0
0
É difícil pensar em outra instalação mais crucial do que as instalações de distribuição de energia, que controlam tudo, desde ligar as luzes nas casas até executar sistemas críticos de infraestrutura. O Instituto dos EUA para Tecnologia Crítica de Infraestrutura (ICIT) rotulou recentemente o que chama de “disrupção” no contexto de um ataque a uma rede energética nacional como “uma arma de destruição em massa”.
Os países ocidentais estão preocupados com a ameaça de ataques cibernéticos que incapacitam redes de energia desde o alvo russo da rede elétrica ucraniana em 2015 e, mais recentemente, acusações do Departamento de Justiça dos EUA contra dois atores de ameaça chineses por atacar grupos, incluindo um site do Departamento de Energia.
O mesmo grupo que tinha como alvo a rede ucraniana, nomeada como Dragonfly ou Energetic Bear, foi posteriormente acusado de ter sido responsável por inúmeros outros ataques a instalações energéticas, incluindo um grande ataque à rede elétrica do Reino Unido, que só veio à tona como resultado de um memorando vazado da GCHQ e da National Grid do Reino Unido, está em alerta máximo para ataques cibernéticos desde o início da crise DO COVID-19.
No entanto, essas instalações vitais não só são mal protegidas quando comparadas com muitos outros tipos de organização, mas também estão se tornando cada vez mais vulneráveis a ataques cibernéticos. Ameaças como Trisis, Industroyer e BlackEnergy estão agora cada vez mais implantadas para explorar um número crescente de vulnerabilidades gritantes dentro de sistemas de distribuição de energia.
O impulso para modernizar as instalações de distribuição de energia trouxe em seu rastro uma série de novos pontos de entrada para atores de ameaças explorarem. A rápida mudança para redes inteligentes significa que os utilitários estão agora adicionando dezenas de milhares de dispositivos em grande parte desprotegidos, como novos sensores, controladores, relés e medidores.
A segurança do perímetro existente é atualmente em grande parte incapaz de controlar todos os pontos de entrada da rede; uma vez que qualquer um destes é contornado, os atacantes podem acessar uma ampla gama de ativos e permanecer sem ser detectado por longos períodos de tempo. O aumento da conectividade de redes OT para subestações remotas, bem como para sistemas organizacionais, também traz consigo uma série de pontos de entrada vulneráveis e muitas vezes inseguros.
Componentes de automação, como controladores lógicos programáveis (PLCs) funcionam através de microprocessadores e contêm programação de software específica para funções. Eles também têm recursos de gerenciamento e comunicação que percorrem caminhos de rede. Estes têm sido um dos principais alvos de ataques cibernéticos como um meio de obter acesso a sistemas de controle.
Protocolos legados do sistema de controle industrial (ICS), como Modbus e DNP3, comumente usados em sistemas de energia, têm pouca ou nenhuma medida de segurança e carecem de recursos de autenticação. Estes podem ser facilmente interceptados, falsificados ou alterados – potencialmente causando um evento perigoso no ambiente de operações.
Como muitas outras concessionárias, as organizações de distribuição de energia também dependem cada vez mais de equipamentos e dispositivos móveis remotamente acessíveis. Embora isso tenha um retorno imediato em termos de eficiência e conveniência, ele também criou vulnerabilidades decorrentes do acesso inseguro ou da conexão a sistemas críticos através de ferramentas e dispositivos remotos.
Vindo de um mundo de sistemas seguros autônomos, muitos fornecedores de sistemas ICS também criam involuntariamente acesso ‘backdoor’ a dispositivos e softwares, que são fáceis de explorar. Alguns fornecedores são conhecidos por ameaçar anular as garantias dos equipamentos caso seus produtos sejam reconfigurados das configurações originais de fábrica, alterando senhas ou instalando pacotes de segurança não aprovados.
A ausência de sistemas constantes de monitoramento de rede na maioria das redes OT significa que muitas concessionárias não podem sequer obter dados forenses básicos relacionados a invasões e ataques cibernéticos. Isso não só deixa essas instalações vulneráveis a demandas de ransomware com motivação financeira, mas também a ataques potencialmente devastadores de atores de ameaças patrocinados pelo Estado empenhados em causar destruição física, bem como danos econômicos.
Instalações mal protegidas significam que invasões potencialmente altamente destrutivas podem ficar no sistema de uma rede de distribuição de energia sem serem detectadas por meses até serem acionadas em um momento calculado para causar danos máximos, possivelmente coincidindo com outras formas de ataque ou durante um período de agitação social ou emergência nacional, como a atual crise COVID-19.
Para proteger contra abusos de sistemas ou ataques cibernéticos, as redes de distribuição de energia devem fornecer monitoramento em tempo real em seus perímetros de segurança recém-estendidos, a fim de detectar comportamentos anômalos e não autorizados, ao mesmo tempo em que abordam vetores de ataque externos e internos.
FONTE: INFOSECURITY MAGAZINE