10 controles para aprimorar a segurança

Humanos deverão ser o próximo alvo dos ciberataques a ambientes de tecnologia operacional (OT) até 2025. Pode até parecer enredo de filme de ficção científica, mas é a afirmação de um recente relatório do instituto Gartner. Mais do que invadir redes, roubar dados ou produzir paralisações nas operações de fábricas ou infraestruturas críticas, como foi o caso envolvendo o oleoduto Colonial nos Estados Unidos, as invasões promovidas por hackers transformarão equipamentos, ativos e processos de ambientes OT em armas para causar danos ou matar pessoas.

“Responsáveis pela gestão de segurança e riscos em instalações operacionais devem se preocupar mais com perigos do mundo real causados a humanos e o ambiente, e não com roubo de informações”, afirma Wam Voster, diretor de pesquisa sênior do Gartner. “Conversas com clientes do Gartner revelam que organizações em setores que fazem uso intensivo de ativos, como manufatura e serviços públicos, estão se empenhando para definir estruturas de controle adequadamente.”

Com a evolução dos ambientes OT, edifícios e cidades inteligentes, carros conectados e veículos autônomos, incidentes no mundo digital terão um efeito muito maior no mundo físico, pois agora há riscos, ameaças e vulnerabilidades em um espectro ciberfísico bidirecional. No entanto, muitas empresas não estão cientes dos chamados sistemas físicos (Cyber-Physical Systems – CPSs) já implantados em seus ambientes, seja devido a soluções legadas conectadas a redes corporativas por equipes fora da área de TI ou por causa de novos esforços de automação e modernização.

O Gartner define CPS como sistemas projetados para orquestrar ações de sensores, computação, controle, rede e análise que interagem com o mundo físico (incluindo pessoas). São atividades que sustentam os esforços de IT/OT e Internet das Coisas (IoT) em que as considerações de segurança abrangem os universos cibernético e físico.

O Gartner prevê que os impactos financeiros de ataques a CPSs resultando em vítimas fatais chegará a mais de US$ 50 bilhões até 2023. É claro que o valor da vida humana é imensurável. No entanto, se forem levados em conta prejuízos em termos de compensação, litígios, seguros, multas regulatórias e danos à reputação, os valores serão significativos. Além disso, o Gartner alerta que a maioria dos CEOs deverá ser responsabilizada pessoalmente por tais incidentes.

 “Órgãos reguladores e governamentais reagirão prontamente ao maior número de incidentes graves resultantes de falhas de proteção a CPSs, com regras e regulamentos mais rigorosos”, comenta Katell Thielemann, vice-presidente de pesquisa do Gartner. “Nos Estados Unidos, FBI, NSA e CISA já incrementaram a frequência e os detalhes fornecidos sobre ameaças a infraestruturas críticas. Em breve, os CEOs não serão capazes de alegar ignorância ou se preservar atrás de apólices de seguro.”

O Gartner recomenda uma estrutura de 10 controles para aprimorar a postura de segurança e evitar que incidentes no mundo digital tenham efeitos adversos no mundo físico.

1. Definir funções e responsabilidades – Nomear um gerente de segurança OT para cada instalação, que será responsável por atribuir e documentar funções e responsabilidades relacionadas à segurança para todos funcionários internos e terceirizados.

2. Promover treinamento e conscientização – Todos os profissionais de OT devem ter as habilidades necessárias e ser treinados para identificar riscos de segurança, vetores de ataque mais comuns e o que fazer em caso de incidente.

3. Implementar e testar respostas a incidentes  – Garantir que cada instalação implemente e mantenha um processo de gestão de incidentes de segurança específico para OT com quatro fases: preparação; detecção e análise; contenção, erradicação e recuperação; e atividades pós-incidente.

4. Backup, restauração e recuperação de desastres – Estabelecer procedimentos adequados de backup, restauração e recuperação de desastres, por exemplo, para casos de incêndio e também incidentes de alta gravidade.

5. Administrar mídias portáteis – Criar uma política para garantir que todas as mídias portáteis de armazenamento de dados sejam verificadas, independentemente de pertencer a um funcionário interno ou a terceiros. Apenas as mídias consideradas livres de código ou software mal-intencionados poderão ser conectadas aos sistemas OT.

6. Manter atualizado o inventário de ativos – É recomendável manter um inventário sempre atualizado de todos os equipamentos e software de OT.

7. Estabelecer uma segregação de redes adequada – As redes OT devem ser física e/ou logicamente separadas de qualquer outra rede, tanto interna quanto externamente. Todo o tráfego entre uma rede OT e qualquer outra parte deve passar por uma solução de gateway seguro, como uma zona desmilitarizada (DMZ).

8. Coletar registros e implementar detecção em tempo real – Políticas ou procedimentos apropriados devem ser usados para fazer o registro e a revisão automatizados de eventos de segurança reais e potenciais. Isso deve incluir tempo de retenção claro para os registros e proteção contra adulteração ou modificação indesejadas.

9. Implementar um processo seguro  de configuração –  Um processo seguro de configuração deve ser desenvolvido, padronizado e implantados para todos os sistemas aplicáveis no ambiente OT.

10. Processo formal de patching – Deve ser criado um processo para qualificar os patches de fabricantes antes da implantação. Depois de qualificados, os patches só poderão ser implantados em sistemas apropriados com uma frequência predefinida.