1
0
As tentativas de ataque digital em ambientes industriais estão aumentando. Em fevereiro de 2020, a IBM X-Force informou que havia observado um aumento de 2.000% nas tentativas de atores de ameaças de atingir ativos de Sistemas de Controle Industrial (ICS) e Tecnologia Operacional (OT) entre 2018 e 2010. Essa onda eclipsou o número total de ataques contra os ambientes industriais das organizações que ocorreram nos últimos três anos combinados.
Mundos Convergentes
O crescimento do número de ataques discutidos acima está, pelo menos, parcialmente ligado à convergência contínua da OT com a Tecnologia da Informação (TI). Anteriormente, TI e OT eram mundos para si mesmos. O pessoal de TI ajudou principalmente a manter os PCs, servidores e outros ativos de tecnologia que interagiram ou, de alguma forma, lidaram com informações relacionadas à empresa. Em contrapartida, os funcionários da OT gerenciavam principalmente os controladores e segmentavam a rede industrial. Houve alguma colaboração, mas isso se limitou a propósitos específicos, como a apresentação de ordens de serviço e o faturamento.
Esses mundos convergiram quando muitas organizações começaram a passar por uma transformação digital. Através desse processo de transformação, as organizações chegaram à crença de que poderiam otimizar o desempenho de seus ativos OT conectando-os aos sistemas de Internet e TI. Essa convergência introduziu uma abundância de dispositivos de rede e computação em ambientes industriais que não eram previamente acessíveis através da web, expandindo assim a superfície de ataque dos sistemas de TI em ambientes OT.
Atores maliciosos não perderam tempo em modificar seus ataques. De fato, TRITON (também conhecido como TRISIS), WannaCrye outros malwares fizeram manchetes por atingir com sucesso os ambientes industriais das organizações. Cada um desses grupos de atacantes moldou sua atividade maliciosa para concordar com suas motivações. Algumas organizações infiltradas sub-repticiamente para conduzir espionagem e aproveitar qualquer conhecimento que ganhassem sobre seus alvos para dar uma perna a um país ou organização concorrente. Outros foram um pouco mais “barulhentos” em sua abordagem, buscando perturbar os sistemas industriais de suas vítimas na esperança de minar a economia, a segurança nacional e/ou a segurança pública do país em que a organização alvo residia.
Com essas ameaças em mente, é preocupante que a IBM X-Force informe que mais de 200 novos CVEs relacionados ao ICS foram lançados em 2019. Essa descoberta levou os pesquisadores a prever que os ataques contra metas de OT e ICS continuarão a aumentar em 2020 e além.
Fatores limitadores
Organizações com ambientes industriais não são cegas para essas ameaças. Mesmo assim, alguns sentem que não estão em posição de fazer nada sobre esses perigos por causa dos custos associados à compra de uma solução de segurança industrial. A MarketsandMarkets descobriu que as organizações precisam especificamente de medidas de segurança que cubram todo o seu ambiente industrial. Essa exigência faz com que as soluções de segurança OT sejam caras e as organizações optem por soluções multi-ameaças que não requerem altos custos iniciais, como licenças ou atividades de manutenção.
Mas se você acha que a segurança cibernética industrial é cara, tente um acidente. Um incidente cibernético não intencional ou malicioso pode causar falhas catastróficas semelhantes à explosão do depósito de petróleo de Buncefield, falha na barragem de Taum Sauk e explosão de refinarias na cidade do Texas.
A questão aqui é o que está em jogo. Organizações com ambientes industriais tendem a operar sistemas cibernéticos físicos (CPS) responsáveis por garantir operações suaves em ambientes vegetais, como infraestrutura crítica. Se eles forem desativados ou comprometidos, o CPS pode causar defeitos no ambiente da planta que colocam em risco a segurança pública, ameaçam a destruição de propriedades e/ou causam desastres naturais. Assim, o Gartner prevê que o impacto financeiro dos ataques contra o CPS continuará aumentando, com o custo total atingindo US$ 50 bilhões até 2023 em compensação, multas regulatórias e perda de reputação. (Esses custos nem sequer explicam o valor da vida humana.)
A Questão da Prestação de Contas
Há um desenvolvimento importante nas obras, no entanto. De fato, o Gartner também vê a responsabilidade pelos ataques do CPS, estendendo-se a 75% dos CEOs até 2024. Essa responsabilidade pessoal dos CEOs reflete o fato de que muitas empresas não estão cientes do CPS de suas organizações e de suas vulnerabilidades. Essa situação pode resultar do aumento da TI sombra à medida que o pessoal de fora de TI instala hardware e software para impulsionar os esforços de automação e modernização no trabalho.
Mas mesmo quando eles estão cientes de qual CPS a organização é responsável pela gestão, os CEOs e o Conselho podem não estar seguindo uma estratégia de segurança sólida para esses ativos. A realidade é que os CEOs e o Conselho desconhecem que os relatórios típicos de avaliação de risco do CPS compartilhados com eles têm uma visão sub-representada dos reais riscos operacionais, de saúde pública e de segurança e meio ambiente.
Esses relatórios de avaliação são desenvolvidos por meio de uma abordagem de “visão coordenada”. Assessores e as partes interessadas em operações de plantas e engenharia trocam informações como parte dessa abordagem, mas com uma compreensão comum limitada da natureza e complexidade dos sistemas cibernéticos. Essa abordagem leva a um foco desequilibrado na priorização dos riscos de rede e sistema de TI, que geralmente são mais bem compreendidos do que os riscos mais significativos de CPS em OT que requerem uma avaliação mais aprofundada de sua física e engenharia. Embora a abordagem de visão coordenada para a avaliação de riscos seja, de certa forma, melhor do que avaliações isoladas de risco cibernético conduzidas por TI, operações e engenharia em seus respectivos domínios, ela não oferece uma “visão convergente” do problema de risco do CPS.
Endurecimento de seus ativos industriais
As organizações precisam de uma maneira de endurecer seus ativos industriais para evitar os custos de um incidente de cibersegurança industrial, tanto em termos de taxas corporativas quanto de responsabilidade pessoal para o CEO e membros do conselho. As organizações devem aproveitar estruturas como ISA/IEC62443, NERC CIPe MITRE para fortalecer a segurança de seus ativos OT e selecionar soluções industriais de cibersegurança que ajudam a criar um programa confiável de resiliência operacional cibernética. Para desenvolver uma melhor compreensão das estruturas industriais, alinhar a TI/OT e usar as ferramentas certas para o trabalho enquanto se obtém a compra executiva, leia o eBook da Tripwire, “Navigating Industrial Cybersecurity: A Field Guide”.
FONTE: TRIPWIRE