Divisão entre IT e OT dificulta estratégia de segurança

Apenas 21% das organizações contam com um programa maduro de cibersegurança para Sistemas de Controle Industrial (ICS) e de Tecnologia Operacional (OT). Como resultado, o custo médio de incidentes de segurança contra esses alvos é de cerca de US$ 3 milhões, sendo que, em alguns casos, esse valor chega a mais de US$ 100 milhões. Os dados são do relatório “The 2021 State of Industrial Cybersecurity” elaborado pelo Ponemon Institute e Dragos, que se baseou em dados compilados entre 600 profissionais de TI, de segurança de TI e de OT sediados nos Estados Unidos. 

O estudo identificou que 63% das organizações entrevistadas tiveram um incidente de cibersegurança nas áreas de ICS/OT nos últimos dois anos e levaram, em média, 316 dias para detectar, investigar e corrigir as falhas. Para 61% dos entrevistados, a transformação digital e as tendências relacionadas à Internet das Coisas Industrial (IIoT) elevaram muito os riscos cibernéticos no ambiente das indústrias.

“A maioria das organizações carece da uma estrutura de governança IT/OT necessária para manter uma estratégia de cibersegurança unificada. E isso começa pela falta de experiência em segurança cibernética específica para OT”, explica Steve Applegate, diretor da Dragos. “Eliminar a divisão cultural entre as equipes de IT e OT é um desafio significativo, mas as organizações não devem cair na armadilha de pensar que os sistemas de OT podem simplesmente ser agregados a um programa de TI existente ou gerenciado sob o guarda-chuva da TI”, completa.

Segundo ele, existem diferenças fundamentais entre os problemas e objetivos do ambiente de TI – em resumo, segurança e proteção de dados – e do ambiente industrial, no qual saúde e segurança de funcionários, queda de produção e o desligamento de instalações são riscos reais.

As conclusões do relatório sugerem que mal-entendido entre os grupos, e não conflito, é a principal questão. Apenas 32% citam competição entre TI e OT nos quesitos orçamento e novos projetos de segurança, e apenas 27% veem dificuldade em convergir equipes de segurança de IT e OT como um programa abrangente.

Metade dos entrevistados afirma que diferenças culturais entre as equipes são o principal desafio. Outros 44% afirmam haver diferenças técnicas problemáticas entre as melhores práticas do grupo de TI e o que é possível fazer em ambientes OT, como gerenciamento de patches e exigências associadas a fornecedores de equipamentos de automação industrial. Uma parcela de 43% dizem haver uma falta de “responsabilidade clara” sobre os riscos cibernéticos industriais e uma incerteza sobre quem deve liderar a iniciativa, implementar os controles e apoia os programas.

Além disso, executivos de nível C e o conselho de administração das empresas não são regularmente informados sobre a eficiência e a eficácia dos programas. Apenas 35% dos entrevistados dizem que há alguém responsável por esse relatório, e 41% afirmam que esse relatório é entregue apenas quando ocorre um incidente de segurança.

Muitos gerentes seniores também não têm ciência dos riscos e ameaças associados aos ambientes de OT e ICS, o que resulta na alocação inadequada de recursos para gerenciamento de riscos. Menos da metade (48%) dos entrevistados dizem que suas organizações têm entendimento sobre esses riscos específicos e contam com processos e políticas de cibersegurança para os ambientes OT e ICS. Apenas 43% dos entrevistados afirmam que a alta administração também compreende esses riscos e garante recursos suficientes para proteger os ambientes.

A perda de confiança nos sistemas é a principal consequência de um incidente de cibersegurança, relatada por 54% dos entrevistados, seguida por ineficiência dos processos (49%) e perda de disponibilidade de controle (47%).

Apesar dos desafios, as organizações estão empenhadas em fazer investimentos para melhorar a postura de cibersegurança cibernética dos ambientes de ICS e OT. A principal prioridade são os investimentos em áreas que avaliam as fragilidades na postura de segurança dos ambientes de OT, de acordo com 60% dos entrevistados. Outras iniciativas visam reunir inteligência contra ameaças específicas (56%) e contratar especialistas em cibersegurança de OT e ICS (49%).