Riscos às infraestruturas críticas aumentarão

A segurança da infraestrutura crítica tornou-se uma preocupação primária para governos em todo o mundo, principalmente nos EUA e países da União Europeia. E com razão. Em 2025, 30% das organizações de infraestrutura crítica experimentarão uma falha de segurança que resultará na suspensão de sistemas de missão crítica e de suas operações, segundo previsões do Gartner.

“Os governos estão percebendo que sua infraestrutura crítica nacional é um campo de batalha não declarado”, diz Ruggero Contu, diretor de pesquisa do Gartner. “Eles agora estão tomando medidas para exigir mais controles de segurança para os sistemas que sustentam esses ativos.”

Pesquisa recente da consultoria ouvindo 401 profissionais de OT revelou que 38% deles esperavam aumentar os gastos com segurança entre 5% e 10% em 2021, com outros 8% dos entrevistados prevendo um aumento acima de 10%.

Ao longo deste ano, ataques às tecnologias operacionais evoluíram da interrupção imediata do processo (como o desligamento de uma fábrica) para o comprometimento da integridade dos ambientes industriais com a intenção de criar danos físicos. Outros eventos recentes, como o ataque de ransomware Colonial Pipeline, destacaram a necessidade de redes devidamente segmentadas para TI e OT.

Com a evolução da OT, edifícios inteligentes, cidades inteligentes, carros conectados e veículos autônomos, os incidentes no mundo digital terão um efeito muito maior no mundo físico, pois agora existem riscos, ameaças e vulnerabilidades em um espectro ciberfísico bidirecional. No entanto, muitas empresas não estão cientes dos CPSs já implantados em suas organizações, seja por sistemas legados conectados a redes corporativas por equipes fora de TI ou por causa de novos esforços de automação e modernização voltados para os negócios.

A consultoria define CPSs como sistemas projetados para orquestrar detecção, computação, controle, rede e análise para interagir com o mundo físico (incluindo humanos). Eles sustentam todos os esforços de TI conectada, tecnologia operacional (OT) e Internet das Coisas (IoT), onde as considerações de segurança abrangem os mundos cibernético e físico, como ativos intensivos, infraestrutura crítica e ambientes de saúde clínica.

Devido à natureza dos sistemas ciberfísicos (CPSs), os incidentes podem rapidamente causar danos físicos a pessoas, destruição de propriedade ou desastres ambientais. Nas contas da consultoria, o impacto financeiro dos ataques CPS resultando em vítimas fatais chegará a mais de US$50 bilhões até 2023. Mesmo sem considerar o valor da vida humana, os custos para as organizações com indenizações, litígio, seguro, multas regulatórias e perda de reputação será significativo.

Nos Estados Unidos, o FBI, a NSA e a Agência de Segurança Cibernética e de Infraestrutura (CISA) já aumentaram a frequência e os detalhes fornecidos sobre ameaças a sistemas relacionados à infraestrutura crítica, a maioria dos quais de propriedade da indústria privada. Em breve, os CEOs não conseguirão alegar ignorância ou recuar atrás de apólices de seguro.

O que fazer?

Segundo o Gartner, os incidentes de segurança em OT e outros sistemas ciberfísicos (CPS) têm três motivações principais: dano real, vandalismo comercial (produção reduzida) e vandalismo de reputação (tornando um fabricante não confiável ou não confiável).

A consultoria recomenda que as organizações adotem uma estrutura de 10 controles de segurança para melhorar a postura de segurança em suas instalações e evitar que incidentes no mundo digital tenham um efeito adverso no mundo físico. São elas:

1. Definir funções e responsabilidades

Nomear um gerente de segurança da OT para cada instalação, que é responsável por atribuir e documentar funções e responsabilidades relacionadas à segurança para todos os trabalhadores, gerentes seniores e quaisquer terceiros.

2. Garantir treinamento e conscientização adequados

Todos os funcionários da OT devem ter as habilidades necessárias para suas funções. Os funcionários de cada instalação devem ser treinados para reconhecer os riscos de segurança, os vetores de ataque mais comuns e o que fazer em caso de um incidente de segurança.

3. Implementar e testar a resposta a incidentes

Garantir que cada instalação implemente e mantenha um processo de gerenciamento de incidente de segurança específico de OT que inclui quatro fases: preparação; detecção e análise; contenção, erradicação e recuperação; e atividade pós-incidente.

4. Backup, restauração e recuperação de desastres

Certifique-se de que os procedimentos adequados de backup, restauração e recuperação de desastres estejam em vigor. Para limitar o impacto de eventos físicos, como incêndio, não armazene mídia de backup no mesmo local que o sistema de backup. A mídia de backup também deve ser protegida contra divulgação não autorizada ou uso indevido. Para lidar com incidentes de alta gravidade, deve ser possível restaurar o backup em um novo sistema ou máquina virtual.

5. Gerenciar mídia portátil

Crie uma política para garantir que todas as mídias portáteis de armazenamento de dados, como pen drives e computadores portáteis, sejam verificados, independentemente de o dispositivo pertencer a um funcionário interno ou a terceiros, como subcontratados ou representantes do fabricante do equipamento. Apenas a mídia considerada livre de código ou software malicioso pode ser conectada ao OT.

6. Tenha um inventário de ativos atualizado

O gerente de segurança deve manter um inventário continuamente atualizado de todos os equipamentos e softwares OT.

7. Estabeleça a segregação de rede adequada

As redes OT devem ser fisicamente ou / e logicamente separadas de qualquer outra rede, tanto interna quanto externamente. Todo o tráfego de rede entre um OT e qualquer outra parte da rede deve passar por uma solução de gateway seguro como uma zona desmilitarizada (DMZ). As sessões interativas para OT devem usar autenticação multifator para autenticar no gateway.

8. Colete logs e implemente a detecção em tempo real

Políticas ou procedimentos apropriados devem estar em vigor para registro automatizado e revisão de eventos de segurança reais e potenciais. Isso deve incluir tempos de retenção claros para os logs de segurança a serem retidos e proteção contra adulteração ou modificação indesejada.

9. Implementar um processo de configuração seguro

As configurações seguras devem ser desenvolvidas, padronizadas e implantadas para todos os sistemas aplicáveis, como terminais, servidores, dispositivos de rede e dispositivos de campo. O software de segurança de endpoint, como o antimalware, deve ser instalado e ativado em todos os componentes do ambiente OT que o suportam.

10. Processo formal de patching

Implemente um processo para que os patches sejam qualificados pelos fabricantes dos equipamentos antes da implantação. Após qualificados, os patches só podem ser implantados em sistemas apropriados com uma frequência pré-especificada.

“Os líderes de gerenciamento de segurança e risco devem acelerar os esforços para descobrir, mapear e avaliar a postura de segurança de todos os sistemas ciberfísicos em seu ambiente”, alerta Contu. “E também Investir em inteligência de ameaças, além de participar mais ativamente de grupos da indústria para se manter informado sobre as melhores práticas de segurança, mandatos futuros e solicitações de contribuições de entidades governamentais”.