Segurança Cibernética para Sistemas de Automação – Área Médica

images

Hoje os sistemas de automação têm sua arquitetura cada vez mais centrada em conectividade, com integrações cada vez mais frequentes com a rede corporativa e mesmo com a Internet.

É comum as equipes de manutenção e/ou plantão de operações acessarem a rede de automação remotamente via Internet, que é de fácil configuração e normalmente de custo mais baixo.

Os sistemas também passaram a utilizar plataformas operacionais mais simples e baratas, baseadas em Linux ou na maioria dos casos em Windows. Com isso, todos os problemas de vulnerabilidades dessas plataformas passaram a oferecer riscos também aos ambientes de automação, cujo foco principal foi sempre disponibilidade e não segurança.

Alguns problemas técnicos comuns em sistemas de automação:

  • Como o foco é disponibilidade e performance em tempo real, é comum instalações sem nenhum tipo de software de proteção. E como agora os sistemas são baseados em plataformas Linux/Windows, estão bastante vulneráveis a códigos maliciosos;
  • Aplicação de atualizações e correções (patches e updates). A rede corporativa normalmente possui um calendário para aplicação de atualizações e correções em seus sistemas, já uma janela de parada para essa finalidade nas redes de automação é bem mais difícil de conseguir;
  • Pelo mesmo motivo do problema de janela de parada das redes de automação, testes de penetração e de vulnerabilidades (pentests) são raros nestes ambientes.

Exemplos dos riscos mais comuns relacionados a sistemas de automação:

  • Contaminação por código malicioso (virus, trojans, worms, ransomwares, etc);
  • Ataques de negação de serviço (DDoS);
  • Ataques tipo APT (Advanced Persistent Threat – Ameaça Persistente Avançada);
  • Engenharia social;
  • Vulnerabilidades em sistemas operacionais e aplicações;
  • Infraestrutura física deficiente;
  • Desastres e acidentes.

Uma boa prática de segurança em sistemas de automação é o conceito de Defesa em Profundidade, ou Defesa em Camadas. Esse tipo de abordagem visa não apenas prevenir brechas de segurança, mas garantir tempo à organização para detectar e responder aos ataques. Dessa maneira, pode reduzir e mitigar as consequências da exploração de uma vulnerabilidade de segurança.

Podemos pensar em quatro níveis de segurança:

  1. Operacional: Treinamento, políticas de segurança, processos e procedimentos, etc;
  2. Implementação: Configuração da rede, configuração das proteções de perímetro, etc;
  3. Arquitetura: Programação segura, mapeamento das vulnerabilidades, etc;
  4. Risco de segurança: Identificação das vulnerabilidades do sistema.

Abrangendo todos esses níveis de segurança, temos as medidas propriamente ditas:

  • Segmentação de rede (física, VLANs, DMZs, etc);
  • Segurança do perímetro de automação (firewall, etc);
  • Controle de acesso, autenticação e autorização (AAA, gestão de senhas centralizadas, etc);
  • Acesso remoto e protocolos com criptografia (VPNs, etc);
  • Manter os sistemas atualizados (patches, updates, etc);
  • Implantar sistemas de detecção de ameaças (proteção de endpoints, IDPSs, etc);
  • Implantar sistemas de gerenciamento contínuo de vulnerabilidades;
  • Quando possível utilizar firmwares com assinatura digital;
  • Hardening (reduzir a superfície de ataque de um sistema);
  • Definir políticas e procedimentos;
  • Mudar configurações e senhas padrão;
  • Treinamento de pessoal;
  • Segurança física.

Também é importante uma visão holística de toda a infraestrutura da corporação, e não apenas o conhecimento da rede corporativa ou da rede de automação. É essa visão macro que ajudará a localizar pontos de vulnerabilidades.

Algumas características distintas da rede de automação e da rede corporativa:

Rede de Automação (TA) Rede Corporativa (TI)
Tempo real. Nem sempre em tempo real.
Principalmente utilizada por autômatos (PLCs – Controladores Lógicos Programáveis). Principalmente utilizada por pessoas para processamento e armazenagem de dados.
Tempo de resposta crítico. Tempo de resposta consistente.
Geralmente de pequena largura de banda. Geralmente banda larga.
Paradas para manutenção (shutdown e reboot) sempre agendadas. Pouca frequência. Manutenção para atualizações (patches e updates) mais frequentes.
Segurança de pessoal e de processos normalmente é o padrão. Confidencialidade e integridade dos dados é o objetivo.
Tempo de disponibilidade dos sistemas é crítico. Proteção dos dados e dos sistemas é crítico.

A área médica, por tratar diretamente com a vida humana, possui bons exemplos de sistemas de automação que obrigatoriamente precisam ser protegidos. Um desses exemplos sãos as máquinas de diálises.

Uma máquina de diálise é projetada para substituir muitas das funções importantes do rim e restaurar o sangue de um paciente para um equilíbrio normal e saudável, filtrando por exemplo resíduos prejudiciais, sal e excesso de fluido. Um médico cria um acesso aos vasos sanguíneos do paciente para que este possa ser conectado a uma máquina de filtragem durante cada sessão de hemodiálise. O sangue flui a uma taxa predefinida através de um filtro especial dentro da máquina. O filtro remove os resíduos e fluidos extra do sangue, mas mantém o equilíbrio adequado de minerais, como potássio e sódio. Uma vez que o sangue é limpo, ele é então devolvido ao paciente. Quando operado adequadamente, as máquinas de diálise são muito seguras e confiáveis. Embora haja um número muito pequeno de óbitos por falha técnica nessas máquinas, o número de acidentes fatais relacionados ao erro humano é maior.

Uma máquina de diálise contém um sistema operacional (a parte que efetivamente executa a função intencional da máquina), e um sistema de proteção (a parte que monitora o processo, como por exemplo, monitoramento de condutividade com compensação de temperatura). A máquina de diálise é projetada de modo que quando ocorre uma falha do sistema operacional, o sistema de proteção detecta a falha e coloca a máquina de diálise em um “estado seguro”. Assim, se uma máquina de diálise falhar, o sistema de proteção alarma a falha e interrompe a bomba de sangue para proteção do paciente.

Se a rede da empresa for invadida e o atacante conseguir acesso ao sistema de automação, alguns cenários são possíveis de se imaginar:

Atividade Maliciosa Resultado
Diminuição da pressão venosa extracorpórea. O enfermeiro assume desconectar a agulha do acesso vascular do paciente.
Falso alarme de hemólise mecânica. O enfermeiro assume obstrução no circuito extracorpóreo.
Interromper a bomba de heparina. Possível coagulação do sangue do paciente.
Aumentar o fluxo da bomba de heparina. Possível sangramento do paciente.
Desligar o monitor de pressão venosa. A bomba é desligada.
Forjar o sensor de ar da máquina.

 

O alarme do detector de ar faz com que a bomba pare.
Mensagem de exibição: Teste Falhou.

 

O enfermeiro assume que a máquina está com defeito.
Silenciar todos os alarmes.

 

O enfermeiro desconhece possíveis condições perigosas.
Alterar as proporções da mistura de dialisato. Intoxicação com uma substância dialisável.
Alterar as informações de exibição. Confunde os procedimentos do enfermeiro.
Falso alarme de paciente com alta pressão arterial. O enfermeiro desliga bomba.
Fazer com que a máquina emita alarmes aleatórios. Interfere com o procedimento do paciente.

 

Fazer com que a máquina reinicie. Limpa as definições de configuração, que é específica para cada paciente.

Veja em que em diversos desses cenários a vida do paciente fica em risco. É comum hoje em dia os equipamentos de automação para diálise estarem ligados numa rede TCP/IP, o que em teoria permite o acesso remoto. Mesmo que as máquinas de diálise não estejam ligadas na rede, normalmente os tanques com a água e as misturas são controlados por sistemas automatizados. Um ataque a um sistema de diálise ocorreu em 2011 nos Estados Unidos.

Existem diversas normas e padrões que tratam de segurança da informação e de segurança de redes de automação especificamente. Algumas delas são:

  • ANSI/ISA 99 (framework CSMS) e ISA/IEC 62443
  • ISO/IEC 27000
  • NIST SP 800-82 r2

 

Saiba mais através do artigo “Ameaças aos Sistemas de Automação Industrial / SCADA” (http://bit.ly/1scada) e depois sua derivação publicada na revista americana eForensics Magazine (https://eforensicsmag.com/download/tools-of-the-trade) juntamente com o amigo Deivison Pinheiro Franco.

Saiba mais sobre “Gerenciamento Contínuo de Vulnerabilidades” através do artigo http://bit.ly/1gerencia.

Vaine Luiz Barreira

Executivo de TI e Segurança da Informação.
Perito em Computação Forense.

LinkedIn 

Share on Facebook0Share on LinkedIn0Share on Google+0
(Visited 445 times, 1 visits today)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *