Escola Superior de Tecnologia e Gestão

Mestrado em Engenharia de Segurança Informática

SCADA e NIST Special Publication 800-82

Análise crı́tica aos normativos de segurança para SCADA

João Miguel Garcia Teixeira

Beja, 7 de Novembro de 2021

 INSTITUTO POLITÉCNICO DE BEJA

Escola Superior de Tecnologia e Gestão

Mestrado em Engenharia de Segurança Informática

SCADA e NIST Special Publication 800-82

Análise crı́tica aos normativos de segurança para SCADA

João Miguel Garcia Teixeira

Orientado por :

Professor Doutor Daniel Franco, IPBeja

2021
Resumo

SCADA e NIST Special Publication 800-82

Análise crı́tica aos normativos de segurança para SCADA

Este trabalho exploratório, aborda a análise comparativa de normativos de segurança para

sistemas Supervisory Control And Data Acquisition (SCADA) e Sistemas de Controlo
Industrial (ICS), focando alguns grupos de contramedidas às ameaças mais preocupantes
neste tipo de sistemas.
É dada especial atenção ao NIST Special Publication 800-82 Guide to Industrial Con-
trol Systems Security, e a sua interessante correlação com outro normativo mais orientado
para segurança da informação, numa abrangência plena de uma organização, a ISO 27002.
Encontramos no NIST Special Publication 800-82 Guide to Industrial Control Systems
Security uma orientação clara para a definição de polı́ticas e normas na elaboração de
um programa de segurança, adequado e atual, para a inclusão de ICS, onde se insere o
SCADA, com as atuais ameaças associadas às práticas modernas de gestão de redes de
informação genéricas.
Palavras-chave: SCADA, ICS, NIST 800-82, cibersegurança.

i
Índice

Resumo i

Índice iii

1 Introdução 1
1.1 SCADA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Normativos de segurança e o NIST Special Publication 800-82 . . . . . . . . 2

2 SCADA e segurança no âmbito NIST Special Publication 800-82 3

2.1 NIST Special Publication 800-82 e a ISO 27002 . . . . . . . . . . . . . . . . 4
2.2 Estrutura do NIST Special Publication 800-82 . . . . . . . . . . . . . . . . 5
2.2.1 Gestão de Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.2 Programa de segurança para um ICS . . . . . . . . . . . . . . . . . . 6

3 Conclusão 9

Bibliografia 11

iii
Capı́tulo 1

Introdução

1.1 SCADA

Os sistemas Supervisory Control And Data Acquisition (SCADA) foram introduzidos no

contexto de utilização organizacional e industrial há mais de 30 anos. A sua evolução ao
longo dos tempos tem acompanhado a sua implementação em ambientes corporativos mais
próximos e inclusivos com as redes de tecnologias de informação mais recentes. Apesar da
acessibilidade e benefı́cios da utilização evolutiva da internet ao longo dos últimos anos,
a sua inclusão com SCADA tem revelado o surgimento de vulnerabilidades com impacto
muito negativo em infraestruturas crı́ticas, normalmente associados a sistemas SCADA.

O SCADA é um sistema orientado por controladores, ”mestre”e ”servos”, e termi-

nais de controlo. São amplamente utilizados naquilo a que chamamos de infraestruturas
crı́ticas, tais como: estações de tratamento e distribuição de águas, centrais nucleares e
elétricas, sistemas de distribuição de gás, hospitais e outros similares. O SCADA pertence
ao nı́vel de abstração de supervisão, permitindo garantir ao administrador a comunicação
com hardware, nomeadamente Programmable Logic Controllers (PLCs), por meio de uma
interface na forma de um software [A D99].

Da sua estrutura base e perı́odo de criação, ao nı́vel da segurança, o SCADA prioritiza

a resiliência do funcionamento do sistema ao invés da confidencialidade da informação que
nele circula [SEN10]. O que, na conjuntura atual, induz preocupações sérias de segurança,
pela sua arquitetura base não estar preparada para defesa a ataques associadas às redes
de tecnologias de informação atuais. Ameaças à ”Confidencialidade, Integridade e Dispo-
nibilidade” nestes sistemas trazem consequências muito gravosas e preocupantes, por não
haver apenas impacto no mundo digital, mas sim no mundo fı́sico, colocando em causa
infraestruturas crı́ticas e por conseguinte, perigando diretamente a vida humana.

1
1. Introdução

1.2 Normativos de segurança e o NIST Special

Publication 800-82
De acordo com o estudo referenciado [SEN10], é conduzida uma análise a 8 standards
diferentes no que respeita à atenção dada aos diferentes grupos de contramedidas nestes
referidas a fim de combater os vários tipos de ameaças aos sistemas SCADA. A figura se-
guinte demonstra que, transversalmente, os três grupos de contramedidas mais abordados
e discutidos atualmente são:

• Autenticação;

• Criptografia;

• Firewall.

Figura 1.1: Comparação de normativos de segurança SCADA e foco nos grupos de

contramedidas [SEN10].

Do grupo de normativos comparados neste estudo [SEN10], elegemos o NIST Special

Publication 800-82 Guide to Industrial Control Systems Security como o normativo de
estudo da nossa análise, onde os grupos de contramedidas que mais se destacam são
ligeiramente diferentes dos expostos na figura 1.1:

• Análise e gestão de risco;

• Polı́ticas e normas;

• Autenticação.

Desta forma optamos por focar o NIST Special Publication 800-82 Guide to Industrial
Control Systems Security, referenciando a interessante aproximação a outro normativo di-
recionado para maior abrangência da cibersegurança de uma organização numa perspetiva
vertical : a ISO 27002 [ISO13].

2
Capı́tulo 2

SCADA e segurança no âmbito

NIST Special Publication 800-82

Este normativo providencia um programa de segurança orientado para os Sistemas de Con-

trolo Industrial (ICS). Incluindo os sistemas SCADA neste grupo, o normativo estabelece
vários objetivos de cibersegurança, enumerados da seguinte forma [Sto+15]:

1. Restrição de acessos à rede lógica de ICS e respetiva atividade em rede;

2. Restrição de acesso fı́sico às infraestruturas que compõem essa mesma rede;

3. Proteção individual dos componentes constituintes de uma ICS contra vulnerabili-

dades;

4. Restrição a alteração de dados na rede ICS;

5. Deteção de eventos de segurança e incidentes;

6. Manter funcionalidade durante condições adversas;

7. Capacidade de restauração após um incidente.

O sucesso na implementação de uma estrutura de cibersegurança vai para além dos

controlos aplicados diretamente na infraestrutura de ICS. Conforme nos é referenciado pelo
normativo em análise, uma estratégia de “defesa em profundidade” [Sto+15] terá de ser
implementada a fim de garantir várias camadas de segurança ao nı́vel transversal e vertical
na organização. Dessa forma, caso ocorra a falha de uma camada, poderá ser suportada
a segurança de forma robusta pelas outras camadas. No estudo comparativo deste nor-
mativo com outros similares, é também feito o estudo da aproximação destes aos aspetos
e controlos preconizados na ISO 27002. O facto de tal comparação permite auscultar se
de facto os princı́pios defendidos pelo NIST Special Publication 800-82, são aproximáveis
aos preconizados na ISO 27002, mais orientada para a segurança da informação numa

3
2. SCADA e segurança no âmbito NIST Special Publication 800-82

organização, do que propriamente orientada para a segurança fı́sica e mais técnica da

infraestrutura particular do SCADA.
Uma das motivações para procura de maior segurança no SCADA prende-se no facto
da evolução das tecnologias de informação terem levado a uma aproximação da gestão
dos SCADA aos métodos similares dos padrões de administração de sistemas informáticos
atuais, e o abandono da utilização única e exclusiva de protocolos proprietários [SEN10].
Logo a comparação com a ISO 27002 resulta numa aproximação da estratégia de segurança
organizacional e respetivos controlos, com as polı́ticas e normas elencadas no NIST Special
Publication 800-82.

2.1 NIST Special Publication 800-82 e a ISO 27002

Elencando novamente os grupos de contramedidas em destaque na figura 2.1, podemos
observar a respetiva sobreposição com os referenciados na ISO 27002.

Figura 2.1: Grupos de contramedidas de normativos de segurança SCADA em com-

paração com ISO 27002.

Conseguimos constatar que de facto há uma aproximação dos vários normativos para
a segurança em SCADA com a ISO 27002. Com diferenças no foco, onde naturalmente
a ISO 27002 a demonstrar tendência para controlos relativos à segurança na organização,
planos de contingência, planos de continuidade de negócio e polı́ticas organizacionais.
Assim, o visado como “estratégia em profundidade” pelo normativo em estudo, tenta
aproximar alguns dos seus controlos aos já previstos noutras normas, com foco vertical e
organizacional, premiando os vários nı́veis de segurança e robustez da infraestrutura do
ICS e por conseguinte do SCADA.
Assim, enquadramos a estratégia visada pelo NIST Special Publication 800-82 com as
seguintes orientações:

4
 2.2. Estrutura do NIST Special Publication 800-82

1. Desenvolvimento de polı́ticas, procedimentos, treino e formação orientada para a

promoção de segurança do ICS;

2. Abordar a segurança do ICS ao longo de todo o seu ciclo de vida, desde a arquitetura,
desenvolvimento, produção, manutenção e desativação;

3. Implementar uma rede ICS de tipologia multiprotocolo, na premissa de utilizar o

protocolo mais seguro e fiável para as comunicações mais crı́ticas;

4. Implementar uma separação lógica, como firewalls e gateways unidirecionais, entre

as redes de dados da organização e as redes ICS;

5. Promover arquiteturas do tipo Demilitarized Zone (DMZ), por forma a separar a

rede ICS da rede organizacional;

6. Garantir que os componentes crı́ticos são redundantes e operam em redes redundan-

tes;

7. Estruturar os sistemas crı́ticos permissivos a falhas, para degradação controlada, por

forma a evitar eventos catastróficos em cascata;

8. Restringir o acesso fı́sico à rede ICS e respetivos equipamentos;

9. Restringir o acesso lógico à rede ICS por meio de utilizadores com privilégios dife-
renciados de acordo com as funções expetáveis na operação com o ICS, como a lógica
RBAC por exemplo;

10. Utilizar mecanismos de autenticação distintos entre utilizadores do ICS e os restantes

utilizadores da organização em que está implementada;

11. Implementar controlos de segurança para prevenir, deter, detetar e mitigar a in-
trodução, exposição e propagação de software malicioso no ICS, como por exemplo,
softwares para deteção de intrusão, antivı́rus e análise de integridade de ficheiros;

12. Implementar técnicas promotoras de confidencialidade nas comunicações e base de

dados do ICS, como criptografia;

13. Registar e monitorizar auditorias nas áreas crı́ticas do ICS.

2.2 Estrutura do NIST Special Publication 800-82

A estrutura deste normativo pretende conduzir e guiar os elementos diretamente res-
ponsáveis pela implementação da estratégia e respetivos controlos numa perspetiva ver-
tical da organização onde se insere o ICS na criação de vários controlos que atinjam os
objetivos já aqui visados anteriormente.
Assim, a estrutura do normativo visa os seguintes tópicos:

5
2. SCADA e segurança no âmbito NIST Special Publication 800-82

1. Comparação de um ICS com a estrutura genérica dos sistemas de informação;

2. Ferramentas para discussão e gestão de risco no ICS;

3. Apresentação e proposta para desenvolvimento de um programa de segurança da

informação visando a mitigação dos seguintes riscos associados às seguintes vulne-
rabilidades:

• polı́ticas e procedimentos;
• arquitetura e design;
• configuração e manutenção;
• infraestrutura fı́sica;
• desenvolvimento do software;
• comunicação e respetiva rede de dados.

4. Providencia recomendações a ser implementadas ao nı́vel da arquitetura do ICS no

foco da segurança, focando a prática de segregação de redes;

5. Guia de aproximação ao NIST Special Publication 800-53, Security and Privacy

Controls for Federal Information Systems and Organizations [INI13], focando como
estes controlos podem ser aplicados ao nı́vel do ICS.

2.2.1 Gestão de Risco

Destaque para a diferença de uma análise de risco de uma rede de serviços de informação
(IT) genérica para um ICS. Ao contrário de uma rede genérica IT, as consequências de
uma vulnerabilidade explorada a um ICS poderá trazer impacto tanto no mundo digital
mas também no mundo fı́sico, tomando como exemplo os SCADA relativamente aplicadas
a um sistema de distribuição de recursos naturais, como barragens, distribuição de água
ou gás. Logo, a matriz de estudo e análise de riscos terá de contemplar um espetro muito
mais diversificado de situações que uma perspetiva meramente de uma rede IT genérica.
A nossa norma em estudo, categoriza em três grupos os componentes de controlo fı́sico de
um ICS que podem ser afetados num ataque pelo ciberespaço: Monitores analógicos ou
alarmes, Mecanismos de controlo manuais e Controlos analógicos.

2.2.2 Programa de segurança para um ICS

Considerando a natureza dı́spar de um ICS com a rede IT genérica, e o facto de a gestão e
análise de risco ser diferente e mais complexa pelo exposto anteriormente, a proposta para
o desenvolvimento de um programa de segurança completo e transversal numa organização
com ICS, deverá considerar os pressupostos dos normativos da Sociedade Internacional da
Automação (ISA) [ISA20]. Desta forma, e considerando o foco na proteção contra as

6
 2.2. Estrutura do NIST Special Publication 800-82

vulnerabilidades elencadas pelo mesmo, o programa de segurança organizacional proposta

na norma é descrito da seguinte forma:

1. Desenvolver um plano de negócio para a segurança;

2. Definir e treinar uma equipa multidisciplinar;

3. Definir o espetro, objetivos e competências de ação expectáveis para a equipa res-

ponsável;

4. Definir polı́ticas e procedimentos especı́ficos para o ICS:

• Mapear e inventariar os elementos constituintes do ICS;

• Desenvolver um plano de segurança para ICS;
• Desenvolver análise de risco;
• Definir os controlos de mitigação;

5. Garantir o treino adequado e sensibilização cultural organizacional para a segurança

no ICS.

7
Capı́tulo 3

Conclusão

O presente estudo apresenta uma análise comparativa de vários normativos de segurança

orientados para o SCADA, focando as semelhanças no que respeita aos grupos de con-
tramedidas e principais ameaças visadas pelos mesmos. Concluı́mos que existe uma cor-
respondência de interesse e foco comum, na sua generalidade, na prevenção das ameaças
correlacionadas com a aproximação dos modelos de gestão redes IT genéricas atuais com
a administração do SCADA.
Pelo pressuposto de que a cibersegurança deve ser um foco amplo, vertical e transversal,
numa organização, e que a Confidencialidade, Integridade e Disponibilidade devem ser
os pilares construtores de qualquer programa de cibersegurança, optamos por detalhar
a análise do NIST Special Publication 800-82, salientando a interessante facilidade de
implementação conjunta e amigável com a ISO 27002.
Verificámos que a estrutura do NIST Special Publication 800-82 debruça-se, maiorita-
riamente, na criação de um programa de segurança transversal e amplo de gestão de ICS
numa organização, onde se inserem os sistemas SCADA.
Este normativo aposta fortemente no desenvolvimento de polı́ticas, normas e modelos
de análise e gestão de risco especializados para o impacto de uma vulnerabilidade em
sistemas ICS e SCADA, podendo revelar-se extremamente perigoso para a vida humana,
por esta tipologia de sistemas estar diretamente relacionado com infraestruturas crı́ticas,
que, consequentemente, têm implicações diretas no mundo fı́sico.
Ao contrário de outros normativos, o foco do NIST Special Publication 800-82 visa
na preocupação à implementação de polı́ticas apropriadas à gestão de ICS desde a sua
idealização até à sua aposentação, focando a importância que, a gestão de topo de uma
organização, precisa de ter em consideração a criação e consequente atuação de equipas
especializadas para a inclusão harmoniosa da gestão sistemas ICS, SCADA, com a admi-
nistração genérica de uma rede IT corporativa.

9
Bibliografia

[A D99] W. Salter A. Daneels. WHAT IS SCADA? en. 1999. doi: https://accelconf.

web.cern.ch/ica99/papers/mc1i01.pdf (citado na página 1).
[INI13] JOINT TASK FORCE TRANSFORMATION INITIATIVE. Security and Pri-
vacy Controls for Federal Information Systems and Organizations. en. 2013.
doi: https://doi.org/10.6028/NIST.SP.800-53r5 (citado na página 6).
[ISA20] ISA. Quick Start Guide: An Overview of ISA/IEC 62443 Standards Security of
Industrial Automation and Control Systems. en. 2020. doi: https://gca.isa.
org/hubfs/ISAGCA\%20Quick\%20Start\%20Guide\%20FINAL.pdf (citado na
página 6).
[ISO13] ISO. ISO/IEC 27002:2013 Information technology — Security techniques —
Code of practice for information security controls. en. 2013. doi: https : / /
www.iso.org/standard/54533.html (citado na página 2).
[SEN10] Teodor Sommestad, Göran N. Ericsson e Jakob Nordlander. ≪SCADA system
cyber security — A comparison of standards≫. Em: IEEE PES General Mee-
ting. 2010, pp. 1–8. doi: 10.1109/PES.2010.5590215 (citado nas páginas 1, 2,
4).
[Sto+15] Keith Stouffer et al. Guide to Industrial Control Systems (ICS) Security. en.
2015-06-03 de 2015. doi: https://doi.org/10.6028/NIST.SP.800- 82r2
(citado na página 3).

11