Compreendendo a cibersegurança em edifícios inteligentes

Quando pensamos em edifícios inteligentes, pensamos imediatamente em suas vantagens. Pensamos na eficiência que a tecnologia das construções conectadas oferece aos desenvolvedores, síndicos e inquilinos. Seja na eficiência, no valor a longo prazo ou na percepção da marca, os stakeholders sairão prejudicados se seus edifícios não forem ‘inteligentes’. No entanto, será que pensamos nos riscos de cibersegurança que corremos?

À medida que nossos prédios se tornam mais complexos, com o número de dispositivos conectados à Internet das Coisas (IoT) e de serviços em nuvem crescendo exponencialmente, as chances de ataques cibernéticos se tornam ainda maiores.

Então, como podemos entender esses desafios e impedir que eles aconteçam no futuro?

Cibersegurança em números

• Houve um aumento de mais de 2100% no número de ciberataques industriais apenas nos últimos três anos;
• O impacto de somente um ciberataque custa, em média, cerca de 3.8 milhões de dólares (Fonte: Ponemon Institute);
• O número de malwares criados diariamente já ultrapassa 300.000;
• Uma empresa média utiliza 928 aplicações em nuvem;
• O gasto na segurança da IoT em 2018 foi estimado em 547.2 milhões de dólares;
• Os desafios dos edifícios inteligentes

Hoje em dia os sistemas dos edifícios geralmente não conseguem gerenciar efetivamente qualquer invasão cibernética em potencial. Isso é resultado direto de uma desconexão óbvia entre os grupos que gerenciam a tecnologia da informação (TI), os quais possuem amplo conhecimento de segurança cibernética, e os grupos que gerenciam a tecnologia operacional (OT) da construção, os quais possuem o conhecimento do sistema de gestão predial (também conhecido como BMS).

Anteriormente, o BMS demandava um conhecimento especializado dos sistemas e protocolos e não exigia acesso aos recursos da rede corporativa ou à internet. Dessa forma, a segurança de uma rede BMS dependia predominantemente da obscuridade e da falta de conectividade externa. No entanto, atualmente, a evolução da tecnologia BMS fez com que os sistemas agora usem uma combinação de protocolos OT, incluindo ModBus e BACnet, bem como protocolos de TI como HTTP e FTP. Isso revolucionou a maneira como os edifícios inteligentes operam, mas também afetou como eles podem se tornar alvo, sob uma perspectiva cibernética.

A evolução da tecnologia BMS é basicamente uma mina de ouro para os hackers. Juntamente com a desconexão entre grupos de TI e OT, o atual modelo operacional para edifícios precisa mudar. Nos últimos anos, comunidades de hackers e grupos de pesquisa especializados em ataques cibernéticos voltaram-se aos edifícios inteligentes para recolher dados importantes.

No final das contas, o problema começa com a rede de um BMS. Essa rede pode ser considerada um caminho para acessar a rede de TI completa de uma organização. Assim, não somente o próprio sistema de gerenciamento se torna o alvo, como toda a empresa.

A solução

Para aqueles que procuram atualizar sua tecnologia predial, o risco de ataques cibernéticos é um enorme obstáculo. Isso impede que muitos setores – com destaque aos segmentos de saúde, FS e o setor público – invistam em melhorias. Esse é um resultado direto do medo de ataques, e dos danos e interrupções que eles podem causar. A realidade é que um ataque pode custar milhões para uma organização.

Para mitigar esses ataques e concretizar todo o potencial dos edifícios inteligentes, os operadores e ocupantes precisam alterar a forma como os sistemas inteligentes de controle de edifícios são arquitetados e gerenciados sob a perspectiva de uma segurança cibernética. Deixar de lado as barreiras organizacionais e reconhecer a desconexão de TI/OT é o primeiro passo crítico para implementar e operar sistemas de controle de prédios inteligentes ciberneticamente seguros.

Por sorte, a indústria de sistemas de controle OT já demonstra forte apoio para abordar os desafios de segurança enfrentados atualmente. Melhor ainda, as associações da indústria aumentaram a necessidade de práticas comuns de segurança cibernética, em particular com o desenvolvimento do conjunto global de padrões de segurança cibernética da IEC 62443. Isto é definido para melhorar a segurança, disponibilidade, integridade e confidencialidade dos sistemas utilizados para automação industrial e controle.

Fundamentalmente, existem quatro maneiras principais pelas quais as organizações podem criar um edifício inteligente seguro e operacional:

• Avaliando e protegendo os sistemas legados de controle predial da OT
• Escolhendo dispositivos e fornecedores de IoT que sigam uma abordagem de ciclo de vida de desenvolvimento seguro
• Implementando arquiteturas de sistemas seguros de controle de edifícios
• Conectando os sistemas seguros de controle de construção através de uma Zona de Monitoramento de segurança de TI
• O futuro da cibersegurança nos edifícios

A vulnerabilidade de um sistema BMS que trabalha com esses dois conjuntos de protocolos está na desconexão entre a equipe de TI, que possui o conhecimento de segurança cibernética e a equipe de TO, que possui o conhecimento operacional. Quanto mais inteligente for o seu edifício e quanto menos esses dois grupos trabalharem uns com os outros, mais vulnerável a tecnologia se tornará, resultando no aumento de ataques cibernéticos externos. As equipes precisam trabalhar juntas e as organizações devem aderir à certas práticas para manter seu prédio o mais seguro possível.

*Por Klecios Souza, vice-presidente de Building da Schneider Electric Brasil.