Será que pensamos nos riscos de cibersegurança que corremos quando pensamos em edifícios inteligentes?
Quando pensamos em edifícios inteligentes, pensamos imediatamente em suas vantagens. Pensamos na eficiência que a tecnologia das construções conectadas oferece aos desenvolvedores, síndicos e inquilinos. Seja na eficiência, no valor a longo prazo ou na percepção da marca, os stakeholders sairão prejudicados se seus edifícios não forem ‘inteligentes’. No entanto, será que pensamos nos riscos de cibersegurança que corremos?
À medida que nossos prédios se tornam mais complexos, com o número de dispositivos conectados à Internet das Coisas (IoT) e de serviços em nuvem crescendo exponencialmente, as chances de ataques cibernéticos se tornam ainda maiores.
Hoje em dia os sistemas dos edifícios geralmente não conseguem gerenciar efetivamente qualquer invasão cibernética em potencial. Isso é resultado direto de uma desconexão óbvia entre os grupos que gerenciam a tecnologia da informação (TI), os quais possuem amplo conhecimento de segurança cibernética, e os grupos que gerenciam a tecnologia operacional (OT) da construção, os quais possuem o conhecimento do sistema de gestão predial (também conhecido como BMS).
Anteriormente, o BMS demandava um conhecimento especializado dos sistemas e protocolos e não exigia acesso aos recursos da rede corporativa ou à internet. Dessa forma, a segurança de uma rede BMS dependia predominantemente da obscuridade e da falta de conectividade externa. No entanto, atualmente, a evolução da tecnologia BMS fez com que os sistemas agora usem uma combinação de protocolos OT, incluindo ModBus e BACnet, bem como protocolos de TI como HTTP e FTP. Isso revolucionou a maneira como os edifícios inteligentes operam, mas também afetou como eles podem se tornar alvo, sob uma perspectiva cibernética.
A evolução da tecnologia BMS é basicamente uma mina de ouro para os hackers. Juntamente com a desconexão entre grupos de TI e OT, o atual modelo operacional para edifícios precisa mudar. Nos últimos anos, comunidades de hackers e grupos de pesquisa especializados em ataques cibernéticos voltaram-se aos edifícios inteligentes para recolher dados importantes.
No final das contas, o problema começa com a rede de um BMS. Essa rede pode ser considerada um caminho para acessar a rede de TI completa de uma organização. Assim, não somente o próprio sistema de gerenciamento se torna o alvo, como toda a empresa.
Para aqueles que procuram atualizar sua tecnologia predial, o risco de ataques cibernéticos é um enorme obstáculo. Isso impede que muitos setores – com destaque aos segmentos de saúde, FS e o setor público – invistam em melhorias. Esse é um resultado direto do medo de ataques, e dos danos e interrupções que eles podem causar. A realidade é que um ataque pode custar milhões para uma organização.
Para mitigar esses ataques e concretizar todo o potencial dos edifícios inteligentes, os operadores e ocupantes precisam alterar a forma como os sistemas inteligentes de controle de edifícios são arquitetados e gerenciados sob a perspectiva de uma segurança cibernética. Deixar de lado as barreiras organizacionais e reconhecer a desconexão de TI/OT é o primeiro passo crítico para implementar e operar sistemas de controle de prédios inteligentes ciberneticamente seguros.
Por sorte, a indústria de sistemas de controle OT já demonstra forte apoio para abordar os desafios de segurança enfrentados atualmente. Melhor ainda, as associações da indústria aumentaram a necessidade de práticas comuns de segurança cibernética, em particular com o desenvolvimento do conjunto global de padrões de segurança cibernética da IEC 62443. Isto é definido para melhorar a segurança, disponibilidade, integridade e confidencialidade dos sistemas utilizados para automação industrial e controle.
A vulnerabilidade de um sistema BMS que trabalha com esses dois conjuntos de protocolos está na desconexão entre a equipe de TI, que possui o conhecimento de segurança cibernética e a equipe de TO, que possui o conhecimento operacional. Quanto mais inteligente for o seu edifício e quanto menos esses dois grupos trabalharem uns com os outros, mais vulnerável a tecnologia se tornará, resultando no aumento de ataques cibernéticos externos. As equipes precisam trabalhar juntas e as organizações devem aderir à certas práticas para manter seu prédio o mais seguro possível.
*Por Klecios Souza, vice-presidente de Building da Schneider Electric Brasil.
