Além dos negócios tradicionais, a exemplo do varejo e serviços, os sistemas de controle industrial (ICS) que sustentam nossa infraestrutura nacional crítica estão enfrentando riscos cada vez maiores e imediatos que podem ser vistos na crescente incidência de ransomware, entre outras ameaças cibernéticas.
O impacto desses tipos de ataques significa que uma resposta imediata é necessária para recuperar os recursos operacionais nos mais diferentes segmentos do mercado.
Uma tendência perturbadora, particularmente no que diz respeito a infraestruturas críticas, é a forma como o ransomware está evoluindo, com algumas versões voltadas especificamente para sistemas de controle industrial, tornando mais fácil manter os operadores de infraestrutura crítica para resgate.
Mudanças na conectividade com a tecnologia operacional é outro fator que está aumentando o risco para os sistemas de controle. As mudanças incluem a crescente adoção da tecnologia em nuvem para suportar ou processar dados da tecnologia operacional que resulta em dados residindo fora dos limites tradicionais.
Uma vulnerabilidade adicional surge da integração mais próxima das infraestruturas de TI e OT, geralmente por razões comerciais ou de produtividade válidas, mas que cria um número maior de caminhos de acesso à tecnologia operacional.
Além disso, o uso crescente de tecnologia comercial pronta para uso (COTS) significa que a tecnologia operacional corre um risco maior de técnicas e ferramentas de ataque comuns que anteriormente seriam limitadas pela tecnologia à infraestrutura de TI. Depois, há o risco do crescimento do trabalho remoto causado pelas atuais restrições de viagens e distanciamento em decorrência da atual crise sanitária, o que significa mais uso do acesso remoto.
Maior interesse em infraestrutura crítica para a realização de ataques
O recente ataque à empresa de oleoduto Colonial Pipeline nos EUA, é um exemplo claro de ataque de ransomware visando comprometer a tecnologia operacional. O ataque em si foi detectado pela primeira vez em 7 de maio, quando a empresa alertou que havia sido atingida por um ataque cibernético, conhecido como DarkSide.
DarkSide é uma cepa de ransomware operada por humanos relativamente nova, observada pela primeira vez em 2020. O grupo por trás dela opera ataques de extorsão dupla em um modelo de ransomware como serviço com vários grupos afiliados e é altamente ativo online.
Esse cenário mostra que a tecnologia operacional também está recebendo maior atenção porque há mais informações disponíveis para os invasores. Ferramentas de pesquisa dedicadas na Internet, como o Shodan, ajudam a descobrir dispositivos industriais que estão conectados à Internet e ferramentas de hacking de tecnologia operacional dedicada, como “Industroyer”, reduzem o nível de conhecimento necessário para tentar um ataque.
Paralelamente, existe um conhecimento cada vez maior sobre sistemas industriais e tecnologia operacional, em parte como resultado da mudança de conectividade e da fusão de tecnologia, mas também devido à crescente divulgação de vulnerabilidades.
Portanto, levando em consideração esses riscos imediatos, o que pode ser feito?
Entenda seus sistemas
Este primeiro conselho é tão antigo quanto parte da tecnologia em uso. É essencial saber quais ativos você possui em sua tecnologia operacional e entender como eles se relacionam com o que você faz.
Se uma vulnerabilidade for divulgada para um componente, o impacto potencial da vulnerabilidade só pode ser avaliado adequadamente se a proliferação do componente dentro da infraestrutura for conhecida. A resposta será muito diferente para um componente em uso limitado em um sistema isolado em comparação com um componente comum em vários sistemas críticos.
Entenda os riscos
As avaliações de risco devem ser concluídas para todos os sistemas críticos e revisadas anualmente ou em resposta a uma mudança significativa na ameaça ou na configuração do sistema. As avaliações de risco devem ser baseadas em cenários de ameaças confiáveis para a organização e devem se desenvolver em planos de mitigação de risco.
Garanta que a infraestrutura crítica seja ‘Segura por Design’
É amplamente reconhecido que é mais fácil e econômico projetar algo com segurança desde o início, em vez de tentar incorporar recursos de segurança em um estágio posterior. Embora essa abordagem só possa ser adotada para novos sistemas, os princípios orientadores de “seguro desde o projeto” devem ser incorporados sempre que possível.
Além disso, a abordagem deve ser suficientemente ampla para olhar além da tecnologia e tornar as pessoas e os processos “seguros por design” também.
Monitore ativamente os sistemas críticos
É essencial entender o que está acontecendo em sua rede e nos limites, bem como ter uma linha de base estabelecida de comportamento normal para sua infraestrutura e sistemas. Isso pode ser muito mais fácil de conseguir com a maior disponibilidade de soluções de monitoramento maduras e específicas para OT.
Esteja pronto para responder a incidentes
Finalmente, deve haver um plano de resposta a incidentes experimentado e testado que considere adequadamente as causas cibernéticas das falhas e oriente as respostas apropriadas para recuperar sistemas para restaurar as operações alinhadas com os objetivos de negócios.
Usar inteligência de ameaças para determinar o risco real enfrentado pela organização, combinado com uma compreensão da maneira como os invasores em potencial atacam, é a chave para a aplicação de controles apropriados e econômicos que não alienam as próprias pessoas que ajudam a tornar as coisas seguras.