0
0
Diante de crescentes ameaças a ativos críticos, as organizações precisam expandir programas de segurança para englobar sistemas cibernéticos físicos.
No início de fevereiro, um hacker desconhecido acessou remotamente um sistema de computador em uma estação de tratamento de água na Flórida e tentou aumentar a quantidade de hidróxido de sódio no fornecimento de água para níveis potencialmente perigosos.
Um operador notou a intrusão, mas o incidente mostra o potencial de dano quando os mundos cibernético e físico se cruzam. Esses sistemas cibernéticos introduzem um novo conjunto de riscos que poucos líderes de segurança e risco tiveram que considerar.
Embora a segurança de TI corporativa seja geralmente bem conhecida e gerenciada, os sistemas cibernéticos-físicos desafiam as abordagens tradicionais de segurança. Isso porque esses sistemas processam mais do que informações; eles gerenciam e otimizam os resultados físicos, desde processos individuais até ecossistemas inteiros.
Em uma pesquisa recente do Gartner, líderes de segurança e risco classificaram a Internet das Coisas (IoT) e os sistemas cibernéticos físicos como suas principais preocupações para os próximos três a cinco anos.
“Devido à sua própria natureza, os sistemas cibernéticos enfrentam ameaças à segurança, ao contrário das que afetam os sistemas de TI corporativos”, diz Katell Thielemann, analista de VP da Gartner. “Eles são normalmente usados em operações ou ambientes de missão crítica onde o valor é criado para organizações, de modo que os atacantes estão cada vez mais mirando-os.”
Expanda sua lente de risco para sistemas cibernéticos
O termo sistemas cibernéticos-físicos abrange conceitos como IoT, cidade inteligente e sistemas criados como resultado da tecnologia operacional (OT) e da convergência de TI. Ao usar o termo mais amplo, o Gartner incentiva os líderes de segurança e riscos a pensar além da segurança de TI e desenvolver programas de segurança que abrangem todo o espectro de risco cibernético-físico.
O Gartner prevê que, até 2025, 50% das organizações intensivas em ativos, como utilitários, recursos e empresas de manufatura, convergirão suas equipes de segurança cibernética, física e da cadeia de suprimentos sob um cargo de chefe de segurança que se reporta diretamente ao CEO.
Os riscos são reais
Alguns tipos de ameaças aos sistemas cibernéticos-físicos remontam, por exemplo, a ameaças internas. Em 2000, um empreiteiro descontente manipulou equipamentos de esgoto controlados por rádio SCADA para o Maroochy Shire Council em Queensland, Austrália, para despejar 800.000 litros de esgoto bruto em parques locais.
Mais recentemente, os ataques de ransomware derrubaram os gasodutos, interromperam as operações logísticas e interromperam a produção de aço. A falsificação de GPS afetou a navegação de navios, e hackers acessaram o banco de dados de jogadores de alto risco de um cassino através de um aquário.
Há também ameaças emergentes para se cuidar. O 5G, por exemplo, tem muitos benefícios, como comunicações mais rápidas, mas os padrões de segurança são complexos e os ataques direcionados provavelmente aumentarão. Outros vetores de ameaças emergentes incluem os riscos únicos apresentados por drones, redes inteligentes e veículos autônomos.
Plano para segurança de sistemas cibernéticos
Comece documentando a estratégia de negócios da sua organização, identificando os drivers de tecnologia e tendências ambientais que são exclusivos da sua empresa e mapeando-os para uma visão ampla do risco cibernético-físico.
Use a linguagem “voz do negócio” para estabelecer uma declaração de visão que vincule diretamente os perfis de segurança e risco dos sistemas cibernéticos-físicos da sua organização aos resultados dos negócios.
Por exemplo, a visão de um utilitário público para a segurança cibernética pode ser:
“Permitiremos a entrega de serviços de eletricidade confiáveis, econômicos e de alta qualidade, garantindo operações seguras, resilientes, compatíveis e seguras de nossas instalações de processamento e infraestrutura de transmissão até o cliente.”
Em seguida, siga um clássico processo de planejamento estratégico para formalizar a visão em ações
“Ao contrário da maioria das ameaças à segurança cibernética, as ameaças cibernéticas são de preocupação crescente, porque podem ter uma ampla gama de impactos, desde mero aborrecimento até perda de vidas”, diz Thielemann.
FONTE: GARTNER