Por que as infraestruturas críticas no mundo continuam sendo alvo de ataques cibernéticos?
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
data da publicação 31/05/2021
Maio | 2021
Há necessidade urgente de haver uma mudança radical de mentalidade (mindset) por parte dos gestores de segurança cibernética de infraestruturas críticas (IC).
Quando falamos em “mindset”, significa que falamos sobre uma nova configuração da mente, conceito inovador que busca entender a predisposição psicológica de uma pessoa que prioriza determinados pensamentos e padrões de comportamento para, então, propor e desenvolver uma nova abordagem. É imprescíndivel que os gestores de segurança cibernética elaborem condutas diferentes para sensibilizar a alta gestão das infraestruturas críticas, que não acredita que ser alvo, negam a realidade, não conhecem o perfil de seu negócio e respectiva atratividade.
Hoje no século XXI, as IC são alvos declarados. Os ataques cibernéticos em IC possuem objetivos diferentes: vão desde questões político-sociais, fins lucrativos, geopolíticas ou até mesmo ciberespionagem de nação para nação. Os principais alvos dos cibercriminosos e hacktivistas hoje são as infraestruturas de energia. A eletricidade é considerada mais vulnerável. Depois vem petróleo, gás, transporte, serviços públicos, telecomunicações e setores críticos de manufatura. Além disso, os riscos de ataque com ransomware afetam a saúde pública e visam as cadeias de suprimentos médicos. O trabalho remoto que foi ampliado em virtude da pandemia Covid-19 também virou uma oportunidade para ataques cibernéticos.
O conceito de infraestrutura crítica inclui ativos, sistemas, instalações, redes e outros elementos dos quais um país depende para manter a segurança nacional, a vitalidade econômica e a saúde pública. São inúmeros os setores considerados como críticos, que possuem dependência da internet para sua operação, gestão e automação. Então por que são negligenciados? Na minha opinião, são dois motivos:
- O primeiro tem um viés psicológico de negar que a infraestrutura não é alvo. A alta gestão formada por diferentes perfis de executivos não acreditam nesta possibilidade;
- O segundo é a falta de conhecimento. Existe uma certa ignorância no assunto, pois muitos pensam que o pessoal de TI resolve totalmente o problema. Focam apenas na tecnologia e não no negócio. Quando falo isso, quero dizer que o gestor de segurança cibernética tem que saber, antes de pensar em tecnologia pura, quais são: os processos críticos da IC, as informações atrativas e estratégicas e quais os sistemas digitais que suportam os processos críticos e as informações. Uma quarta questão também estratégica e primordial é conhecer o nível de maturidade das pessoas que possuem autorização para acessar e usar as informações.
Não podemos esquecer que quase 90% dos ataques cibernéticos no mundo tiveram portas de acesso abertas por meio de e-mails maliciosos, denominados de Phishing. Diante dessas informações, o gestor deve começar a pensar nas portas abertas dos processos e caminhos críticos.
Denomino essas quatro informações como sendo as “Joias da Coroa”. Ou seja, sem ter esse conhecimento não tem como começar em pensar em segurança cibernética. E os hackers sabem disso, por isso planejam os ataques estruturados com base neste “gap”. No nosso software INTERISK, há uma disciplina específica de Cibernética, que mostra como as Joias da Coroa estão na 1a Fase do Framework de Gestão de Riscos Cibernéticos.
Figura 1: Joias da Coroa. Fonte: Brasiliano INTERISK
Por esta razão é que as infraestruturas críticas estão em risco, pois se tornaram os principais alvos pela simples razão de demonstrarem inúmeras fragilidades na grande superfície de ataque. Os agressores consideram alvos fáceis, além de oferecem visibilidade para que os hackers ganhem reputação. É assim que eles conseguem altos valores em resgate e criam distrações, desenvolvendo também alvos em potencial para guerras cibernéticas ou ataques contra países. Ou seja, a atratividade é muito alta e aí a propensão de ataque cresce em escala exponencial.
Outro grande erro das infraestruturas críticas é não elaborarem Cenários de Ataques e como que eles podem ocorrer. Para isso, devem possuir as seguintes informações:
1. O negócio da infraestrutura crítica;
2. Os impactos para o país, estado e cidade que a IC presta serviço, consequência do impacto na operação, impacto financeiro, legal e imagem;
3. Fragilidades existentes, condição de segurança na Joias da Coroa, levando em consideração pessoas, controles lógicos, controles físicos e processos;
4. Perfis de agressores, dos hackers, suas características e modus operandi;
5. Pensar como um agressor, tendo em vista as informações acima, como que minha infraestrutura crítica pode ser invadida.
Podemos ter uma visão holística de possíveis ataques cibernéticos por meio do diagrama de causa e efeito abaixo:
Figura 2: Diagrama de Causa e Efeito dos Cenários de Ataques Cibernéticos Fonte: Brasiliano INTERISK
Com base na montagem de Ameaças Inteligentes, como o diagrama acima, as infraestruturas críticas podem possuir visão de antecipação. Exemplo: saberem que atualmente os ataques são automatizados e muito rápidos. O perfil dos hackers hoje não são mais pessoas solitárias hackeando para se divertirem, mas sim estruturas empresariais nas sombras ou grupos apoiados por nações que têm muita tecnologia e apoio financeiro e lançam ataques sofisticados com inteligência artificial para encontrarem as brechas. Brechas são as portas de acesso que podem ser até de um dispositivo de segurança física, do tipo um CFTV ligado na rede.
Com os cenários cada vez mais sofisticados, a segurança cibernética deve ter ferramentas de nível igual e/ou superior dos seus agressores, do tipo automação que incluam inteligência artificial, machine learning e redes de autocura (sistemas que se protegem). Isto é estar no século XXI. Isolar infraestruturas críticas, isto é, removê-las de redes e conexões, não resolve mais o problema porque a cadeia de fornecimento do software dessa infraestrutura tem que passar, de qualquer maneira, por redes que podem estar comprometidas por ataques.
As causas mais comuns exploradas pelos criminosos cibernéticos são os sensores industriais de todos os tipos, firewalls antigos e sistemas de segurança mal configurados, links a banco de dados, acesso telefônico ou conexões de gerenciamento de rede secundária e VPNs, citando apenas algumas. Por outro lado, os sistemas de controle industrial são difíceis de proteger porque alguns são muitos antigos, mas ainda funcionam, e não levam a segurança em consideração. O que é o mais comum. A Tecnologia de Automação – TA nas infraestruturas críticas focam na disponibilidade, o que é correto desde que tenham confidencialidade/segurança.
Cito como exemplo o ataque em 7 de maio, nos Estados Unidos na maior empresa de gasoduto, a Colonial Pipeline, por meio de ransomware, impactando 17 estados americanos, em um trecho de aproximadamente 8.850 quilômetros, abrangendo do Texas até Nova York. Vejam que estamos falando dos Estados Unidos, que em função desse ataque desabasteceu 17 estados. Impacto massivo. A empresa confirmou o ataque cibernético no dia seguinte e alegou que para conter a ameaça eles tiveram que desconectar alguns computadores. Está aí a fragilidade exposta!
Mudar a mentalidade é essencial
No contexto atual, os criminosos cibernéticos estão ajustando suas táticas e a inovação digital, consequentemente criando mais riscos. A adição da alta conectividade, tornado a superfície de proteção extremamente grande e abrangente, fragilizou a segurança cibernética. Hoje o perímetro das redes está em toda parte e, com a transição para a nuvem, estão vindo novas vulnerabilidades, assim como com a Internet das Coisas (IoT), que expandiu os pontos de acesso e está permitindo que os invasores encontrem sistemas e serviços abertos por meio de câmeras, roteadores e servidores, entre outros dispositivos.
Muitos tomadores de decisões corporativas e governamentais acreditam que, se estiverem na nuvem, estarão protegidos automaticamente. Doce ilusão! A realidade é que deve haver segurança cibernética de ponta a ponta: desde o dispositivo do funcionário e da VPN até a instância da nuvem, envolvendo toda a infraestrutura híbrida. Além disso, as organizações devem ter visibilidade centralizada de tudo que acessa e passa por sua rede, fácil gerenciamento e automação.
A mudança do “mindset” é fundamental. A implementação de um esquema de segurança cibernética de ponta a ponta deve ser a prioritária. Para isso, os gestores de segurança cibernética devem ser pontuais e saberem onde investir. Portanto, eles devem conhecer suas fragilidades do tipo gráfico radar.
Figura 3: Gráfico Tipo Radar – Nível de Maturidade – Fornece uma visão pontual onde encontra as fragilidades.
Fonte: Brasiliano INTERISK
Uma pesquisa recente realizada pela Fortinet indica que as organizações estão se movendo na direção errada em termos de resultados. Nove em cada dez empresas experimentaram pelo menos uma intrusão de OT (tecnologia operacional), em 2020, foram 19% a mais do que em 2019. E a proporção de organizações que experimentaram três ou mais intrusões aumentou de 47% para 65% durante o mesmo período.
Sabemos que a segurança cibernética na Tecnologia de Automação – TA ainda caminha a passos lentos e o desconhecimento é brutal. Os criminosos cibernéticos aproveitam essa fragilidade e realizam suas invasões, afetando a eficiência operacional, a receita e até a segurança física das empresas. Com o aumento da conectividade dos sistemas de TA com sistemas de TI e a Internet, as redes de negócios estão se tornando mais complexas, dificultando a proteção abrangente. A pesquisa mostrou o que descrevemos neste artigo, que uma porcentagem significativa das infraestruturas críticas não possui uma segurança cibernética com elementos básicos em seus ambientes de TA. Este é um dos grandes problemas a ser resolvido. Sensibilizar a alta gestão de TA no quesito cibernético. A segurança cibernética não deve ser um plano futuro, mas sim ação imediata, consistente e eficaz. Basta mudarmos o “Mindset”! Conseguiremos?
Há muitas outras vantagens do Módulo de CyberSecurity Risk do Software INTERISK.