Segurança por design

Ser responsável pela segurança de produtos me torna parte de uma equipe com uma responsabilidade bastante importante. A segurança cibernética tem sido, há muito tempo, uma preocupação crítica para a indústria de processos, e sua importância cresce a cada dia. Os sensores inteligentes oferecem grandes vantagens: permitem a conectividade das instalações de processo até o nível de campo mais básico, de modo que os operadores industriais tenham maior visibilidade sobre seus processos e, consequentemente, perspectivas mais amplas para otimização. Mas esses avanços têm um lado negativo, pois criam mais oportunidades de ataque aos cibercriminosos, que estão se tornando cada vez mais astutos. Por isso temos especialistas em segurança cibernética: para garantir o máximo de segurança aos nossos clientes.

Isso se aplica também aos sensores, já que qualquer um deles que possua uma interface digital é um ponto de entrada em potencial para ataques cibernéticos. Para impedir esses ataques, adotamos a abordagem “segurança por design” – o que significa que, na Endress+Hauser, incorporamos a segurança em nossos softwares e hardwares desde a fase inicial de desenvolvimento e a mantemos ao longo de todo o ciclo de vida do produto. Além disso, disponibilizamos continuamente atualizações de software e firmware para garantir que nossos produtos mantenham uma proteção de última geração.

Nossa estratégia, desde a fase de concepção do produto, consiste em analisar sob a ótica do risco a questão de quem deve ter acesso a quais funções. Imagine uma cervejaria equipada com nossos sensores: os mestres cervejeiros precisam saber o teor de açúcar e álcool da cerveja, por isso devem ter acesso às leituras de medição dos instrumentos. Mas eles não precisam de acesso total que lhes permita alterar as configurações dos sensores. Esse tipo de acesso está, com razão, restrito aos profissionais de manutenção.

Ao utilizar o controle de acesso baseado em funções dessa forma, podemos reduzir o risco de ataques. A proteção contra gravação para impedir alterações não autorizadas não precisa ser apenas digital. Em muitos instrumentos, isso também pode ser implementado por meio de um bloqueio físico – um interruptor operado manualmente. Durante o desenvolvimento do produto, também realizamos testes de penetração, nos quais pensamos como hackers e tentamos violar a segurança dos nossos produtos. Esses ataques cibernéticos simulados nos permitem identificar possíveis vulnerabilidades e aprimorar nossas medidas de segurança.

O regulamento de ciber-resiliência (CRA) da União Europeia entrou em vigor em dezembro passado. De acordo com este regulamento, produtos com elementos digitais devem atender a certos padrões de segurança cibernética. As empresas dispõem de um período de transição de três anos para adequar seus produtos a esses novos requisitos.

Estamos bem preparados para essa regulamentação. Nossos processos de desenvolvimento de produtos obtiveram a certificação IEC 62443-4-1 da entidade certificadora independente TÜV Rheinland em 2021 e tiveram os certificados renovados no ano passado. O melhor de tudo é que nossa certificação já atende a muitos dos requisitos do Regulamento de ciber-resiliência. O fato de termos começado cedo nessa jornada e de termos participado ativamente de iniciativas de associações da indústria e de padronização provou ter valido muito a pena. Precisamos de soluções de segurança abrangentes para a indústria de processos, e a única maneira de desenvolvê-las é trabalhando em parceria com nossos clientes.

As soluções que criamos já estão criando novos patamares. Por exemplo, a Endress+Hauser desenvolveu uma camada adicional de segurança para Bluetooth utilizando o protocolo CPace como seu componente principal. Em 2020, um grupo de pesquisa do órgão de padronização da Internet IETF declarou nossa solução vencedora de um concurso de criptografia. Além disso, em 2016, o Instituto Fraunhofer AISEC, baseado em Munique, classificou o nível de proteção da extensão de segurança Bluetooth da Endress+Hauser como “alto”. Isso nos enche de orgulho. É isso que inspira a mim e à minha equipe a melhorar constantemente a segurança cibernética dos nossos produtos.