Existem princípios fundamentais da CIE (engenharia cibernética) que devem ser considerados para qualquer projeto de infraestruturas do setor energético que dependa de um sistema de controlo industrial digital.
Concepção e Princípios Operacionais – Desenho Orientado para as Consequências – Aplicar as estratégias CIE antes de mais nada às funções críticas onde a manipulação cibernética poderia resultar em consequências inaceitáveis. Utilizar um processo estruturado e minucioso para identificar onde os ataques cibernéticos podem resultar em impactos de alta consequência e examinar como evitar tais consequências através de uma concepção, implementação e operação seguras.
Controlos de engenharia – Identificar alterações de engenharia e controlos de processo numa fase precoce da concepção de sistemas para eliminar ou mitigar o ciber-risco, reduzindo a necessidade de reforçar os controlos de segurança de TI aditivos durante a implementação. No seu conjunto, são utilizados controlos e processos coordenados para eliminar impactos cibernéticos de alta frequência. Isto requer a integração de ciberespecialistas e conhecimentos especializados na concepção, engenharia e modificação de sistemas.
Arquitetura de informação segura – Conceber percursos de informação para assegurar o fluxo de dados apenas das formas desejadas e utilizar controlos arquitetônicos adequados para fazer cumprir esses fluxos de informação. Isto limita a capacidade de um atacante de utilizar o sistema ou a sua informação de formas indesejáveis.
Simplificação da concepção – Simplificar a concepção do sistema, componente, ou arquitetura e limitar à partida a complexidade de alta consequência e baixo valor dentro das funções digitais, reduzindo a oportunidade de os atacantes usarem indevidamente a funcionalidade digital. A simplificação da concepção inclui a redução das capacidades latentes nos sistemas digitais que os operadores podem desativar ou nem sequer estar cientes, mas que os atacantes podem aproveitar.
Defesas em camadas resistentes – Assumir compromissos e empregar uma estratégia de defesa em profundidade, reduzindo a oportunidade de uma única falha ter impacto em funções críticas ou criar falhas em cascata. Isto inclui construir na diversidade, redundância, e endurecimento do sistema para uma defesa adequada e degradação previsível durante um incidente cibernético.
Defesa ativa – Empregar elementos dinâmicos na concepção de sistemas que detectem e se defendam contra ameaças cibernéticas, permitindo que o sistema continue a funcionar resilientemente quando um intruso é detectado, e isolar ou remover a ameaça sem comprometer as operações críticas.
Últimas notícias:
A força da transformação digital na comunicação corporativa
10 dicas para liderar em tempos de trabalho remoto
A energia eólica no Brasil pode abastecer 28,8 milhões de residências/mês
Princípios Organizacionais da engenharia cibernética
Avaliação da interdependência – Integrar os contributos de múltiplas disciplinas e operacionais
departamentos (por exemplo, segurança, qualidade, manutenção, química) para compreender como o uso digital indevido pode afetar a sua área de operações. Isto assegura que os engenheiros podem planear adequadamente os riscos introduzidos pelas interdependências do sistema que podem estar fora do âmbito tradicional do engenheiro.
Sensibilização para os bens digitais – Manter um inventário completo e preciso dos bens digitais, permitindo engenheiros para acompanhar o hardware, firmware e software ao longo do tempo, e analisar ativamente o
vulnerabilidades que possam residir dentro delas. Controles ciber-seguros da cadeia de fornecimento – Utilizar linguagem de aprovisionamento e requisitos contratuais para assegurar que os vendedores, integradores, e contratantes de terceiros fornecem produtos que cumprem as especificações de concepção e aderem aos processos e controles organizacionais que suportam a ciber-segurança.
Resiliência planeada sem assumir segurança – Esperar que qualquer componente ou sistema digital possa ser comprometido em algum momento durante o seu ciclo de vida, e planear a continuação do funcionamento durante e após um ataque cibernético que degrada os controlos digitais. Implementar uma arquitetura de confiança zero ao maior grau possível da engenharia cibernética
Controlo da informação de engenharia – Proteger registos de engenharia sensíveis – incluindo requisitos, especificações, desenhos, configurações, testes, etc. – que, se lançados, podem fornecer aos atacantes informação crítica que coloca esses sistemas em maior risco.
Cultura de ciber-segurança – Construir a ciber-segurança na cultura organizacional alavancando uma equipa interfuncional e interdisciplinar para considerar as preocupações cibernéticas na concepção e implementação do sistema. Adoptar formação contínua em ciber-segurança em toda a organização para coletivamente capacitar todo o pessoal a participar na ciber-segurança.
Fonte: FINAL DOE National CIE Strategy