Quase todos os dias, manchetes de notícias anunciam outra violação de segurança e o roubo de números de cartão de crédito e outras informações pessoais. Embora ter um cartão de crédito roubado pode ser irritante e perturbador, muito mais significativo, ainda menos reconhecido, preocupação é a segurança da infraestrutura física, incluindo sistemas de energia.

"Com um roubo de cartão de crédito, você pode ter que pagar $ 50 e obter um novo cartão de crédito, "diz Stuart Madnick, o professor John Norris Maguire de tecnologias da informação na Sloan School of Management, professor de sistemas de engenharia na Escola de Engenharia, e diretor fundador do Consórcio MIT Sloan de Segurança Cibernética. "Mas com ataques de infraestrutura, danos físicos reais podem ocorrer, e a recuperação pode levar semanas ou meses. "

Alguns exemplos demonstram a ameaça. Em 2008, um suposto ataque cibernético explodiu um oleoduto na Turquia, desligando-o por três semanas; em 2009, o worm de computador malicioso Stuxnet destruiu centenas de centrífugas iranianas, interromper o programa de enriquecimento de combustível nuclear daquele país; e em 2015, um ataque derrubou uma seção da rede elétrica ucraniana - por apenas seis horas, mas as subestações da rede tiveram que ser operadas manualmente por meses.

De acordo com Madnick, para os adversários montarem um ataque bem-sucedido, eles devem ter a capacidade, a oportunidade, e a motivação. Em incidentes recentes, todos os três fatores estão alinhados, e os invasores danificaram os principais sistemas físicos.

"A boa notícia é que, pelo menos nos Estados Unidos, nós realmente não experimentamos isso ainda, "diz Madnick. Mas ele acredita que" é a única motivação que falta ". Dada a motivação suficiente, atacantes em qualquer lugar do mundo poderiam, por exemplo, derrubar parte ou toda a rede elétrica interconectada do país ou interromper o fluxo de gás natural através dos 2,4 milhões de quilômetros de gasodutos do país. E embora instalações de emergência e suprimentos de combustível possam manter as coisas funcionando por alguns dias, é provável que demore muito mais do que isso para consertar os sistemas que os invasores danificaram ou explodiram.

"Esses são impactos enormes que afetariam nossa vida cotidiana, "diz Madnick." E não está no radar da maioria das pessoas. Mas apenas esperar que isso não aconteça não é exatamente uma maneira segura de viver ”. Ele acredita firmemente que“ o pior ainda está por vir ”.

O desafio para a indústria

Garantir a segurança cibernética dos sistemas de energia é um desafio crescente. Porque? As instalações industriais de hoje dependem amplamente de software para controle de planta, em vez de dispositivos eletromecânicos tradicionais. Em alguns casos, mesmo as funções críticas para garantir a segurança são quase totalmente implementadas no software. Em uma instalação industrial típica, dezenas de sistemas de computação programáveis ​​distribuídos por toda a fábrica fornecem controle local de processos, por exemplo, manter o nível de água em uma caldeira em um determinado ponto de ajuste. Todos esses dispositivos interagem com um sistema de "supervisão" de nível superior que permite aos operadores controlar os sistemas locais e a operação geral da planta, no local ou remotamente. Na maioria das instalações, esses sistemas de computação programáveis ​​não requerem nenhuma autenticação para que as configurações sejam alteradas. Dada esta configuração, um ciberataque que obtém acesso ao software no sistema local ou de supervisão pode causar danos ou interrupção do serviço.

A abordagem tradicional usada para proteger sistemas de controle críticos é "abri-los" - isto é, separe-os da Internet pública para que os intrusos não os alcancem. Mas no mundo atual de alta conectividade, um entreferro não garante mais a segurança. Por exemplo, as empresas costumam contratar empreiteiros ou fornecedores independentes para manter e monitorar equipamentos especializados em suas instalações. Para realizar essas tarefas, o contratante ou fornecedor precisa de acesso a dados operacionais em tempo real - informações que geralmente são transmitidas pela Internet. Além disso, necessidades legítimas de negócios, como transferência de arquivos e atualização de software, requerem o uso de pen drives, que pode inadvertidamente comprometer a integridade do entreferro, deixando uma planta vulnerável a um ataque cibernético.

Procurando vulnerabilidades

As empresas trabalham ativamente para aumentar a segurança - mas normalmente apenas após a ocorrência de algum incidente. "Portanto, tendemos a olhar pelo espelho retrovisor, "diz Madnick. Ele enfatiza a necessidade de identificar e mitigar as vulnerabilidades de um sistema antes que apareça um problema.

O método tradicional de identificação de vulnerabilidades cibernéticas é criar um inventário de todos os componentes, examine cada um para identificar quaisquer vulnerabilidades, mitigar essas vulnerabilidades, e, em seguida, agregue os resultados para proteger o sistema geral. Mas essa abordagem se baseia em duas premissas simplificadoras principais, diz Shaharyar Khan, bolsista do programa MIT System Design and Management. Ele pressupõe que os eventos sempre são executados em um único, direção linear, então um evento causa outro evento, o que causa outro evento, e assim por diante, sem loops de feedback ou interações para complicar a sequência. E assume que compreender o comportamento de cada componente isoladamente é suficiente para prever o comportamento do sistema como um todo.

Mas essas suposições não valem para sistemas complexos - e sistemas de controle modernos em instalações de energia são extremamente complexos, com uso intensivo de software, e feito de componentes altamente acoplados que interagem de várias maneiras. Como resultado, diz Khan, "o sistema geral exibe comportamentos que os componentes individuais não exibem" - uma propriedade conhecida na teoria dos sistemas como emergência. "Consideramos a proteção e a proteção como propriedades emergentes dos sistemas, "diz Khan. O desafio é, portanto, controlar o comportamento emergente do sistema, definindo novas restrições, uma tarefa que requer a compreensão de como todos os fatores de interação no trabalho - de pessoas a equipamentos, regulamentos externos e muito mais - afetam a segurança do sistema.

Para desenvolver uma ferramenta analítica à altura desse desafio, Madnick, Khan, e James L. Kirtley Jr., um professor de engenharia elétrica, voltou-se primeiro para uma metodologia chamada Modelo e Processo Teórico do Sistema de Acidentes, que foi desenvolvido há mais de 15 anos pela Professora Nancy Leveson do MIT de aeronáutica e astronáutica. Com esse trabalho como base, eles desenvolveram a "segurança cibernética, "um método analítico feito sob medida para a análise de segurança cibernética de sistemas complexos de controle industrial.

Para aplicar o procedimento de segurança cibernética a uma instalação, um analista começa respondendo às seguintes perguntas:

• Qual é o objetivo principal do sistema que está sendo analisado; isso é, o que você precisa proteger? Responder a essa pergunta pode parecer simples, mas Madnick observa, "Surpreendentemente, quando perguntamos às empresas quais são as suas 'joias da coroa', muitas vezes têm dificuldade em identificá-los. "
• Dado esse propósito principal, qual a pior que pode acontecer ao sistema? Definir o objetivo principal e as piores perdas possíveis é fundamental para entender o objetivo da análise e a melhor alocação de recursos para mitigação.
• Quais são os principais perigos que podem levar a essa perda? Como um exemplo simples, ter escadas molhadas em uma instalação é um perigo; alguém cair da escada e quebrar o tornozelo é uma perda.
• Quem ou o que controla esse perigo? No exemplo acima, a primeira etapa é determinar quem ou o que controla o estado das escadas. O próximo passo é perguntar, Quem ou o que controla esse controlador? E então, Quem ou o que controla esse controlador? Responder a essa pergunta recursivamente e mapear os loops de feedback entre os vários controladores produz uma estrutura de controle hierárquica responsável por manter o estado das escadas em uma condição aceitável.

Dada a estrutura de controle total, a próxima etapa é perguntar:Quais ações de controle podem ser executadas por um controlador que não seriam seguras considerando o estado do sistema? Por exemplo, se um invasor corromper o feedback de um sensor principal, um controlador não saberá o estado real do sistema e, portanto, pode tomar uma ação incorreta, ou pode tomar as ações corretas, mas na hora errada ou na ordem errada - qualquer uma das quais poderia causar danos.

Com base na compreensão agora mais profunda do sistema, a seguir, o analista cria a hipótese de uma série de cenários de perda decorrentes de ações de controle inseguras e examina como os vários controladores podem interagir para emitir um comando inseguro. "Em cada nível de análise, tentamos identificar restrições no processo que está sendo controlado que, se violado, resultaria no sistema movendo-se para um estado inseguro, "diz Khan. Por exemplo, uma restrição poderia ditar que a pressão do vapor dentro de uma caldeira não deve exceder um certo limite superior para evitar que a caldeira estourou devido à sobrepressão.

"Ao refinar continuamente essas restrições à medida que avançamos na análise, somos capazes de definir novos requisitos que irão garantir a segurança de todo o sistema, "ele diz." Então, podemos identificar etapas práticas para garantir a aderência a essas restrições por meio do design do sistema, processos e procedimentos, ou controles sociais, como cultura da empresa, requisitos regulamentares, ou incentivos de seguro. "

Estudos de caso

Para demonstrar os recursos de análise de segurança cibernética, Khan selecionou um 20 megawatt, usina de turbina a gás - uma pequena instalação que tem todos os elementos de uma usina de energia em grande escala na rede. Em uma análise, ele examinou o sistema de controle da turbina a gás, focando em particular em como o software que controla a válvula de controle de combustível pode ser alterado para causar perdas no nível do sistema.

A realização da análise de segurança cibernética resultou em vários cenários de perda relacionados à turbina envolvendo incêndios ou explosões, falha catastrófica do equipamento, e, finalmente, a incapacidade de gerar energia.

Por exemplo, em um cenário, o invasor desativa o sistema de proteção digital da turbina e altera a lógica no software que controla a válvula de controle de combustível para manter a válvula aberta quando deveria ser fechada, impedindo que o combustível flua para a turbina. Se a turbina for, então, repentinamente desconectada da rede, ele começará a girar mais rápido do que seu limite de design e se quebrará, danificar equipamentos próximos e prejudicar os trabalhadores da área.

A análise de segurança cibernética revelou a fonte dessa vulnerabilidade:uma versão atualizada do sistema de controle eliminou um conjunto de parafuso mecânico de reserva que garantiu a proteção contra "excesso de velocidade" da turbina. Em vez de, a proteção contra velocidade excessiva foi implementada inteiramente em software.

Essa mudança fazia sentido do ponto de vista dos negócios. Um dispositivo mecânico requer manutenção e testes regulares, e esses testes submetem a turbina a tensões tão extremas que às vezes ela falha. Contudo, dada a importância da cibersegurança, pode ser sábio trazer de volta o parafuso mecânico como um dispositivo de segurança autônomo - ou pelo menos considerar os esquemas eletrônicos autônomos de proteção contra excesso de velocidade como uma linha final de defesa.

Outro estudo de caso focou em sistemas usados ​​para fornecer água gelada e ar condicionado para os prédios atendidos. Mais uma vez, a análise de segurança cibernética revelou vários cenários de perda; nesse caso, a maioria tinha uma causa em comum:o uso de drives de frequência variável (VFDs) para ajustar a velocidade dos motores que acionam bombas d'água e compressores.

Como todos os motores, o motor que aciona o compressor do resfriador tem certas velocidades críticas nas quais ocorre a ressonância mecânica, causando vibração excessiva. VFDs são normalmente programados para pular essas velocidades críticas durante a inicialização do motor. Mas alguns VFDs são programáveis ​​pela rede. Assim, um invasor pode consultar um VFD para a velocidade crítica do motor conectado e, em seguida, comandá-lo para acionar o motor a essa velocidade perigosa, danificá-lo permanentemente.

"Este é um tipo simples de ataque; não requer muita sofisticação, "diz Khan." Mas pode ser lançado e pode causar danos catastróficos. "Ele cita um trabalho anterior realizado por Matthew Angle '07, MEng '11, Ph.D. '16, em colaboração com Madnick e Kirtley. Como parte de um estudo de 2017 de ataques cibernéticos em sistemas de controle industrial, Angle construiu um kit de teste de motor em escala de laboratório equipado com um VFD completo com código de computador familiar aos pesquisadores. Simplesmente alterando algumas linhas-chave de código, eles fizeram com que os capacitores no VFD explodissem, enviando fumaça para o pátio atrás do laboratório do MIT. Em um ambiente industrial com VFDs de tamanho normal, um ataque cibernético semelhante pode causar danos estruturais significativos e potencialmente prejudicar o pessoal.

Dadas tais possibilidades, a equipe de pesquisa recomenda que as empresas considerem cuidadosamente a "funcionalidade" do equipamento em seu sistema. Muitas vezes, o pessoal da fábrica nem mesmo está ciente das capacidades que seus equipamentos oferecem. Por exemplo, eles podem não perceber que um VFD acionando um motor em sua planta pode operar na direção reversa por uma pequena mudança no código do computador que o controla - uma clara vulnerabilidade cibernética. A remoção dessa vulnerabilidade exigiria o uso de um VFD com menos funcionalidade. "Boa engenharia para remover tais vulnerabilidades pode às vezes ser erroneamente caracterizada como um retrocesso, mas pode ser necessário melhorar a postura de segurança de uma planta, ", diz Khan. Uma análise completa de segurança cibernética de um sistema não apenas destacará esses problemas, mas também orientar o posicionamento estratégico de sensores analógicos e outros loops de feedback redundantes que aumentarão a resiliência da operação do sistema.

Enfrentando o desafio

Ao longo de sua pesquisa de segurança cibernética, Khan, Madnick, e seus colegas descobriram que as vulnerabilidades muitas vezes podem ser atribuídas ao comportamento humano, bem como decisões de gestão. Em um caso, uma empresa incluiu a senha padrão para seu equipamento no manual do operador, publicamente disponíveis na Internet. Outros casos envolveram operadores conectando drives USB e laptops pessoais diretamente na rede da fábrica, assim, rompendo a lacuna de ar e até mesmo introduzindo malware no sistema de controle da planta.

Em um caso, um trabalhador noturno baixou filmes em um computador da fábrica usando um pendrive. Mas, muitas vezes, essas ações foram tomadas como parte de tentativas desesperadas de colocar de volta em funcionamento uma planta atualmente desligada. "No grande esquema de prioridades, Eu entendo que focar em colocar a fábrica em funcionamento novamente faz parte da cultura, "diz Madnick." Infelizmente, as coisas que as pessoas fazem para manter sua fábrica funcionando às vezes a colocam em um risco ainda maior. "

Habilitar uma nova cultura e mentalidade requer um sério compromisso com a segurança cibernética na cadeia de gerenciamento. As estratégias de mitigação provavelmente exigirão a reengenharia do sistema de controle, comprando novos equipamentos, ou fazer mudanças em processos e procedimentos que podem incorrer em custos extras. Dado o que está em jogo, a gestão não deve apenas aprovar tais investimentos, mas também incutem um senso de urgência em suas organizações para identificar vulnerabilidades e eliminá-las ou mitigá-las.

Com base em seus estudos, os pesquisadores concluem que é impossível garantir que um sistema de controle industrial nunca terá suas defesas de rede violadas. "Portanto, o sistema deve ser projetado de forma que seja resiliente contra os efeitos de um ataque, "diz Khan." A análise de cibersegurança é um método poderoso porque gera todo um conjunto de requisitos - não apenas técnicos, mas também organizacionais, logístico, e procedimental - que pode melhorar a resiliência de qualquer sistema de energia complexo contra um ataque cibernético. "

Esta história foi republicada por cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisas do MIT, inovação e ensino.