0
0
No máximo em 2025, os ataques cibernéticos terão domínio suficiente dos ambientes de tecnologia operacional (TO) e tecnologia de automação (TA) para conseguir ferir ou matar pessoas – com a responsabilidade sendo atribuída à pessoa física dos CEOs. A previsão é catastrófica mas está descrita pelo Gartner em seu mais novo relatório, intitulado “Reduzir o risco à vida humana ao implementar esta estrutura de controle de segurança de OT”. “Em ambientes operacionais, os líderes de gerenciamento de segurança e risco devem se preocupar mais com os perigos do mundo real para os humanos e para o meio ambiente do que com o roubo de informações”, disse Wam Voster, diretor de pesquisa sênior do Gartner. “Consultas com clientes do Gartner revelam que organizações em setores com uso intensivo de ativos, como manufatura, recursos e serviços públicos, lutam para definir estruturas de controle adequadas”, acrescentou.
O Gartner prevê que o impacto financeiro dos ataques a sistemas ciberfísicos (cyber-physical systems ou CPS) resultando em vítimas fatais pode superar US$ 50 bilhões até 2025. Mesmo sem levar em conta o valor da vida humana, os custos para as organizações em termos de compensações, litígio, seguro, multas regulatórias e perda de reputação será significativo. O Gartner também prevê que na maioria desses incidentes o CEOs será apontado como pessoalmente responsável.
O relatório pondera o fato de que os ataques a OT (operational technology) – hardware e software que monitoram ou controlam equipamentos, ativos e processos – se tornaram mais comuns. “Eles também evoluíram de uma interrupção imediata do processo, como o desligamento de uma fábrica, para o comprometimento da integridade dos ambientes industriais com a intenção de causar danos físicos. Outros eventos recentes, como o ataque de ransomware Colonial Pipeline, destacaram a necessidade de ter redes devidamente segmentadas para TI e OT”.
De acordo com o Gartner, os incidentes de segurança em OT e outros sistemas ciberfísicos (CPS) têm três motivações principais: dano real, vandalismo comercial (redução da produção) e vandalismo de reputação (tornando um fabricante não confiável ou não confiável).
O Gartner recomenda que as organizações adotem uma estrutura de 10 controles de segurança para melhorar a postura de segurança em suas instalações e evitar que incidentes no mundo digital tenham um efeito adverso no mundo físico.
- Definir funções e responsabilidades
- Garantir treinamento e conscientização adequados
- Implementar e testar a resposta a incidentes
- Backup, restauração e recuperação de desastres
- Gerenciar mídia portátil
- Ter um inventário de ativos atualizado
- Estabelecer segregação de rede adequada
- Coletar registros e implementar detecção em tempo real
- Implementar um processo de configuração seguro
- Processo formal de patching
FONTE: CISO ADVISOR