscar modelos de implantação da planta digital, normalmente temos alguns cenários conhecidos:

  • Tenho uma produção e necessito colocar o nível de produção aderente a Indústria 4.0;
  • Quais ferramentas já posso utilizar e qual a utilidade no novo modelo de produção digital;
  • Como alterar uma cultura de produção para um novo modelo, desde planejamento até operação.

O modelo produtivo evoluiu ao longo do tempo, alterando o perfil da produção, que no início, só se tinha a visão da planta local e seu processo unitário, com a automação e redes de informação, passamos a conectar o planejamento e gestão na produção, tendo um contexto maior da planta, mas ainda limitado ao processo local, com a Indústria 4.0 e as redes convergentes, o modelo produtivo, passa a ser o próprio modelo de negócios, uma vez que a conexão é de toda cadeia produtiva que orbita no ecossistema da empresa.

Para trilhar a implantação da Indústria 4.0 nos processos produtivos, temos alguns desafios que são comuns para uma análise:

  • Como atualizar uma planta produtiva existente de acordo com um modelo da Indústria 4.0;
  • Como gerar valor no negócio a partir de um novo modelo de planejamento e gestão produtivo;
  • Como incorporar novas tecnologias de produção e planejamento, com objetivo de aumentar receita e diminuir custos.

Um projeto de automação que tenha as premissas da Indústria 4.0, deve se encaixar nos quadrantes da tecnologia, que propomos a observar:

  • Conhecimento da Plata (informação);
  • Produtividade (eficiência produtiva);
  • Decisões (diagnósticos e prognósticos);
  • Novos formatos (oportunidades de negócio);

A automação industrial dos projetos atuais, devem ter as seguintes diretrizes abaixo, uma vez que estes sistemas devem dar as respostas a indústria digital:

  • Permitir novas formas de fazer negócios;
  • Eliminar ao máximo o desperdício e o erro;
  • Permitir customização e personalização da produção.

As principais características da Indústria 4.0 é ser colaborativa, preditiva e inteligente, para isso, sua arquitetura de produção deve ser, interoperável, flexível e descentralizada, com impactos diretos na escala produtiva, mão de obra e tomada de decisões.

Para os projetos de automação industrial, devemos utilizar as tecnologias da Indústria 4.0, talvez uma mais aderente que a outra, a depender do processo produtivo a que se refere, porém é bom listar as principais:

  • Redes de comunicação
  • Cibersegurança
  • IOT internet industrial
  • Cloud Computing
  • Big Data
  • Mineração de dados
  • Aprendizado de máquina
  • Virtualização (digitalização)
  • Realidade aumentada
  • Gêmeos digitais
  • SOA
  • OPC-UA
  • RFID
  • Produção por adição
  • Drones
  • Robôs

Como dever ser a planta da Indústria 4.0 e o que deve ser levado em consideração no contexto de projeto e implantação:

  • A planta deve ser interoperável – todo sistema se comunica;
  • Deve permitir virtualização – do planejamento a manutenção;
  • Deve ser flexível, modular e descentralizada;
  • Utilizar banco de dados em formato Big Data e em Cloud;
  • Utilizar modelos decisórios baseado em análise de dados;
  • Estar estruturada com sistemas de Cibersegurança.

A questão da interconexão, deve levar em consideração particularidades de cada setor, sistema, departamento, ou fornecedores, internos ou externos, que participem do processo produtivo e, devem ser observados que cada agente deste, deve estar conectado a um sistema de Cloud, que permita produzir informações de forma a unir no ecossistema, e o Big Data, absorverá todas estas informações, permitindo modelagem de dados para tomada de decisões.

A Indústria 4.0, em processos dinâmicos, que necessitem de customização em massa, devem ter sistemas de automação descentralizados, que controle células locais e respondam a processos centrais, sendo um arranjo de automação altamente flexível, que permita interconexão e mudanças rápidas na produção, além de sistema de segurança que monitore todo o processo em rede.

Na utilização das tecnologias, as principais diretrizes que temos que ver, no que se refere a aplicação, devemos levar em consideração de forma prática:

  • Conectar todas as informações (automação, IoT, IIoT, banco de dados);
  • Usar Cloud e Big Data para centralizar e analisar dados;
  • Usar mineração de dados para eliminar decisões intermediárias, focando o gestor;
  • Usar aprendizado de máquina para operar o sistema, fazendo do operador um supervisor de processo;
  • Usar predição (analisador de causas), criando prognóstico em produção e manutenção.

As tecnologias da Indústria 4.0, permeiam uma grade de projetos, todavia não necessariamente usaremos todos os elementos, ou pelo menos, devemos entender o que são rotas de dados para o usuário, por exemplo, o dado iniciando pelo processo, pode seguir uma rota de cibersegurança e IoT diretamente para a operação, não necessariamente sendo analisado no Big Data, deve-se construir as rotas de acordo com cada processo.

Abaixo sugerimos a observação das principais diretrizes para projetos de sistemas para Indústria 4.0:

  • Instrumentação e medição

Use redes Ethernet e redes Wireless – adote protocolos industriais baseado em Ethernet e integre o IoT Industrial;

  • Controle

Descentralize o máximo o controle, isso dará flexibilidade da produção, use microcontroles e controladores centrais de comunicando e conecte no Cloud;

  • Infraestrutura

Use ferramentas de virtualização, cloud computing e gestão do sistema via outsourcing;

  • Operação

Use dispositivos móveis, crie aplicativos de alta integração, evolua no uso do deep learning para apoio da operação;

  • Manutenção

Use modelos de manutenção baseado em eventos, conecte dados no cloud e use prognósticos de ativos e acesso remoto;

  • Gestão da Produção

Conecte os dados da produção, conecte ativos pela IoT e sistemas pela IIoT, use o Big Data;

  • Apoio a tomada de decisões

Conecte os dados da cadeia de produção no Big Data e use ferramentas de Mineração de Dados e Machine Learning.

Utilize serviços de Cloud Computing, onde estas plataformas são utilizadas e pagas como serviços, tais como, IBM BlueMix, Google Cloud Platform, Microsoft Azure, Amazon AWS, com as principais características:

  • Armazenagem de dados;
  • Máquinas virtuais;
  • Processamento sob demanda;
  • Segurança de dados;
  • Mineração de dados;
  • Aprendizagem de máquina;

Crie uma estrutura de conectividade, que permita que os dados internos de produção trafeguem pelas redes, use gateways e servidores OPC, use sistemas de roteamento de dados para conexão ao Cloud, crie modelos de gestão, manutenção, planejamento e automação, dentro do ecossistema.

Elabore uma arquitetura de automação que contemple todos os agentes produtivos da indústria, pense no negócio como um todo e como ele se relaciona, conecte todas as tecnologias disponíveis e crie os webservices, para que seja produzido e consumido informações dentro desta arquitetura.

A implantação de um modelo de Indústria 4.0 é uma mudança cultural de produção, é a própria fábrica digital para um novo modelo industrial, necessitando de liderança transformativa na indústria, sendo liderada por uma geração digital de profissionais que entenda o valor da mudança, liderada pelo CEO, líderes da transformação e composta por equipes também líderes e polivalentes, seguindo os principais passos como sugestão de implantação:

  • Passo 1 – Aplique Lean Manufactoring e indicadores de gestão e eficiência OEE;
  • Passo 2 – Identifique na produção o processo de maior integração – faça um piloto;
  • Passo 3 – Defina sua capacidade produtiva – crie modelos de tomada de decisões (Big Data);
  • Passo 4 – Aplique convergência e Machine Learning – elimine operações no processo;
  • Passo 5 – Escale o processo – integre setores – replique o modelo.

Passamos abaixo, alguns pontos importantes para serem observados na implantação:

  • Análise do status atual de automação (dados) de planta;
  • Análise do status atual de operação, manutenção e planejamento;
  • Identificação de pontos, operação e ações de otimização (ativos de planta, ponto de operação e segurança operacional);
  • Desenho da convergência de dados e informações da planta (infraestrutura);
  • Análise e projeto do sistema de cibersegurança (TO e TI)
  • Projeto de digitalização – complemento de IOT e dados externos (PCP, MES,MOM) – modelo de tomada de decisões;
  • Redesenho:
    • Tomada de decisões na gestão da planta;
    • Ações de controle ótimo;
    • Prognósticos de manutenção.
  • Treinamento

Relacionamos abaixo os principais benefícios esperados com a implantação de um roteiro para preparar a planta para a Indústria 4.0:

  • Iniciar a jornada pela Indústria 4.0 e se adequar ao futuro da Manufatura e Processos;
  • Obter novas oportunidades de conectar a fábrica aos consumidores e processos de inovação;
  • Gerenciar receita e custos, baseado em status de tempo real e prognósticos de cenários;
  • Diminuir tempo de tomada de decisões, diminuir erros de operação e integrar planejamento e qualidade da produção em tempo real;
  • Aumento de portfólio de oportunidades de negócios, com uma fábrica flexível, integrada e descentralizada.

Concluímos que projeto e implantação da Indústria 4.0, ainda estão no início de uma curva de maturidade, ainda que já haja tecnologia disponível, todavia, a questão é “saber” unir todos os pontos (universo cibernético) e mudar uma cultura de produção, de forma a obter vantagens competitivas em um mundo altamente digital e dinâmico.

CIBERSEGURANÇA NA INDÚSTRIA 4.0

Segurança de Dados em Redes e em Sistemas de Automação Industrial

A TI Tecnologia da Informação já se acostumou a lidar diariamente com problemas de segurança de dados, porém, a automação, uma vez convergindo com a TI, passou a herdar também este problema, no mundo da TA Tecnologia da Automação, a questão da segurança de dados é relativamente novo, mas podemos afirmar que, a segurança da informação, em qualquer nível de automação, já é uma barreira a implantação e ao crescimento dos sistemas para a Indústria 4.0.

Em nosso texto anterior, explicamos o contexto da construção de rodovias para a interconexão da Indústria 4.0, agora imaginemos estas rodovias (as redes) e precisamos sinaliza-las, colocar regras de tráfego, normas e procedimentos, isso vamos chamar de cibersegurança.

Para delimitar nosso tema, vamos mostrar algumas questões referentes a cibersegurança na automação industrial e ir construindo um pensamento que nos leve a Indústria 4.0, segue o contexto do que vamos escrever:

  • A questão da segurança de dados no ambiente industrial digital;
  • As invasões em plantas industriais por hackers;
  • Medidas de proteção e contingência para infraestrutura da Indústria 4.0.

No ambiente industrial, no que se refere a segurança de dados, podemos ter inúmeros cenários de ataque, vamos comentar alguns comuns que precisamos entender:

  • É notório o crescimento das invasões a plantas industriais;
  • O crescimento de projetos de convergência com vistas a Indústria 4.0 desafiam a segurança de dados;
  • Desenvolver projetos simples e eficazes, além de procedimentos de implantação real.

No início da automação não havia problemas de roubo de dados em rede, uma vez que não havia a rede, no contexto da evolução, os dados eram apenas locais e nos dispositivos, com a evolução, passamos a ter as redes de TI e TA, no início separadas e agora em convergência, isso já preocupa sobremaneira os profissionais, principalmente de TI, que normalmente são responsáveis por esta área de segurança, uma novidade para a TA, mas quando pensamos em Indústria 4.0, devemos ver a integração total da planta, todos os setores e sistemas, além da conexão ao mundo externo, pela internet e serviços de cloud, abrindo brechas de segurança, que antes não existiam nas plantas industriais.

As preocupações e desafios para implantação de sistemas seguros são enormes, além de serem extremamente dinâmicos, mas podemos eleger se forma simplificada os principais pontos que devem ser observados, pensados e mitigados:

  • Como equilibrar o entendimento e aplicação prática de sistemas de segurança nas plantas industriais;
  • Como aplicar soluções inteligentes de segurança que escalem o processo de crescimento da planta;
  • Como monitorar e controlar invasões e rastrear ações na planta.

A questão da cibersegurança é um fato nas indústrias, mas existem algumas realidades que não são levadas em consideração, apesar de haverem ataques a plantas com sucesso, diariamente, abaixo alguns pontos desconfortantes em relação a isto:

  • Ninguém pensa que será “invadido”;
  • A segurança não é pensada no início do projeto;
  • A automação não converge com a TI na prática;
  • Não existe política de segurança na automação;
  • A consciência do problema ainda não existe;
  • Não existe respostas fáceis;
  • Você será invadido! Se já não estiver sendo…

As invasões a qualquer tipo de sistemas de informação ou dado, independente se for automação ou qualquer outro setor, tem motivações diversas, desde uma satisfação pessoal do hacker, até a parada intencional da planta, passando por espionagem industrial, roubo e venda de dados, chantagem, sequestro e bloqueio de informações, através de implantação de senhas.

As invasões a sistemas não ocorrem em âmbito somente de TI, como era comum até pouco tempo atrás como informação divulgada, na verdade, desde que a TA se convergiu com a TI, foram crescentes os casos de invasão a plantas, criação de vírus específicos para sabotagem, a exemplo do Stuxnet, entre outros. Estas invasões continuam acontecendo, gerando milhares de dólares de prejuízos e alto risco de segurança operacional em plantas de infraestrutura crítica.

Os ataques em plantas normalmente ocorrem por um modus operad (não único), mas comum, através de uma invasão de um pequeno programa, que pode ser instalado dentro do sistema (hospedeiro), de forma intencionada ou não, com um pendrive, por exemplo, ou um e-mail com anexo. Desta forma, uma vez instalado (executado), este “robô lógico”, trabalha dentro da rede para um hacker, que está externo, mas monitorando tudo e esperando o momento que lhe convém para atacar, roubando dados, trocando parâmetros de planta, entre outros.

As redes de comunicação no chão de fábrica, tem uma série de características de vulnerabilidades de segurança, podemos eleger abaixo algumas principais:

  • Protocolos de baixa capacidade de segurança;
  • Redes de controle sem segmentação;
  • Redes sem antivírus e sem atualização;
  • Sistemas operacionais sem atualização e brechas conhecida da TI;
  • As redes de automação não são criptografadas no nível IP;
  • Não existe LOG ativados nos sistemas de automação (rastreio);
  • Dificuldades de atualizar sistemas SCADA;
  • Não se configura segurança baseada em Host em sistemas SCADA;
  • Segurança física deve caminhar com segurança lógica.

A segurança da informação, dentro do contexto do acesso ao dado, deve ser entendida como uma cebola, imagine as camadas, o dado é o núcleo da cebola e deve-se passar pelas camadas até chegar a ele, desta forma, precisamos trabalhar acessos, físicos e lógicos em cada camada, liberando permissões ou bloqueando, dificultando ao máximo o acesso e que só seja permitido para quem tem todas as “chaves” até chegar a ele.

Um plano de segurança cibernética é algo complexo, com muitas técnicas, conhecimentos, ferramentas e procedimentos, todavia, abaixo listamos os principais pontos que devem ser observados e projetados para implantação da segurança na rede:

  • Bloquear acesso;
  • Monitorar serviços;
  • Corrigir ameaças;
  • Contingenciar falhas;
  • Auditar mudanças.

Para os primeiros passos de uma implantação de segurança mínima no chão de fábrica, podemos lista algumas ações básicas que devem ser consideradas de imediato:

  • Autenticação de usuários e equipamentos;
  • Controle de acesso – físico e lógico;
  • Detecção de intrusão – física e lógica;
  • Criptografia de dados;
  • Assinatura digital;
  • Isolamento e/ou segregação de ativos;
  • Varredura de vírus;
  • Monitoramento de atividade sistema/rede;
  • Segurança perimetral de planta.

Não existe um caminho único, há diversas medidas que devem ser tomadas e aqui não queremos colocar uma regra, mas é importante que:

  • Faça proteção física da planta e dos sistemas (crie política de segurança física de acesso a todo perímetro);
  • Integre políticas de segurança junto a TI, faça a convergência com ativos de automação;
  • Faça análise de riscos para identificar o grau de atuação de bloqueios de acesso.

Em relação aos bloqueios de acesso, devemos considerar que:

  • Dependendo do grau de risco, deve-se bloquear pessoas não permitidas, implantar rastreio, não permitir portas (pendrive ou algo do gênero);
  • Muito cuidado com terceiros, é necessário hoje repensar modelos de contratos com ferramentas externas, algo grau de vulnerabilidade;
  • Lembre-se, só você é responsável pela sua planta, as vezes um terceiro é portador de um vírus e não sabe.

Existem técnicas para se projetar a conectividade da rede de forma a torna-la mais segura, a ISA-99, que é uma norma para segurança de dados em redes, trata do termo Zonas de Segurança, onde podemos entender as mesmas da seguinte forma:

  • Para segurança lógica podemos implantar a técnica de Zonas de Segurança (ISA-99), que são agrupamentos físicos e lógicos que compartilham os mesmos requisitos de segurança;
  • Para interconectar Zonas de Segurança, implantamos um Conduíte, que funciona como uma ponte segura entre elas;
  • Um nível de segurança é definido de acordo com a criticidade e consequência de um ataque;
  • Caso necessite de acesso externo (ex. Cloud) é necessário criar uma DMZ Zona Desmilitarizada.

Para conhecer melhor sobre as normas de segurança, sugerimos a pesquisa e estudo das:

  • ISA-99
  • IEC-62443
  • IEC-17799
  • IEC-27002
  • IEC-27032

Para a implantação de sistemas de segurança na automação industrial, sugerimos o entendimento de alguns procedimentos básicos, tais como:

  • Analise riscos e crie cenários – tenha contramedidas e contingências;
  • Foque nas pessoas, sempre haverá erros e políticas de segurança nem sempre são seguidas;
  • Entenda que não há tecnologia 100% segura, foque nos procedimentos;
  • Teste o sistema, monitores, rastreie de ponta a ponta.

Concluímos que a cibersegurança é uma fronteira da Indústria 4.0, pois no contexto de dados em rede e Cloud, uma planta industrial fica exposta a invasões, com consequências que podem ser danosas, tanto para o negócio, quanto para a segurança operacional, daí a importância de colocar foco em segurança de redes em projetos de automação.