As infraestruturas críticas e as instalações industriais constituem a espinha dorsal da nossa sociedade, fornecendo serviços essenciais como energia, água, produtos farmacêuticos e químicos, para citar apenas alguns. A perturbação destes setores pode ter repercussões graves, por isso é vital que aqueles que prestam estes serviços possam manter a continuidade do negócio, mesmo que sejam atingidos por um ciberataque, uma catástrofe natural, uma violação física ou um incidente ou acidente interno.
O evolutivo ambiente regulamentar
Os governos de todo o mundo estão a tomar medidas no sentido de garantir que os ativos críticos das indústrias envolvidas são resilientes a qualquer ameaça potencial, e uma abordagem chave tem sido a utilização de regulamentação que distribua a responsabilidade por toda a cadeia de fornecimento. Isto significa que todas as partes interessadas, desde utilizadores finais a fornecedores, têm um papel a desempenhar na garantia da segurança e resiliência de infraestruturas críticas e instalações industriais.
Na Europa, regulamentos como a Diretiva NIS2 focada na cibersegurança e a Diretiva de Resiliência de Entidades Críticas (CER) mais ampla introduzem exigências significativas a uma longa lista de indústrias, que agora se enquadram no âmbito alargado de "infraestrutura crítica" ou "entidades críticas e importantes", incluindo todas as suas cadeias de fornecimento.
Estes regulamentos exigem que as organizações implementem uma série de medidas de segurança, incluindo avaliações periódicas de risco e planos de resposta a incidentes. No mínimo, qualquer incumprimento resultará, provavelmente, em multas significativas. Os custos a prazo mais longo – potencialmente ainda maiores – podem incluir o impacto na reputação da marca, a perda de produção ou danos pagos a terceiros.
A maioria das grandes organizações estará ciente dos requisitos associados a estes regulamentos; no entanto, é menos conhecido que todas as organizações a operarem nestes setores, independentemente da dimensão, terão de estar cientes das implicações e ajustar e melhorar as respetivas operações comerciais em conformidade.
Um desafio específico para os setores industriais e infraestruturas críticas
A NIS2 e a RCE aplicam-se a uma vasta gama de setores, onde quaisquer incidentes podem ter um impacto potencialmente devastador na saúde e segurança dos cidadãos, na atividade económica, no meio ambiente e até no funcionamento da sociedade como um todo.
Uma série de setores, especialmente aqueles que manuseiam materiais e substâncias perigosas, já precisam de cumprir a regulamentação existente. Estes incluem a Diretiva Seveso, que abrange 12.000 instalações industriais em toda a UE e visa prevenir acidentes industriais graves e minimizar os seus impactos nocivos na saúde humana e no meio ambiente. Com o nome de uma fuga de produtos químicos na cidade italiana de Seveso em 1976, a Diretiva encontra-se, agora, na sua terceira iteração.
No entanto, as Diretivas NIS2 e CER elevam significativamente o nível regulamentar e as indústrias afetadas por estes novos regulamentos estão a esgotar o tempo para demonstrar que estão em linha com os requisitos. A NIS2 tem de estar refletida nas leis dos Estados-Membros da UE até outubro de 2024 e nas RCE até meados de 2025.
Definir "resiliência"
A própria Diretiva RCE define a resiliência como "a capacidade de uma entidade crítica prevenir, proteger contra, responder a, resistir, mitigar, absorver, acomodar e recuperar de um incidente".
Em termos simples, isto significa que as entidades críticas devem demonstrar que tomaram medidas no sentido de minimizar qualquer potencial de ocorrência de um acidente e mostrar que estão preparadas com contingências caso ocorra um evento.
A resiliência é ainda mais importante quando se trata de algumas áreas específicas de instalações industriais e infraestruturas críticas, os chamados "ativos críticos" através de regulamentos. Exemplos incluem (mas não se limitam a) salas de controlo em centrais nucleares, armazenamento de produtos químicos, geradores de energia, reatores em centrais químicas e fornos em fábricas de aço. As empresas que operam tais instalações precisam de demonstrar que implementaram as medidas para monitorizar e proteger todas essas áreas.
Soluções tecnológicas para satisfazer os requisitos
A utilização de dispositivos inteligentes e conectados baseados em tecnologia de vídeo, por exemplo, e os dados que estes podem criar, fornecem uma solução atrativa em muitas áreas de instalações industriais e infraestruturas críticas, fornecendo uma camada valiosa de verificação visual e consciência situacional, juntamente com o reconhecimento de objetos ou outras análises. Os cenários típicos incluem:
- Segurança: proteger perímetros e áreas específicas, dissuadindo a criminalidade e ajudando a proteger pessoas e ativos.
- Monitorização do processo e verificação visual: monitorizar a temperatura e as vibrações, detetar anomalias, monitorizar o manuseamento de substâncias perigosas e verificar se os processos estão a ser seguidos corretamente.
- Saúde, Segurança e Ambiente (SSA): a deteção de fugas, a monitorização de violações de segurança, a monitorização ambiental, a deteção de fumo e incêndio e a garantia de que os colaboradores estão a usar o Equipamento de Proteção Individual (EPI) correto.
Agora, as câmaras – anteriormente utilizadas principalmente para vigilância de segurança – também podem ser consideradas sensores para monitorização de processos e proteção de pessoas.
No entanto, nem todas as áreas de produção são fáceis de monitorizar. Devido a uma atmosfera potencialmente combustível, causada por gás e/ou poeira, é necessário tomar precauções especiais quando se trata de dispositivos elétricos, pois podem emitir faíscas ou calor excessivo e provocar uma ignição.
Dependendo da probabilidade de uma explosão, estas áreas são divididas em zonas, cada uma das quais requer uma proteção adequada dos dispositivos eletrónicos.
Tradicionalmente, as câmaras protegidas contra explosões foram concebidas com uma caixa em aço inoxidável para utilização na Zona/Divisão 1 mais perigosa. No entanto, a Zona/Divisão 2 menos perigosa normalmente abrange uma área maior. Aqui, uma solução mais rentável é utilizar câmaras protegidas contra explosões concebidas especificamente para a Zona/Divisão 2, permitindo a utilização de todo o potencial da tecnologia de câmaras modernas em áreas onde, anteriormente, o custo limitava a implementação.
Ser capaz de abranger um espetro mais amplo de situações e de uma forma rentável será uma mudança radical rumo à resiliência.
Garantir a cibersegurança
Embora a utilização de tecnologias e dados ligados tenha as suas vantagens óbvias, é importante que os utilizadores estejam cientes dos potenciais riscos de segurança. É por isso que a Diretiva NIS2 da UE visa garantir que quaisquer soluções utilizadas pelas instalações industriais e infraestruturas críticas também são adequadas do ponto de vista da cibersegurança.
Devido à sua importância nas nossas vidas diárias, as instalações industriais e as infraestruturas críticas são um alvo óbvio para um ciberataque e é provável que as suas vulnerabilidades sejam exploradas. Por 0sso, proteger os dispositivos conectados é uma prioridade. As empresas irão empregar uma série de ferramentas para mitigar os riscos de ciberameaças, incluindo software e dispositivos com funcionalidades integradas relacionadas com a cibersegurança, juntamente com as melhores práticas no reforço de dispositivos e na resolução de vulnerabilidades.
Trabalhar em parceria para criar resiliência
O tempo é essencial. Com os prazos da NIS2 e da RCE a aproximarem-se, além do Regulamento Seveso já existente, as organizações têm de agir. O trabalho com parceiros de confiança irá constituir a base para a resiliência. Soluções que equilibram a qualidade, a fiabilidade e a rentabilidade, com base em normas abertas que permitirão a escalabilidade e futuras melhorias, satisfazem as necessidades atuais e futuras, independentemente dos novos requisitos regulamentares que surjam.