Mais de 70% das falhas em sistemas de controle industrial são críticas

Muitas empresas estão buscando aproveitar os benefícios de conectar equipamentos industriais à Internet e convergir tecnologias operacionais e sistemas de TI (convergência OT-IT). No entanto, esse movimento tem chamado a atenção de agentes ameaçadores, especialmente os que exploram vulnerabilidades nesse ambiente para promover ataques e ações de extorsão para obter lucro.

Um relatório da Claroty, empresa de cibersegurança industrial, revelou que, no primeiro semestre de 2021, foram encontradas 637 vulnerabilidades em sistemas de controle industrial (ICS) que afetavam produtos de 76 fornecedores. Desse total, quase 71% foram classificados como de alto risco ou críticos. Em 65% das vulnerabilidades, houve chance de falta total de disponibilidade.

Cerca de 81% das vulnerabilidades divulgadas nesse período foram descobertos por fontes externas aos fornecedores, entre elas instituições de pesquisa, pesquisadores independentes e membros de universidades.

A maior parte das vulnerabilidades afetou a gestão de operações (23,5%), sistemas básicos de controle (15,2%) e sistemas de supervisão (14,8%). Segundo o relatório, a gestão de operações pode ser um ponto crítico de cruzamento com as redes de TI. Esses sistemas incluem servidores e bancos de dados essenciais para o fluxo da produção ou que coletam dados para alimentar sistemas da área de negócios. Já os sistemas de controle básico incluem controladores lógicos programáveis (PLCs), unidades de terminais remotos (RTUs) e outros componentes de monitoramento de equipamentos. Os sistemas de supervisão fazem a interfaces homem-máquina e incluem elementos que monitoram dados do controle básico.

Além disso, os dados do relatório mostram que 61,4% das vulnerabilidades permitem ataques de fora das redes de IT ou OT. Esse patamar caiu em relação à porcentagem registrada no segundo semestre de 2020  (71,5%). De outro lado, as vulnerabilidades que podem ser exploradas por meio de vetores de ataque locais aumentaram de 18,9% no segundo semestre de 2020 para 31,5%. Para 72,1% dessas vulnerabilidades, o invasor depende da interação do usuário, por exemplo, por meio de spam ou phishing, para colocar em prática suas ações de exploração das vulnerabilidades.

Mitigação e remediação

Mais de um quarto (25,6%) das 637 vulnerabilidades encontradas em sistemas de controle industrial não foi corrigida nem teve remediação parcial. Nesse grupo, quase 62% das falhas foram encontradas em firmware. Mais da metade (55,2%) poderia resultar em execução remota de código e 47,9% poderiam gerar condições para ataques do tipo de negação de serviço. Nos outros três quartos, as que foram corrigidas, 59,5% exigiram correções de software.

Do total de 637 vulnerabilidades encontradas, 6,5% afetaram produtos em final de vida que não recebem mais suporte. Nesse grupo, 51,2% foram encontrados em firmware.

Preocupação do governo dos Estados Unidos

Recentes ciberataques vistos nos Estados Unidos, entre eles o realizado contra Colonial Pipeline, o maior oleoduto do país, mostraram a fragilidade dos sistemas de controle industrial e da cibersegurança de infraestruturas críticas do país, que são amplamente operadas pelo setor privado.

Diante desse cenário, o presidente Biden assinou em julho um memorando que aborda a cibersegurança para infraestruturas críticas e esforços para enfrentar as ameaças contra elas. Fica estabelecida formalmente a Iniciativa de Cibersegurança para Sistemas de Controle Industrial, um esforço colaborativo entre o governo federal e a comunidade de infraestruturas críticas para facilitar a implantação de tecnologias que garatam a visibilidade de ameaças, indicadores, sistemas de detecções e avisos.

A iniciativa começou em meados de abril com um projeto-piloto em um subsetor da área de eletricidade, com mais de 150 concessionárias que atendem quase 90 milhões de clientes residenciais. Um plano para gasodutos está em andamento, e ações para outros setores ocorrerão ainda este ano, segundo o memorando.

A Agência de Segurança Cibernética e de Infraestruturas (CISA) dos Estados Unidos também mantém uma iniciativa com o objetivo de promover esforços coesos entre o governo e a indústria que possam melhorar a postura de cibersegurança dos sistemas de controle industrial (ICS). A CISA ajuda a identificar e divulgar vulnerabilidades e desenvolver estratégias de mitigação dos efeitos de eventuais incidentes e redução de riscos.

O site da CISA fornece avisos, contendo um resumo dos problemas de segurança, vulnerabilidades e esquema de exploração, bem como alertas sobre ameaças ou atividades com potencial para impactar redes de empresas que operam infraestruturas críticas.