Standards & Safety 3 min read

IEC 62443 Segurança Cibernética de Sistemas de Controle Industrial: Requisitos de Patch e Manutenção

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Introdução: por que a segurança cibernética do ATS é uma questão de manutenção

Os sistemas de controlo industrial (ICS/ACU TP) nas empresas ucranianas operam sob condições de ameaças cibernéticas constantes. De acordo com o CERT-UA, em 2023–2024, foram registados mais de 2.500 incidentes direcionados a instalações de infraestruturas críticas. A norma IEC 62443 (uma série de 14 documentos, última edição consolidada — 2024) define uma abordagem sistemática para a proteção de redes industriais em todos os níveis — desde componentes até políticas organizacionais.

Para um engenheiro de serviços, a segurança cibernética não é uma tarefa abstrata de TI. Cada patch aberto no controlador, cada firmware não atualizado do painel HMI, cada porta Ethernet desprotegida no drive é um vetor de ataque. A IEC 62443-2-3:2015 (Gerenciamento de patches no ambiente IACS) regula diretamente os procedimentos de atualização do software dos componentes ACS como parte da manutenção programada.

A Lei "Sobre Infraestruturas Críticas" (n.º 1882-IX) entrou em vigor na Ucrânia em 1 de janeiro de 2024, que obriga os operadores de instalações de infraestruturas críticas a implementar sistemas de proteção cibernética de acordo com os padrões internacionais. DSTU EN IEC 62443 é adotado como padrão nacional pelo método de confirmação.

Escopo e obrigação

Quem deve ser responsável?

  • Operadores de objetos de infraestrutura crítica (categorias A, B, C conforme Resolução da CMU nº 1.109)
  • Empresas com ACS TP conectadas a redes corporativas
  • Produção com sistemas SCADA, DCS, PLC de níveis 0-3 de acordo com o modelo Purdue
  • Fornecedores de componentes ACS TP (requisitos IEC 62443-4-1 e 4-2)

Quais equipamentos são cobertos pelos requisitos

  • Controladores lógicos programáveis (CLP) — Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Painéis de operação (HMI) — Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Conversores de frequência com interfaces de rede (Profinet, EtherNet/IP, Modbus TCP)
  • Switches e roteadores industriais (Hirschmann, Moxa, Phoenix Contact)
  • Sensores e transdutores com HART/Foundation Fieldbus/IO-Link
  • PCs industriais, servidores SCADA, sistemas historiadores

Indústrias

Energia, abastecimento de água, indústria química, metalurgia, indústria alimentar, produção de cimento, indústria mineira - qualquer produção com gestão automatizada de processos tecnológicos.

Principais requisitos do padrão

DocumentorequisitoPeríodo de implementaçãoresponsável
IEC 62443-2-1:2010+AMD1:2024Sistema de gerenciamento de segurança cibernética (CSMS) - Políticas, procedimentos, funções12 meses a partir do momento da categorização do objetoChefe da empresa
CEI 62443-2-3:2015Procedimentos de gerenciamento de patches para o ambiente IACS6 meses após a implementação do CSMSEngenheiro ACS TP / Segurança de TI
CEI 62443-3-3:2013Requisitos de segurança em nível de sistema (SL 1-4)Ao projetar/modernizarEngenheiro de projetos
CEI 62443-4-2:2019Requisitos técnicos para componentes (SL-C)Ao comprar novos componentesDepartamento de Compras / MRO
DSTUISO/IEC 27001:2023Integração do SGSI com CSMSEm paralelo com IEC 62443-2-1CISO / responsável por SI

Impacto nas operações de manutenção

Patching como parte da manutenção programada

A IEC 62443-2-3 exige um processo formalizado de atualização de software para componentes industriais. Isso significa:

  1. Inventário de todos os ativos de software (firmware PLC, HMI OS, versões SCADA)
  2. Monitoramento de boletins de segurança dos fabricantes (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Avaliação de risco antes da aplicação do adesivo (pontuação CVSS ≥ 7,0 — crítico, período de fechamento ≤ 30 dias)
  4. Teste de patch em hardware de backup antes de implantar em produção
  5. Documentação de cada atualização no log de alterações

Mudanças na aquisição de peças de reposição

A norma IEC 62443-4-2 estabelece quatro níveis de segurança de componentes (SL-C 1–4). Ao substituir o controlador, switch ou painel HMI, você deve:

  • Verifique o certificado ISASecure (EDSA/SSA/SDLA) ou a declaração de conformidade IEC 62443-4-2
  • Certifique-se de que o firmware suporta uma atualização segura (atualização de firmware assinada)
  • Solicite documentação sobre diretrizes de endurecimento do fornecedor
  • Mantenha a integridade da cadeia de suprimentos – compre apenas de distribuidores autorizados

Documentação

Cada procedimento de manutenção relacionado a sistemas ciberfísicos deve conter:

  • ID do ativo e versão atual do firmware
  • Lista de patches aplicados com datas
  • Resultados da verificação de integridade (somas de hash, assinaturas digitais)
  • Assinatura de uma pessoa responsável com qualificações (certificado GICSP, Certificado de Segurança Cibernética ISA/IEC 62443)

Requisitos e certificação de componentes

Componentes com certificação obrigatória de segurança cibernética

Tipo de componenteRequisito IEC 62443-4-2SL-C mínimoExemplos de soluções certificadas
CLP / CLP de segurançaFR 1–7 (identificação, autorização, integridade de dados, auditoria)SL-C 2 (produção típica), SL-C 3 (infraestrutura crítica)Siemens S7-1500 (certificado TÜV SÜD), Allen-Bradley GuardLogix 5580
Interruptores industriaisFR 1, FR 2, FR 5 (restrição de fluxos de dados)SL-C 2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
Painéis IHMFR 1, FR 3, FR 4 (confidencialidade, integridade)SL-C 2Painéis de conforto unificados Siemens (V18+)
Conversores de frequência com EthernetFR 1, FR 7 (disponibilidade de recursos)SL-C 1ABB ACS880, Siemens G120 com CU250S-2
Roteadores/firewalls industriaisFR 1–7 (conjunto completo)SL-C 3Fortinet FortiGate robusto, Cisco IE-3400

Componentes mecânicos e elétricos

Os requisitos de segurança cibernética não cancelam as certificações clássicas. Para componentes que operam em ambiente ACS TP, ainda são obrigatórios:

  • Marcação CE (Diretiva 2014/35/UE para equipamentos de baixa tensão)
  • Certificado UkrSEPRO para equipamentos sujeitos a certificação obrigatória na Ucrânia
  • Conformidade com DSTU EN 60529 (grau de proteção IP) para armários de automação
  • DSTU EN 61439-1:2017 para dispositivos completos de baixa tensão
  • Rolamentos, vedações, conectores - conformidade com ISO 9001 e normas específicas (ISO 15:2017 para rolamentos)

Lista de verificação de conformidade para o gerente de serviços

  1. Foi realizado um inventário completo dos ativos de software do sistema de controle automático (PLC, IHM, SCADA, equipamentos de rede) - foram documentadas versões de firmware
  2. Foi criado um cadastro de ativos com classificação por zonas de segurança (zonas) e canais de comunicação (conduítes) de acordo com a IEC 62443-3-2
  3. Um nível de segurança alvo (SL-T) é definido para cada zona
  4. Pessoa designada responsável pelo gerenciamento de patches do ACS TP (não um departamento de TI de uso geral)
  5. Assinado no boletim de segurança de todos os fabricantes dos equipamentos instalados
  6. Um procedimento de avaliação de risco foi desenvolvido antes da aplicação do patch (modelo de avaliação de risco)
  7. Um ambiente de teste foi criado para testar patches antes da produção
  8. Os prazos máximos para fechamento de vulnerabilidades são definidos: CVSS ≥ 9,0 — 14 dias, CVSS 7,0–8,9 — 30 dias, CVSS 4,0–6,9 — 90 dias
  9. Implementado procedimento de backup das configurações do CLP/HMI antes de cada atualização
  10. É fornecida proteção física das portas de programação (USB, portas seriais) - plugues, travas de gabinete
  11. Verificado os certificados IEC 62443-4-2 para todos os componentes recém-adquiridos
  12. Implementação de segmentação de rede (VLANs, firewalls) entre zonas de níveis 0-3 e a rede corporativa
  13. O registro de eventos de segurança com coleta centralizada (syslog/SIEM) está configurado
  14. O pessoal de manutenção foi treinado nos conceitos básicos de higiene cibernética (alteração de senhas padrão, proibição de unidades USB)
  15. Foi desenvolvido um plano de resposta a incidentes com a definição das funções do pessoal de manutenção
  16. Os contratos com fornecedores de peças de reposição foram verificados quanto aos requisitos de integridade da cadeia de suprimentos
  17. Foi realizada auditoria de sistemas legados — foram determinadas medidas compensatórias para sistemas sem suporte de patch
  18. Todas as conexões remotas ao ACS TP (VPN, modems) são documentadas — minimizadas ao mínimo necessário
  19. O gerenciamento de mudanças está implementado – nenhuma atualização sem uma solicitação de mudança aprovada
  20. Está prevista uma auditoria anual de conformidade com a IEC 62443 com o envolvimento de um auditor externo

Inconsistências típicas identificadas pelos auditores

1. Falta de gerenciamento de patches como processo

Em 78% das empresas ucranianas (de acordo com a estimativa do DSSZZI, 2023), a atualização do firmware do PLC não é realizada ou é realizada apenas durante grandes reparações. Os controladores são executados em firmware de 5 a 10 anos com vulnerabilidades conhecidas (CVE).

2. Senhas padrão

Siemens S7-300/400 sem proteção por senha, painéis IHM com login admin/admin, switches com credenciais padrão de fábrica. Violação do FR 1 (Controle de Identificação e Autenticação) IEC 62443-4-2.

3. Falta de segmentação de rede

PLC e rede corporativa na mesma VLAN. Sem DMZ entre as camadas 3 e 4. Violação direta da IEC 62443-3-3, SR 5.1 (segmentação de rede).

4. Inconsistência dos componentes adquiridos

Substituir um switch com falha por um switch doméstico (não gerenciado) sem suporte ACL, VLAN, 802.1X. Comprar componentes falsificados ou não autorizados sem documentação.

5. Falta de registros de alterações

Incapacidade de rastrear quem, quando e o que mudou no programa PLC. Falta de versionamento do projeto.

Responsabilidade e sanções

Responsabilidade administrativa

A Lei da Ucrânia "Sobre Infraestruturas Críticas" (artigo 27.º) prevê:

  • Multa por não conformidade com os requisitos de proteção cibernética – de 3.400 a 51.000 UAH (100–1.500 NMDH) para funcionários
  • Multa para pessoas colectivas — até 2% do volume de negócios anual (por analogia com a Directiva NIS2 2022/2555 aquando da integração no mercado europeu)

Responsabilidade criminal

Artigo 363.º-1 do Código Penal da Ucrânia (interferência no funcionamento dos sistemas de informação) — se a inação conduzir a um incidente com consequências graves: até 5 anos de prisão.

Consequências do seguro

As companhias de seguros recusam-se a pagar em caso de incumprimento comprovado das normas de segurança cibernética. Uma perda típica de um ataque cibernético a uma empresa industrial situa-se entre 500.000 e 5.000.000 euros (dados do Allianz Global Industrial Report 2024).

Riscos contratuais

Os clientes europeus exigem prova de conformidade com a IEC 62443 como condição do contrato. Não cumprimento = perda de contratos de exportação.

Recomendações práticas para implementação

Etapa 1: Auditoria do status atual (1-2 meses)

Inventário de todos os componentes do ACS TP. Determinação do nível de segurança atual (SL-A — alcançado). Identificação da lacuna entre SL-A e SL-T alvo.

Etapa 2: Desenvolvimento de políticas (2-3 meses)

Criação de um procedimento de gerenciamento de patches de acordo com IEC 62443-2-3. Integração com o sistema de manutenção programada existente (CMMS). Definição de papéis e responsabilidades.

Etapa 3: Implementação técnica (3–6 meses)

Segmentação de rede. Substituição de equipamentos que não atendem aos requisitos de segurança. Configurações de monitoramento. Implementação de acesso remoto seguro.

Etapa 4: adquirir os componentes apropriados

No caso de substituição ou modernização planejada — seleção de componentes com conformidade confirmada com IEC 62443-4-2. Switches industriais, controladores, conversores de frequência, sensores com interfaces de rede — tudo deve possuir documentação descrevendo as funções de segurança implementadas (Security Features).

Resultado

A segurança cibernética dos sistemas de controle industrial não é uma iniciativa opcional de TI. Este é um componente obrigatório da manutenção técnica, estabelecido pela legislação da Ucrânia e pelas normas internacionais. A IEC 62443-2-3 define explicitamente o patching como um procedimento de manutenção. Cada substituição de um componente ACS TP deve levar em consideração os requisitos de segurança cibernética, juntamente com as características elétricas e mecânicas.

A UNITEC-D GmbH garante o fornecimento de componentes industriais certificados - desde rolamentos e vedações até equipamentos de rede e elementos de sistemas de automação - com documentação completa de conformidade com CE, ISO e padrões industriais. Use o Catálogo Eletrônico UNITEC-D para selecionar componentes que atendam aos seus requisitos de nível de segurança.

Lista de documentos normativos

  • IEC 62443-2-1:2010+AMD1:2024 — Segurança para automação industrial e sistemas de controle — Parte 2-1: Estabelecendo um programa de segurança IACS
  • IEC 62443-2-3:2015 — Gerenciamento de patches no ambiente IACS
  • IEC 62443-3-2:2020 — Avaliação de risco de segurança para projeto de sistema
  • IEC 62443-3-3:2013 — Requisitos de segurança do sistema e níveis de segurança
  • IEC 62443-4-1:2018 — Requisitos seguros do ciclo de vida de desenvolvimento de produtos
  • IEC 62443-4-2:2019 — Requisitos técnicos de segurança para componentes IACS
  • Lei da Ucrânia "Sobre Infraestrutura Crítica" nº 1882-IX de 16 de novembro de 2021
  • Resolução CMU nº 1.109, de 9 de outubro de 2020 “Sobre a aprovação do Procedimento para Formação de Lista de Objetos de Infraestrutura Crítica”
  • DSTU ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT)
  • Diretiva (UE) 2022/2555 (NIS2) — para empresas com contratos europeus
  • NIST SP 800-82 Rev. 3 (2023) — Guia para segurança de TO (referência)

Related Articles