Após três dias intensos de reuniões e apresentações em Seul, a conclusão é clara: a segurança cibernética é o tema mais questionado em todos os continentes.
A reunião anual da PI deste ano foi organizada pela generosa e competente equipe da PI Coreia. Houve muitas discussões significativas, apresentações instigantes e demonstrações reveladoras. Agora, vamos ao ponto alto: cibersegurança.
Até agora, a segurança na automação industrial tem sido tratada quase como uma reflexão tardia. Proteger o perímetro, segmentar a rede e torcer para que tudo dê certo. Durante décadas, protocolos como o PROFINET operaram em relativo isolamento: a defesa em profundidade era o modelo de segurança. Essa era acabou.
Doravante, o PROFINET representa algo verdadeiramente diferente: segurança integrada ao próprio protocolo, e não adicionada posteriormente.
Do perímetro à identidade
O antigo modelo de segurança de células de automação, com firewalls em torno de ilhas isoladas de dispositivos, ainda tem sua função. Mas não é suficiente por si só e, dependendo da instalação, talvez seja insuficiente de forma alguma — especialmente considerando as novas leis e regulamentações. À medida que os ambientes industriais se conectam a sistemas de TI corporativos, plataformas em nuvem e ferramentas de engenharia remota, o perímetro se dissolve. O que resta é a pergunta: você sabe quem está na sua rede e pode confiar nessas pessoas?
O PROFINET responde a isso com identidade de dispositivo baseada em certificado. A identidade é a base de todos os outros controles de segurança. Não é possível aplicar controles de acesso, políticas, detecção de anomalias ou realizar uma auditoria significativa se você não souber com certeza quem está se comunicando com quem.
Controle de acesso escalável
O Controle de Acesso Baseado em Funções (RBAC) no PROFINET distingue quem pode operar um dispositivo e quem pode configurá-lo. Um controlador que lida com dados cíclicos em tempo real tem permissões diferentes de uma ferramenta de diagnóstico, uma IHM ou um administrador de rede que ajusta a topologia. As funções são codificadas diretamente em certificados e, em seguida, aplicadas.
Proteção de ponta a ponta, não apenas túneis
O PROFINET V2.5 fornece uma camada de segurança unificada que funciona de forma consistente tanto na camada 2 quanto na camada 3. A renovação de chaves criptográficas agora pode ocorrer em segundo plano sem interromper o tráfego de E/S, ajudando a atenuar uma das objeções operacionais de longa data aos certificados em ambientes de Tecnologia Operacional (TO).
A realidade operacional
Nada disso exige uma substituição completa. A PI reconhece três caminhos de migração realistas: manter os dispositivos existentes protegidos por firewall para células isoladas; atualizar seletivamente os dispositivos críticos em ambientes mistos; ou adotar uma infraestrutura completa de certificados de ponta a ponta para máxima segurança. Tudo depende da sua avaliação de riscos. O que mudou é que os operadores industriais não precisam mais montar a segurança a partir de componentes distintos e específicos de cada fornecedor. O próprio protocolo carrega a arquitetura.
No passado, a segurança era abordada em muitas diretrizes e recomendações de infraestrutura crítica — e isso ainda se mantém. Mas, a partir de agora, a integração do controle de identidade e acesso na especificação principal do PROFINET reconhece que as redes industriais são infraestruturas críticas e devem ser protegidas como tal.
Michael Bowne,
Vice-presidente, PI
– Conteúdo traduzido. Versão original disponível no site da PI.
