API STD 1164: a segurança cibernética de sistemas de controle de dutos
Essa norma, editada em 2021 pela American Petroleum Institute (API), fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control - IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.
Equipe Target
A segurança da informação em sistema eletrônico de dutos
A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.
Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.
O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.
Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).
A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.
O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.
Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.
Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.
Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.
Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.
FONTE: Equipe Target
