Brechas de segurança cibernética na infraestrutura

Maneiras inovadoras de proteger a infraestrutura crítica

Embora os especialistas em segurança cibernética venham alertando há muito tempo sobre as ameaças à infraestrutura crítica das nações, os incidentes recentes estão abrindo os olhos de líderes políticos e empresariais para os riscos do ecossistema das redes de serviços públicos, redes de energia e outros serviços essenciais.

Eliminar essas brechas de segurança exigirá estratégias colaborativas — tanto “dentro” quanto “fora da caixa” — entre empresas, governos e o setor de tecnologia, para tentar corrigir os pontos fracos do ecossistema, que podem causar grandes interrupções, danos financeiros ou perda de vidas.

Riscos negligenciados do ecossistema

Apesar de o setor e os governos terem investido fortemente em segurança cibernética — construindo “paredes” cibernéticas em torno das redes internas das empresas e definindo diretrizes de segurança nacional para os setores nacionais — menos atenção é dada aos riscos “fora da caixa” gerados pela rede de infraestrutura interconectada crescente.

As notícias veiculadas na imprensa destacam, por exemplo, postos de gasolina fechados, bem como aviões parados após um ataque de ransomware a uma grande empresa de oleodutos dos Estados Unidos. Boletins de notícias descreveram como os tratamentos de pacientes foram suspensos em hospitais irlandeses após uma invasão no sistema nacional de saúde. De repente, fica claro como um único ataque a um sistema de computador aparentemente isolado pode se espalhar por toda a cadeia de suprimentos ou interromper serviços públicos essenciais.

Para os líderes empresariais ou políticos que estão se perguntando: “Como isso pôde acontecer?”, parte da resposta está na adoção da funcionalidade de TI nos ambientes operacionais dos setores. Muitos operadores de infraestrutura adotaram a inovação de TI para gerenciar melhor suas operações e reduzir custos, incluindo a capacidade de operação remota, para que o ativo de produção de uma empresa possa ser gerenciado de um local central ou mesmo remoto (a qualquer hora, em qualquer lugar).

Essa inovação pode trazer benefícios significativos. No entanto, isso muitas vezes desafiou as equipes de Tecnologia de Operações, que estavam focadas na proteção física dos ativos, e não nos riscos cibernéticos externos emergentes. Embora muitos sistemas de negócios sejam vigilantes contra ameaças cibernéticas, os sistemas operacionais nem sempre tiveram o mesmo escrutínio de segurança. Ademais, com o aumento da interconectividade entre uma empresa com seus clientes, fornecedores e até mesmo parceiros governamentais, as ameaças cibernéticas podem chegar de muitas fontes, gerando consequências inesperadas, próximas e distantes.

Mais esforço “dentro da caixa”

Apesar dos esforços das empresas líderes para proteger seus sistemas, ainda há muito trabalho a ser feito. A meu ver, diversos ataques de ransomware conhecidos poderiam ter sido evitados ou pelo menos reduzidos. E muitas organizações ainda não atingiram um nível mínimo de segurança cibernética para evitá-los.

A segmentação da rede distribuída de uma empresa reduziria os riscos, pois as separações de firewall entre as principais áreas tornariam mais fácil desligar e isolar um hacker. Também devemos perguntar se as empresas estão investindo o suficiente para manter seus ambientes operacionais atualizados e enfrentar os custos de substituição de sistemas legados; se o fato de evitar paradas de manutenção programadas que poderiam afetar a produção gerou problemas; ou se as organizações deveriam fazer mais para “pressionar” seus fornecedores de tecnologia a fornecer atualizações adequadas para sistemas industriais antigos. Seja qual for a resposta a essas perguntas, aparentemente muitos sistemas operacionais definham com funcionalidades desatualizadas e não contam com as atualizações de segurança necessárias.

Além disso, uma “cultura de pessoas” duradoura em muitas organizações pode paralisar seus esforços de segurança cibernética. Embora as equipes de operações possam não ter conhecimento cibernético, o problema pode ter origem no nível de supervisão e do conselho, em que os líderes não estão familiarizados com seus próprios ativos operacionais, nem entendem as dependências do seu ecossistema.

Essa cultura pode se estender aos profissionais da linha de frente que não são adequadamente treinados nas práticas básicas de “Não clique no link” de segurança cibernética, nem são incentivados a comunicar problemas operacionais ou falhas que criam vulnerabilidades para possíveis ataques cibernéticos.

Mais esforço “além da caixa”

Além de conscientização e controles internos, há necessidade de um planejamento mais abrangente para enfrentar a fragilidade do ecossistema. Ainda que os governos nacionais ou regionais possam fornecer essa supervisão e coordenação de estratégias de segurança cibernética para setores críticos, poucos governos abraçaram essa tarefa.

As exceções incluem a Sede de Comunicações do Governo do Reino Unido (GCHQ), que promove a vigilância cibernética no setor, o Departamento de Segurança Interna dos Estados Unidos e outras agências que definem os padrões do setor, além dos esforços de Cingapura para aplicar rigorosas regulamentações de segurança cibernética. No entanto, a maioria dos países ainda não implementou estruturas regulatórias similares.

A cooperação também é limitada no nível transnacional, em função da falta de consenso político ou do ritmo lento das mudanças legislativas. Por exemplo, apesar de a União Europeia estar atualizando sua Diretiva de Rede e Sistemas de Informação (NIS), pode levar anos para que as diretrizes do NIS 2 sejam implementadas nos países-membros. Hoje, mesmo o compartilhamento básico e transfronteiriço de inteligência, para alertar as agências nacionais sobre ameaças cibernéticas emergentes, ainda é incipiente.

Diante desse cenário, o papel fundamental da proteção do ecossistema pode depender da colaboração do setor, com liderança fornecida pelas maiores empresas de infraestrutura e tecnologia, que podem trazer suas contrapartes à mesa para definir princípios e práticas comuns. Esse consenso geral poderia, em última análise, estimular a atividade regulatória correspondente. Por exemplo, essa variedade de soluções “feitas pela indústria” já ocorreu no setor bancário, no qual os maiores bancos da Europa trabalharam juntos nos âmbitos nacional e internacional para elaborar padrões de segurança cibernética e compartilhamento de informações de inteligência de ameaças.

Essa abordagem orientada para o setor poderá produzir melhores estratégias e prontas para uso, com base na experiência de campo do mundo real de operadores que já praticam a meticulosa mitigação de risco dos seus ativos físicos internos. Atualmente, a maioria das empresas pode desligar rapidamente (parte dos) seus próprios ambientes operacionais, se um problema ocorrer, e reverter para processos alternativos. Essa mentalidade de “posso fazer” deve ser estendida no nível do ecossistema, de modo que os riscos relacionados ao labirinto de dependências de um setor sejam identificados, soluções alternativas sejam desenvolvidas e planos de backup sejam testados e praticados em conjunto por empresas, setores, tecnologias e reguladores.

Embora demande tempo e comprometimento para que as partes interessadas desenvolvam abordagens “de prateleira” eficazes para gerenciar os riscos incorporados nos seus ecossistemas, é encorajador observar que os participantes do setor estão hoje dando os primeiros passos.

Como qualquer grande desafio, isso deve começar com a “conscientização”, e os ataques cibernéticos recentes estão levando os CEOs e os Chefes de Estado a perguntar: “Quais são os nossos ativos?”, “Qual é o nosso nível de maturidade em Tecnologia Operacional?” e “Como o ecossistema pode afetar nossa capacidade de operar?” A próxima etapa é a colaboração do setor, do governo e da tecnologia para pensar de maneira inovadora e proteger a infraestrutura crítica da qual todos nós dependemos.