O interesse em aplicações web vem aumentando com o passar do tempo. É inquestionável o valor que elas têm atualmente.
Do mesmo jeito que agregam valor a vários setores, essas aplicações também estão aprimorando a indústria, especialmente com sistemas com melhor usabilidade e mais disponibilidade.
Além de trazer benefícios ao negócio, esses sistemas são muito valiosos para os negócios. Por isso, acabam atraindo criminosos, interessados em conseguir dados sensíveis, obter vantagens financeiras e até mesmo sequestrar corporações inteiras através da encriptação de seus arquivos.
O crescimento de aplicações web
A Internet mudou muito desde o seu início. As aplicações web, antigamente, eram simplesmente textos estáticos, abertos, que podiam ser acessados por qualquer pessoa, já que não possuíam muito valor financeiro agregado.
Atualmente, essas aplicações se tornaram dinâmicas, com fluxos de informações complexas, não somente entre os usuários e a aplicação, mas também entre as próprias aplicações.
Tudo isso culmina em interações entre usuários, aplicações e máquinas em processos produtivos. Assim, cresce o valor agregado e, infelizmente, diminui a segurança.
Só para exemplificar, considere a criticidade de sistemas que controlam fluxos de combustíveis, temperatura de caldeiras ou até mesmo exaustão de gases em empresas de base. Caso um desses sistemas seja comprometido, podem ocorrer não só danos materiais, mas até comprometer muitas vidas.
O paradoxo da segurança nas aplicações industriais
Existe um paradoxo constante no desenvolvimento de aplicações web modernas para a indústria 4.0. Ele está no fato de que requisitos básicos dessas aplicações aumentam diretamente sua exposição a possíveis problemas de segurança.
Assim, tratar a segurança de uma aplicação web moderna é uma questão de mitigação de danos, pois é praticamente impossível garantir que uma aplicação esteja integralmente imune a qualquer tipo de ataque.
Os dois requisitos básicos das novas aplicações web que mais impactam na segurança são:
- A aplicação precisa aceitar dados inseridos pelos usuários. O problema é que qualquer informação pode ser transmitida à aplicação, que é responsável por tratá-la;
- A aplicação deve estar acessível e disponível aos usuários, o tempo todo e em qualquer lugar do mundo, salvo algumas exceções. Porém, dessa forma, a superfície de ataque da aplicação é aumentada para fora do perímetro de segurança convencional da organização.
Estes dois requisitos e suas consequências devem sempre ser considerados durante o desenvolvimento de uma aplicação web.
Eles são tão evidentes que foram desenvolvidos padrões para estabelecer regras e metas de segurança para estes tipos de aplicações. Uma série de padrões muito utilizada na indústria 4.0 é o IEC 62443, especialmente desenhada para sistema de controles e automação.
Juntando os padrões desta norma ao framework de segurança do NIST (diretrizes para cibersegurança do Instituto Nacional de Padrões e Tecnologia dos EUA), obtém-se uma eficiência muito grande na mitigação dos problemas mencionados neste documento.
Conclusão
Os problemas apresentados não são os únicos a serem considerados, pois existem inúmeras outras questões técnicas e gerenciais que também podem levar a problemas de segurança na construção de uma aplicação web, principalmente quando esta está relacionada à indústria 4.0.
Outra coisa que deve ser observada, é que não existe uma bala de prata na construção de sistemas seguros. No entanto, existem muitas técnicas bem estabelecidas que podem ser empregadas na grande maioria dos sistemas.
Aqui no Venturus, tratamos especialmente cada projeto, fazendo uma modelagem de possíveis problemas de segurança e trabalhando conjuntamente com os times de desenvolvimento para a mitigação desses problemas. Entre em contato com nossos especialistas!
