Pense em IoT (Internet of Things) e naturalmente vislumbra-se o admirável mundo novo com as infinitas possibilidades de automação, controle, serviços sob demanda e facilidades no dia a dia das pessoas e das empresas.

Entretanto quanto mais avançamos no mundo conectado, mais descortina-se a necessidade de pensarmos em segurança.

Pensemos nas milhares de residências pelo mundo que estão equipadas com sistemas de vigilância e monitoramento por câmeras ethernet IP, com acesso através da internet e senhas fracas ou até mesmo senhas padrão do fabricante, uma falha de segurança e privacidade grave. Na verdade, não existiu a preocupação com ela, pois o comprador de um sistema desses pensou apenas na conectividade e na facilidade de uso. O fato é que as imagens dos lares e das empresas estão disponíveis para milhares de escavadores de dados surfando pela Internet neste exato instante.

Avançando em um cenário mais contundente e analisando a questão no mundo dos negócios sob a ótica da Internet das Coisas, vamos às fábricas conectadas.

Nas plantas fabris, sejam das indústrias automotiva, farmacêutica, alimentícia, dentre outras atuais, falava-se muito de arquitetura de redes convergentes ou CPwE (Converged Plantwide Ethernet), paradigma sustentado e apoiado pelos grandes fabricantes que possuem portfólio nos universos de TI e Automação de Fábricas.

Um conceito pelo qual as informações do chão de fábrica chegam a dashboards em tempo real para a divisão de Marketing criar campanhas, ou para a alta direção reconfigurar o planejamento de produção de um produto em detrimento de outro com menor venda. Isso é a IoT acontecendo na prática na casa de um executivo de vendas, por exemplo. Integração da produção com a estratégia em tempo real, sustentado por uma rede de computação integrada e sistemas corporativos que vão aglutinando dados, desde as máquinas mais simples até o datacenter da companhia, indo parar via Web no tablet dos executivos.

Para isso acontecer, é necessário além da moderna e pesada infraestrutura computacional, integrar equipes que tradicionalmente trabalharam separadas – Tecnologia da Informação e Automação e Controle. Acontece que as necessidades do pessoal de automação são distintas das do time de TI, e ambos precisam criar sinergia a despeito das diferenças, para que o conceito saia do papel e aconteça de maneira segura. A convergência de pessoas acontece antes da convergência tecnológica.

Aprofundando a noção de segurança em automação de industrial, existe, a título de informação, o Comitê ISA-99, que estabelece normas, práticas recomendadas, relatórios técnicos e informações relacionadas que definem os procedimentos para implementação a fim de proteger os aplicativos do chão de fábrica, criando assim práticas de segurança. No universo de TI, também existem melhores práticas e normas para criar um ecossistema mais seguro.

Ocorre que segurança é tradicionalmente pensada de maneira top-down. Quase nunca avalia-se o bottom-up. Outro problema é que, se os times pensarem segurança isoladamente, haverá brechas não previstas, mesmo com a adoção das melhores práticas de maneira departamental.

Uma rede de automação industrial é sob muitos pontos similar à rede de computadores que tradicionalmente conhecemos.

Um ataque bottom-up em uma estação de trabalho no chão de fábrica (HMI- Human Machine Interface), através de um pen drive ou atualização de software, pode garantir escalonamento de privilégios nas camadas superiores da rede convergente. Já vimos isso acontecer no famoso caso da usina enriquecedora de urânio no Iran. Relembrando: a usina foi inutilizada por meio de um worm chamado Stuxnet, que foi descoberto em meados de 2010 e projetado para atacar controladores do chão de fábrica, e comumente a infecção se dá através de dispositivos USB.

Uma breve explicação: PLCs  (programmable logic controller) são controladores que executam a automação de processos eletromecânicos, tais como aqueles usados para controlar máquinas nas linhas de montagem da fábrica.

O assunto é tão temeroso, que uma falha dessas pode inutilizar toda uma planta fabril.

Seguindo na seara de automação, há atualmente outro ponto muito discutido que depende da  convergência tecnológica e de redes, é o que chamamos de Construções Verdes. A gestão desses empreendimentos e suas práticas sustentáveis são orquestradas por sistemas denominados BMS (Buildings Management System). Um sistema BMS é o responsável pelo controle e monitoramento de toda a estrutura mecânica, elétrica e de segurança de um empreendimento, e isso acaba passando pela TI e tem na Internet das Coisas seu cerne. O catálogo de serviços cresceu. Mais stakeholders para o departamento de tecnologia conversar.

Isso não é predição, já é a realidade em centenas de prédios e fábricas mundo afora. Naturalmente em sistemas desse tipo, em que ar condicionado, câmeras de segurança, controle de acesso e iluminação estão conectados, a questão de segurança ressurge com força total.

Os times de automação geralmente são bem reticentes e céticos, e com devida razão – alguns milissegundos para a rede de computadores processar a informação podem inutilizar um lote inteiro de uma vacina, bebida ou alimento. Enquanto que para o time de TI esses tempos são aceitáveis, para uma planta fabril é inaceitável.

Enquanto o time de TI deve inovar, o time de automação está preocupado em entregar o que o pessoal de planejamento e controle da produção orquestrou. A preocupação da automação é garantir o melhor refino de receitas nos ativos já existentes, e a linha do tempo deles é bem maior que o ciclo de vida enfrentado pelos times de TI.

Começamos a observar as oportunidades em juntar CPwE, IoT, Segurança, times com missões distintas e convergir tudo isso em resultados para as empresas. O desafio vai desde a concepção, comissionamento até o on the fly. Após falarmos sobre a fusão dessa sopa de letrinhas, acabamos verificando que a questão vai esbarrar num tema central das discussões executivas e de mercado para proteção dos ativos dos investidores: governança. No final das contas, as quantias que custearão para tudo isso sair do papel vêm de empresas e pessoas que precisam da segurança acerca do capital empregado. Mais uma vez é importante lembrar que ilhas de informação criam vulnerabilidades. E, bem, ninguém investe estando inseguro.

A questão da segurança em serviços críticos de infraestrutura e instalações industriais, tais como refinarias, petroquímicas, plataformas de petróleo, usinas de geração de energia e estações de tratamento de água, já é uma preocupação latente desde os ataques de 11 de setembro nos EUA. Assim como na camada de negócios, temos a ISO 27001 (a norma é o padrão e a referência Internacional para a gestão da Segurança da informação) e a ISO 31000 (estabelece princípios e estrutura o processo de gestão do risco. Pode ser utilizada por qualquer organização, independentemente do seu tamanho, atividade ou setor), em automação elétrica existe a IEC-61850 (padrão para o projeto de automação de subestação elétrica).

O admirável mundo novo das fábricas 3.0 vem da necessidade de otimizar a produção e os custos em segmentos cada vez mais regulados, com margens apertadas e um consumidor melhor informado. A tecnologia, nesse ponto, serve de antídoto à ela mesma.

Nos próximos anos, o consumidor de alguns nichos poderá adquirir um produto e acompanhar a sua fabricação em tempo real. Ou, ainda, simplesmente conhecer as receitas das indústrias de alimentos e bebidas para fins de dieta e saúde.

A disrupção leva, em um ciclo retroalimentado, a novas disrupções.