Infraestrutura no alvo dos ciberataques: é preciso blindar as vias conectadas

Você já chegou a pensar que um ataque cibernético poderia provocar escassez de gasolina, falta de comida ou transporte em um país? Isso já é uma realidade, e casos como estes têm acontecido com alguma frequência.

• Risco cibernético exige a cooperação dos setores público e privado
• Ataques riskware crescem no mundo inteiro no primeiro trimestre de 2022

O mundo todo tem presenciado um singular aumento nos ataques cibernéticos em infraestruturas críticas. O Brasil não é exceção. Aqui, é muito comum encontrar ambientes de automação industrial com acesso direto à internet, que apresentam baixa maturidade e consciência sobre cibersegurança. Muitas vezes esses sistemas não contam com os controles de detecção que normalmente são comuns em ambientes de TI convencionais.

Assim como todos os outros setores da economia, a infraestrutura crítica passou por uma rápida transformação digital, em que a tecnologia que alimenta fábricas, refinarias e serviços públicos agora está diretamente conectada à internet, abrindo as portas para que invasores maliciosos possam alcançar esses ambientes de missão e segurança críticos. Os cibercriminosos sabem que a perda de um provedor de infraestrutura crítica, caso seja forçado a parar suas atividades por qualquer período, pode ser desastrosa.

Países como os Estados Unidos estão fazendo grandes esforços para reduzir o risco cibernético em infraestruturas críticas, incluindo uma recente apresentação de especialistas, frente ao Comitê de Segurança Interna da Câmara dos EUA, para discutir sobre o estado de proteção dessas infraestruturas. Na ocasião, um dos especialistas declarou que se, por um lado, os investimentos em novas tecnologias representam grandes oportunidades de eficiência, como a transformação para fábricas e cidades inteligentes, por outro, tais mudanças podem introduzir verdadeiras lacunas de segurança. Sem melhorias em segurança e resiliência, os provedores de infraestrutura crítica não estão preparados para lidar com as ameaças cibernéticas.

Enquanto algumas dessas organizações apresentam alto grau de preparação para segurança cibernética e práticas de gerenciamento de riscos, outros estão totalmente despreparados. O setor industrial brasileiro ainda possui muitos ativos e dispositivos industriais desatualizados e sem mecanismos para dar visibilidade aos riscos.

Até o momento, não há um protocolo de defesa padrão que possa ser aplicado de maneira efetiva a todos os setores. Porém, existem recomendações importantes que poderiam se adotar imediatamente para preparar estes provedores em relação à segurança cibernética, como estabelecer padrões básicos de segurança cibernética para infraestrutura crítica com base em práticas eficazes de higiene cibernética, exigir que as empresas públicas divulguem suas políticas de gestão de riscos cibernéticos, e estabelecer métricas para transparência e responsabilidade por parte dos provedores.

A atenção para esse tema deve ser urgente, pois atualmente não é possível saber o quão vulnerável o setor é, ou qual é a exposição e o impacto econômico e físico que um ataque pode representar. Dessa forma, as portas continuam abertas aos cibercriminosos atentos.

No Brasil ainda não contamos com um órgão dedicado à segurança de infraestrutura crítica, mas alguns setores estão fazendo esforços para enfrentar esse problema. No final do ano passado, por exemplo, a Agência Nacional de Energia Elétrica do Brasil emitiu uma resolução normativa para estabelecer as diretrizes e o conteúdo mínimo das políticas de segurança cibernética a serem adotadas pelo setor de energia elétrica, que se efetivará no próximo 1ero de Julho.

Infraestruturas críticas estão sendo alvo de ataques e devemos ter visibilidade dos riscos potenciais, e faz-se necessário ampliar a conversa e a conscientização de TI (tecnologia da informação), OT (tecnologia operacional) e TA (tecnologia da automação) sobre a segurança cibernética como pilar fundamental da operação e empregar mecanismos e controles que permitam visibilidade sobre toda a superfície de ataque.