5 passos para aumentar a resiliência cibernética em sistemas hídricos
Por
Alexandre Freire, Technical Sales Engineering da Nozomi Networks para a América
Latina
A
indústria das águas geralmente não é associada às ameaças de segurança
cibernética, mas, com a automatização do setor ao longo dos últimos anos, isso
vem mudando. Criminosos estão cada vez mais atentos ao valor que pode ser
extraído da infraestrutura crítica.
Embora
a conectividade digital nas concessionárias de águas tenha aumentado com a
integração da tecnologia da informação (TI), tecnologia operacional (OT) e a
Internet das Coisas (IoT), a mentalidade em relação à segurança não acompanhou
o ritmo, e isso é muito preocupante. A segurança das redes OT e IoT são
realizadas de maneiras diferentes e muitas vezes mais desafiadoras para a TI,
na qual a maior parte do foco de segurança é direcionada.
Como
provedor de um serviço essencial, os efeitos de um ciberataque em
concessionárias de água e saneamento têm o potencial de causar grandes danos à
população atendida. Nessa atual transformação digital, as empresas do setor têm
duas opções: priorizar a segurança cibernética ou arriscar perdas financeiras,
vazamentos de dados e até mesmo comprometer o fornecimento de água potável e
prejudicando também o tratamento de esgotos afetando a soberania de uma nação
com a possibilidade de comprometimento de serviços essenciais à sociedade.
Entenda os riscos
O setor de água e
esgoto é avaliado globalmente em cerca de 500 bilhões de
dólares, mas não era um alvo monetário para hackers até pouco tempo. Havia
pouca automação ou necessidade de acesso remoto aos sistemas e o valor para os
hackers era limitado a praticamente apenas desligar fisicamente o
maquinário.
O
acesso remoto permite a conectividade de qualquer lugar do mundo para gerar
ideias inovadoras ou solucionar problemas complexos. A automação e a IoT agora
são partes essenciais das estruturas modernas de operações críticas.
No
entanto, a proteção acabou ficando para trás e nos EUA estima-se que apenas 1%
do orçamento do setor seja voltado para a segurança cibernética. Além disso, a
avaliação de riscos, os planos de mitigação e recuperação também são
negligenciados. Muitos operadores de serviços públicos não estão cientes dos
tipos de ameaças que podem enfrentar. Além disso, as redes OT e IoT são
frequentemente consideradas muito difíceis de proteger.
Nos
últimos anos vimos diversos ataques, como a invasão ao Maroochy Shire em
Queensland, que liberou mais de um milhão de litros de esgoto em parques, ruas
e rios locais; a violação em computadores que controlam as comportas de uma
empresa no Irã; e a sabotagem que mais chamou a atenção em Oldsmar, na Flórida,
com a tentativa de alterar os níveis químicos na água, colocando a vida de milhões
de pessoas em risco.
Mitigação
De acordo com a IBM, as violações de dados agora custam
às empresas pesquisadas US$ 4,24 milhões por incidente em média. O erro humano
é uma das principais causas de violações, seja por senhas fracas,
compartilhamento de informações de segurança ou clique em e-mails de phishing
podem contribuir para o sucesso de um ciberataque. Diversos ataques que
atingiram os ambientes de OT foram bem sucedidos a partir da exploração da
superfície de sistemas e redes de TI muitas vezes em ataques direcionados na
indução de falhas humanas a partir de spear phishing e outras técnicas de
engenharia social.
A
abordagem preventiva é fundamental para reduzir os riscos de ataques. Mesmo nas
menores concessionárias, é fundamental estar previamente preparado para lidar
com uma violação e manter a atualização e monitoramento de novas ameaças. Se
uma empresa de tratamento de Água e Esgoto puder identificar um ataque
antecipadamente, será possível evitar alguns dos danos. A proteção de ambientes
OT e IoT requer respostas proativas e reativas, como:
Planejamento: Esteja preparado para um ataque. É preciso
agir agora para proteger os sistemas críticos e implementar planos para impedir
uma violação e ser capaz de recuperar os dados, tratar da continuidade de
negócios e restaurar rapidamente os processos operacionais
Treinamento: É fundamental manter um treinamento
consistente e atualizado para a equipe, descrevendo os procedimentos de segurança,
como detectar uma ameaça e o que fazer caso sofram um ciberataque. O lado
humano sempre será explorado por criminosos como busca de superfície de ataques
e facilitadores de roubos, fraudes em geral ou sabotagens.
Colaboração: Os hackers identificaram vulnerabilidades
comuns em diferentes empresas do setor de Utilities (Energia, Água e Esgotos).
O compartilhamento de informações sobre ameaças crescentes aumenta a
conscientização dos líderes de segurança das empresas e permite que cada
instalação tenha todas as informações relevantes com antecedência. Se os
criminosos identificam e compartilham amaças, precisamos ser mais velozes
compartilhando também o conhecimento dessas ameaças e sobretudo as
contramedidas necessárias para sua rápida identificação ou, preferencialmente,
mitigação.
Higiene
cibernética: Essa prática regular ajuda a identificar o footprint dos sistemas da empresa
para detectar pontos de vulnerabilidade e fraquezas. Aplicações legadas e não
monitoradas são particularmente suscetíveis a ataques, assim como dispositivos
de legado desatualizados e que não possuem mais cobertura para correções de
patches por parte dos fabricantes (depreciados).
Investimento: Os investimentos das concessionárias de água e esgoto em cibersegurança precisam subir para o topo das agendas rapidamente. Afinal, as estratégias de mitigação de riscos custam dinheiro, mas são muito mais baratas do que lidar com os grandes prejuízos de um ataque cibernético.
Nenhum comentário