A Food and Drug Administration (FDA) dos EUA emitiu a regra final sobre a Food Safety Modernization Act (FSMA) em novembro de 2015 e, de acordo com o site da FDA, ainda está em vigor em 21/10/2020. A norma visa prevenir a adulteração intencional de atos que visam causar danos em larga escala à saúde pública, incluindo atos de terrorismo visando o abastecimento de alimentos. FSMA requer uma avaliação de vulnerabilidade para identificar vulnerabilidades e etapas de processo acionáveis ​​para cada tipo de alimento fabricado, processado, embalado ou armazenado na instalação de alimentos. De acordo com a FSMA, para cada ponto, etapa ou procedimento do processo de instalação, esses elementos devem ser avaliados. Especificamente, uma avaliação de vulnerabilidade será realizada para determinar o grau de acesso físico ao produto com considerações que incluem a presença de barreiras físicas, como portões, grades, portas, tampas, lacres e escudos. Porém, la FSMA não aborda explicitamente ameaças cibernéticas .

Os especialistas cibernéticos há muito afirmam que os setores de alimentos, bebidas e agricultura podem ser vulneráveis ​​a ameaças cibernéticas. O foco atual das ameaças cibernéticas ao sistema de controle é a energia elétrica e, com o ataque cibernético de fevereiro à estação de tratamento de água Oldsmar, a água. No entanto, os mesmos sistemas de controle dos mesmos fornecedores com as mesmas vulnerabilidades são usados ​​em todos os setores. Há um artigo na revista Food Engineering: "As vulnerabilidades do sistema de controle colocam alimentos e bebidas em sério risco" (https://www.foodengineeringmag.com/articles/99362-control-system-vulnerabilities-put-food-beverage-at- riesgo grave) que aborda vulnerabilidades na fabricação de alimentos. Eu fiz uma palestra sobre Sistema de Controle de Segurança Cibernética com histórias de casos reais na Cúpula de Segurança Cibernética da Indústria Alimentar 2016 em Washington DC patrocinada pelo Food Protection and Defense Institute (https://www.controlglobal.com/blogs/unfeitated/some-cisos -están-empezando-a-tener-la-importancia-de-las-ics-ciberseguridad-y-están-en-la-industria-alimentaria) Do ponto de vista cibernético de um sistema de controle, uma instalação de alimentos, bebidas ou agricultura é essencialmente uma instalação química e / ou de fabricação. Os incidentes do sistema de controle cibernético causaram problemas como a adulteração de produtos em instalações de fabricação de produtos químicos. Meu banco de dados de mais de 1.300 incidentes cibernéticos reais do sistema de controle inclui mais de 100 incidentes em instalações químicas. Identifiquei mais de 20 incidentes no sistema de controle cibernético em instalações de alimentos e bebidas, incluindo alguns em que pessoas foram prejudicadas e outros que fecharam as instalações. Na verdade, alguns dos casos de alimentos surgiram como resultado da minha apresentação de 2016, onde os participantes tiveram uma ideia melhor de quais incidentes podem estar relacionados ao ciberespaço.

Os incidentes do sistema de controle podem ser muito difíceis de identificar. Além disso, devido à falta de um sistema de controle cibernético forense e à incapacidade de distinguir a motivação (maliciosa ou não), pode não ser possível identificar se os incidentes do sistema de controle cibernético são maliciosos ou não. Ao contrário do “susto do Tylenol” de 1982, que foi um ataque físico das prateleiras das lojas que resultou na implantação de contêineres de segurança com selagem tripla e resistentes à violação, os incidentes do sistema de controle cibernético ocorrem durante o processo de fabricação, antes de embalar a comida ou bebida. Esses incidentes podem ser inadvertidos ou maliciosos. No entanto, o impacto pode ser o mesmo, mas não é bom.

Paralelo à violação da segurança cibernética alimentar está o hack de água Oldsmar de fevereiro de 2021 e o incidente de hidróxido de sódio de Spencer, MA 2,007 (https://www.controlglobal.com/blogs/unfettered/water-control-system-cyber-incidents- son-más-frecuentes-e-impactantes-de-lo-que-las-personas-son-conscientes ) No caso de Spencer, assim como em pelo menos um dos casos de alimentos, os problemas do sistema de controle cibernético (eles não precisavam ser maliciosos) levaram diretamente à "adulteração do produto", que resultou diretamente em dano público (danos pessoais). . No caso dos alimentos, não está claro se a adulteração foi maliciosa ou inadvertida. No entanto, a intenção do FSMA é evitar que as pessoas sejam prejudicadas e, nesse caso, falhou.

Redes de tecnologia operacional de sistema de controle (OT), mesmo em instalações de alimentos e bebidas, são normalmente redes planas com conexões diretas a redes de TI. As empresas de alimentos e bebidas que usam SolarWinds que não segmentaram as redes OT de suas instalações de suas redes de TI correm o risco de ter suas redes OT comprometidas. Além disso, como outras instalações industriais, as instalações de alimentos e bebidas geralmente têm acesso remoto para o pessoal interno, bem como OEMs e integradores de sistema para suporte de manutenção remota.

Veja quanto tempo levou desde o caso de Spencer, MA em 2007 até o caso Oldsmar, Flórida, em 2021, para que as pessoas aparentemente tomassem medidas para proteger as instalações de água ciberneticamente. Como outras indústrias, as instalações de alimentos têm experimentado incidentes cibernéticos desde o final da década de 1990. Já não era hora de a produção de alimentos, bebidas e agricultura dos EUA exigir proteção cibernética, assim como outros críticos de infraestrutura?


fonte: Ligação

fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Eduardo Kando Gerente WiseGroup
Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.