Workshop "Cibersegurança dos Sistemas de Automação e Controlo Industrial no Setor da Água"

     

 

 

 

O Workshop sobre o tema “Cibersegurança dos Sistemas de Automação e Controlo Industrial no Setor da Água”, que decorreu no passado dia 27 de novembro, no Grande Auditório do Laboratório Nacional de Engenharia Civil (LNEC), em Lisboa, reuniu 122 participantes.

No Workshop estiveram representados 49 organismos, dos quais 29 Entidades Gestoras, a operar nas áreas do abastecimento de água saneamento de águas residuais, 10 Empresas do setor e 10 Instituições/Universidades

 

 

A abertura do Workshop foi feita por José António Pestana, Administrador Executivo da AQUASIS, que deu as boas vindas a todos os participantes. Na sua intervenção, evidenciou a importância do tema da Cibersegurança no Setor da Água, com particular incidência nos sistemas de automação e controlo industrial e de supervisão SCADA, e a necessidade de sensibilização das Entidades Gestoras (EG) para que adotem medidas que mitiguem os riscos inerentes.

Seguiram-se as intervenções dos oradores convidados que integraram a Mesa de Abertura, com o tema central Cibersegurança e a Diretiva SRI (Segurança das Redes e dos Sistemas de Informação) / NIS (Network and Information Systems Security), que contou com as intervenções:

  • Do Eng.º Carlos Martins, Secretário de Estado do Ambiente, que destacou a importância que os Sistemas de Automação e de Telegestão atualmente têm para a eficiência nos processos de tratamento e distribuição de água, e do impacto que eventuais incidentes podem ter na continuidade do serviço prestado pela EG, sendo a Cibersegurança e a Diretiva SRI, temas a tratar com a devida atenção pela tutela setorial;
  • Do Eng.º Carlos Pina, Presidente do LNEC, que evidenciou a relevância do Workshop e que o tema da Cibersegurança tem para as Entidades Gestoras, tendo destacado a abordagem e importância que o LNEC dá ao tema;
  • Do Prof. Pedro Veiga, Coordenador do Centro Nacional de Cibersegurança (CNCS), que fez uma apresentação abrangente sobre o tema, onde destacou a importância das entidades endereçarem medidas de cibersegurança, evidenciando algumas vulnerabilidades e ameaças a que a sociedade, e as empresas, estão atualmente sujeitas. Na sua apresentação, o Prof Pedro Veiga apresentou ainda os principais aspetos da Diretiva SRI, incluindo os timings de implementação a nível nacional, destacando ainda a importância que a União Europeia dá ao tema. Fez ainda referência às Dimensões da Cibersegurança, destacando as componentes: técnica e tecnológica, política e organizacional, legal, económica e, principalmente, comportamento humano & psicológica;
  • Do Eng.º Luís Simas, Diretor na ERSAR, que se focou na Cibersegurança no setor da água, evidenciando a preocupação da Entidade Reguladora com as dificuldades das Entidades Gestoras de pequena dimensão para endereçarem o tema, e de se capacitarem, sendo de facto necessário mudar o paradigma do setor em Portugal, no sentido de potenciar sinergias e economias de escala;
  • E, por fim, do Major Nuno Casteleiro de Goes, em representação do Exército Português, uma das Entidades responsáveis pela Ciberdefesa nacional, que fez uma apresentação com contributos muito relevantes, onde começou por caracterizar os Sistemas ICS/SCADA, destacando a importância da sua componente física. Falou das ameaças e vulnerabilidades a que os sistemas estão sujeitos e da dimensão da sua evolução. Exemplificou tipologias de ameaças, origens e fatores necessários ao ataque, destacando medidas de mitigação do risco. Por fim, apresentou um cenário de um ciberataque ao um país fictício denominado “Aqualand”, evidenciando possíveis vetores de ataque no setor da água.

O painel que se seguiu foi moderado por Carlos Mariano, Diretor Geral da AQUASIS, e incluiu as intervenções de dois keynote speakers, a convite da IBM e da Siemens, que partilharam casos práticos de abordagem a Ciberataques a sistemas de automação e controlo industrial:

  • Domenico Raguseo, 1º Keynote Speaker, em representação da IBM, fez uma intervenção subordinada ao tema Immune Systems for Critical Infrastructure Protection. Fez referência aos ataques cada vez mais sofisticados à indústria da energia, serviços públicos e infraestruturas, e à prevenção de riscos com a pesquisa X-Force, enquanto núcleo da IBM Security. Apresentou alguns padrões típicos de ataque, tendo ainda destacado o facto de estarmos numa nova era de Segurança: manipulação de incidentes e prevenção de riscos com Cognitivo.
  • João Moita, 2º Keynote Speaker, que partilhou a sua intervenção com Luís Costa, ambos em representação da Siemens, fez uma intervenção subordinada ao tema Siemens_Industrial Security Protecting Productivity. Apresentou uma caracterização da evolução da segurança industrial nos últimos 15 anos e indicou o top 5 de riscos em termos de probabilidade de ocorrência, em resultado de 2 fatores: as novas tendências tecnológicas e consequente aumento das conexões, e o impacto de incidentes nos sistemas ICS. De entre os riscos, o Ciberataque e as crises no abastecimento de água ocupam a 4ª e 5ª posição, respetivamente. Destacou a necessidade de a defesa ter que ser feita em todos os níveis: segurança da planta industrial, segurança de rede e integridade do sistema. Fez ainda referência à segurança dos produtos Siemens, destacando o facto de os seus processos cumprirem com a IEC 62443.

O Workshop encerrou com um debate que teve como tema central “Estarão as Entidades Gestoras preparadas? Qual o caminho?”. O debate foi moderado por Paulo Coelho, Responsável da Área de Automação, Comunicações e Energia da AQUASIS, e contou com as interessantes intervenções de duas Entidades Gestoras convidadas, a EPAL, representada pelo seu Diretor de Sistemas de Informação, Sérgio Trindade, e os SIMAS de Oeiras e Amadora, representada pelo seu Diretor-Delegado, Nuno Campilho, e ainda pela intervenção do LNEC, representado pelo Investigador José Barateiro e da consultora Ana Fazendeiro, em representação da AQUASIS, destacando-se as seguintes conclusões:

  • Todas as intervenções convergiram num ponto comum: não devemos olhar para a Cibersegurança como sendo um problema meramente tecnológico, ou exclusivo das Equipas de Informática.
  • Com efeito, trata-se de um tema transversal a toda a organização, devendo desde logo a Gestão de Topo potenciar a definição de uma Estratégia, no sentido de definir os Processos e Procedimentos de Segurança, e promover uma Avaliação de Risco, mas nunca esquecendo as Pessoas, que são o pilar fundamental para o sucesso de todas as medidas de Cibersegurança.
  • De facto, dever-se-á potenciar não apenas ações de sensibilização de todos os colaboradores, de forma a não terem comportamentos de risco, mas também constituir uma Equipa de Segurança abrangente, que integre as componentes IT e OT, de forma a capacitar a Entidade Gestora na deteção e resposta a incidentes de Cibersegurança.

 A realização do Workshop contou com o patrocínio da IBM e da Siemens, e com o apoio do LNEC, APDA, PPA e AEPSA, cujo contributo foi fundamental.

Galeria

Mailing list

Registe-se no nosso site e receba notificações sempre que tivermos novidades Subscrever aqui
RSS
Partilhar