Cultura de segurança em OT precisa amadurecer

Está cada vez mais evidente a convergência dos mundos físico e digital em nossas rotinas, e os ambientes industriais não foge a essa regra. Nesse cenário, podemos ver que sistemas de IT (Information Technology) e de OT (Operational Technology) trabalham estreitamente para que dados digitais possam embasar ações operacionais e para que, no sentido inverso, dados provenientes das infraestruturas OT possam ser analisados pelos sistemas de IT, facilitando a geração de insights e a tomada de decisão.

No entanto, os sistemas OT e IT estão tão próximos que podem colocar um lado em risco se o outro estiver sendo ameaçado. Em outras palavras, se diariamente acompanhamos notícias sobre ataques cibernéticos a sistemas de IT, não é de surpreender a revelação de uma pesquisa recente da Kaspersky dando conta de que um terço dos sistemas de controle industrial (ICS) também tenha sido alvo de atividades de cibercriminosos no primeiro semestre de 2021.

Desde que o malware Stuxnet, implantado via unidade USB, atacou instalações nucleares no Irã em 2010, ataques a ambientes industriais só fizeram crescer em volume e severidade. No início, os sistemas de controle industrial e as plataformas SCADA (Supervisory Control and Data Acquisition) estavam, em grande parte, isolados das infraestruturas de TI e fora do alcance dos cibercriminosos. Hoje, as fábricas estão conectadas a redes de computadores e também ao mundo externo, buscando com isso mais produtividade, mais eficiência de custos, mais previsibilidade, entre outros benefícios. No entanto, essa maior integração entre IT e OT trouxe uma consequência: ter de lidar com os mesmos tipos de conceitos e vulnerabilidades.

“A maior superfície de ataque resultante da convergência IT/OT impõe desafios mais complexos a maquinários de chão de fábrica com décadas de vida e que, muitas vezes, não contemplam a segurança das operações fabris. Esses equipamentos usam protocolos antigos e nem sequer ouviram falar de autenticação ou criptografia, conceitos corriqueiros entre sistemas de IT”, comenta David Montoya, vice-presidente de desenvolvimento de negócios da Paessler AG. Sensores, instrumentos e outros dispositivos conectados à Internet usados cada vez mais em aplicações industriais – a chamada IIoT (Internet das Coisas Industrial) – estão ampliando ainda mais as superfícies de ataque.

Na visão de Montoya, abordagens isoladas estão fadadas ao fracasso. É preciso que as áreas de IT e OT sentem lado a lado para planejar medidas usando linguagem e conceitos em comum e tendo a segurança mútua como meta principal. Felizmente, as ferramentas de segurança já estão avançando para abranger mais dispositivos, sejam de IT ou de OT, que podem ser gerenciados sob um único painel. “Além disso, existem fornecedores que estão fazendo um papel intermediário de tradução entre as tecnologias usadas pelas duas áreas”, destaca o executivo.

O mercado global de cibersegurança industrial deve atingir US$ 22,8 bilhões em 2026, crescendo a uma taxa anual composta de 7,2% CAGR, segundo a KBV Research. Entre 2019 e 2020, dezenas de parcerias e fusões foram estabelecidas e produtos foram lançados com o objetivo de reunir expertise industrial e soluções de cibersegurança e assim aprimorar a capacidade de detectar ameaças conhecidas e desconhecidas ao ambiente industrial.

Mais do que as conhecidas ferramentas de segurança, as fábricas podem contar com sistemas de monitoramento que prezam pela integridade dos sistemas, coletando dados históricos e gerando relatórios que podem revelar anomalias na saúde geral dos ambientes operacionais. Montoya destaca que essas soluções de monitoramento cumprem um papel complementar em relação aos sistemas de segurança tradicionais. E cita um caso do qual participou para exemplificar isso.

O executivo conta que acompanhou um projeto-piloto em um potencial cliente que já era usuário de soluções de segurança. Durante o andamento do trabalho, a solução da Paessler AG apontou problemas com um endereço IP específico. O fato gerou surpresa dos gerentes de rede, já que havia firewalls protegendo a rede. Ao verificar o que poderia estar acontecendo, foi diagnosticado que o firewall, por algum motivo, estava desabilitado. Ponto para a ferramenta de monitoramento!

Assim como aconteceu no mundo digital que, ao longo dos anos reuniu conhecimento, soluções e cultura em relação à cibersegurança, os sistemas industriais e sua realidade física também estão evoluindo e amadurecendo para proteger seus ativos de forma mais sistemática, entendendo as vulnerabilidades e ameaças que surgiram com o advento da digitalização. “Diria que, em uma escala de 0 a 10, os sistemas OT estão em um nível 4 de maturidade. Já conhecem a teoria, mas ainda precisam evoluir no campo da mentalidade e da cultura de segurança cibernética”, completa Montoya.

Ataques recentes

O setor de água e esgoto dos Estados está sob ataques de ransomware que estão atingindo redes, sistemas e dispositivos de Tecnologia da informação (IT) e Tecnologia Operacional (OT) das instalações, segundo um alerta conjunto de várias agências governamentais (FBI, CISA, EPA e NSA) emitido em meados de outubro.

O alerta informa que as atividades ainda em andamento estão tentando comprometer a integridade dos sistemas por meio de acesso não autorizado, ameaçando a capacidade das instalações de fornecer água limpa e potável e gerenciar as águas residuais.

As agências citam três casos recentes. Em agosto de 2021, uma variante do ransomware Ghost foi usada contra uma instalação na Califórnia. A invasão foi descoberta quando três servidores SCADA exibiram uma mensagem anunciando o ataque. Em julho de 2021, o ransomware ZuCaNo foi introduzido, via acesso remoto, em um servidor SCADA de águas residuais de uma instalação no estado norte-americano de Maine. E, em março de 2021, uma variante de ransomware desconhecida atacou uma instalação em Nevada, afetando o servidor SCADA e o sistema de backup.

O alerta destaca que os ataques a infraestruturas crítica estão aumentando de modo generalizado e que esses casos mais recentes não são indício de que esteja havendo uma predileção pelo setor de água e esgoto por parte dos cibercriminosos.