A crescente pressão de segurança cibernética está criando dores de cabeça nas diretorias das ferrovias

0 0

A expansão de potenciais ameaças cibernéticas aumentou devido à integração de dispositivos conectados, à Internet das Coisas (IoT) e à convergência de TI e OT nas operações ferroviárias.

Nesta entrevista da Help Net Security, Dimitri van Zantvliet é o diretor de segurança cibernética/CISO da Dutch Railways e co-presidente do ISAC ferroviário holandês e europeu, fala sobre ataques cibernéticos em sistemas ferroviários, cria uma abordagem prática de segurança cibernética, bem como legislação.

A indústria ferroviária está passando por uma mudança significativa. Sempre que um dispositivo conectado é adicionado, um invasor tem uma nova oportunidade de explorá-lo. Como seu trabalho evoluiu com o aumento da transformação digital?

Na Dutch Railways (mas isso vale para todo o nosso setor), nossos trabalhos cibernéticos evoluíram para se concentrar mais fortemente na segurança cibernética diante do aumento da transformação digital, cenário de ameaças e legislação cibernética. Com a integração de dispositivos conectados, a convergência IoT e IT-OT em nossas operações, a superfície de ataque para possíveis ameaças cibernéticas se expandiu bastante.

Como tal, nossas principais responsabilidades incluem a implementação e manutenção de medidas de segurança robustas para proteger nossos sistemas e redes contra ataques cibernéticos. Isso inclui avaliar e mitigar riscos regularmente, implementar protocolos e controles de segurança e garantir a conformidade com os regulamentos do setor ferroviário.

Além disso, nossas equipes de TI e operações trabalham em estreita colaboração com nossas equipes estratégicas e de GRC para integrar a segurança ao projeto e implantação de novas tecnologias, bem como para desenvolver planos de resposta a incidentes para lidar com quaisquer violações de segurança que possam ocorrer. Em resumo, a crescente transformação digital no setor ferroviário enfatizou a necessidade de uma abordagem de alto nível, proativa e abrangente para segurança cibernética para proteger os ativos da empresa e os dados de clientes e funcionários. A cibersegurança tornou-se ChefSache!

Incidentes de segurança e interrupção do serviço podem causar estragos nos sistemas ferroviários. Os ataques cibernéticos estão aumentando? Que tipo de ataque você mais vê? Alguma técnica interessante que você possa compartilhar?

Sim, 100%. Acompanhamos todos os incidentes que estão a acontecer no sector juntamente com o nosso ISAC Ferroviário (Europeu), NCSC’s locais e ENISA. Os ataques cibernéticos na indústria ferroviária têm aumentado nos últimos anos, pois esse setor vital também se torna mais dependente de sistemas digitais e dispositivos conectados, como você mencionou anteriormente. Os tipos de ataques que vemos incluem:

• Phishing e engenharia social: esses ataques envolvem enganar os funcionários para que forneçam informações confidenciais ou instalem malware em seus computadores.
• Ransomware: um hacker que criptografa os arquivos de RUs/IMs e exige o pagamento de um resgate para restaurar o acesso aos arquivos.
• Ataques DDoS: esse tipo de ataque envolve sobrecarregar uma rede com tráfego para interromper seu funcionamento normal.
• Ataques à cadeia de suprimentos: vulnerabilidades e hacks no software de nossos fornecedores.
• Ameaças internas: espionagem, sabotagem e vazamento de dados são riscos que temos em nosso radar.
• Com a guerra em curso na Ucrânia, vemos o aumento de ataques à infraestrutura ferroviária naquela região onde novas Ferramentas, Técnicas e Procedimentos (TTPs) são desenvolvidas e implantadas. Estamos acompanhando de perto os desenvolvimentos de malware OT e ataques de wiperware com possíveis efeitos colaterais para empresas ocidentais.

Educamos e treinamos os funcionários sobre a importância da segurança cibernética e os métodos descritos acima. Isso inclui treinamento regular de conscientização de segurança e campanhas simuladas de phishing para testar a suscetibilidade dos funcionários a ataques de engenharia social. Por fim, implementamos e estamos trabalhando continuamente em uma abordagem de segurança multicamadas e de confiança zero que inclui controles tradicionais de segurança de TI, como firewalls e sistemas de detecção de intrusão, bem como controles de segurança específicos do sistema de controle OT e novas abordagens, como política cibernética contínua execução.

Que conselho você daria a um CISO recém-nomeado que deseja criar uma abordagem prática de segurança cibernética para um sistema ferroviário? Onde começar?

Bem, existem várias etapas importantes que você pode seguir nos primeiros 100 dias:

• Comece a construir sua rede (interna) e mapeie seus stakeholders. Você é o consultor de confiança da organização, mas eles precisam saber onde encontrá-lo. Faça entrevistas e ouça o que está acontecendo na organização. Entenda como você pode contribuir para os impulsionadores do negócio.
• Realize uma avaliação de risco: comece realizando uma avaliação de risco completa dos ativos e sistemas de sua organização para identificar possíveis vulnerabilidades e ameaças. Isso permitirá que você priorize seus esforços e se concentre nas áreas mais críticas para a organização.
• Desenvolva uma estratégia de segurança: Com base nos resultados de sua avaliação de risco, desenvolva uma estratégia de segurança abrangente que inclua um Sistema de Gerenciamento de Segurança da Informação (ISMS), políticas, procedimentos e controles para proteção contra ameaças identificadas. Isso deve incluir medidas tradicionais de segurança de TI e controles de segurança específicos do sistema de controle OT.
• Supervisione a implementação desses controles de segurança: Depois de definir uma estratégia, implemente os controles de segurança necessários para proteger seus sistemas e redes.
• Treine os funcionários: a segurança cibernética é uma responsabilidade compartilhada e é essencial que todos os funcionários entendam a importância da segurança cibernética e saibam como identificar e responder a possíveis ameaças.
• Monitore e mantenha: monitoramento e manutenção contínuos são essenciais para garantir que seus controles de segurança permaneçam eficazes e que quaisquer novas ameaças sejam identificadas e abordadas em tempo hábil.

Não limite você e suas equipes a esses pontos, mas também trabalhe em conformidade, resposta a incidentes e colaboração na cadeia de suprimentos. Não tenha medo de pedir conselhos ao seu colega CISO, ficarei feliz em dar algumas orientações também.

Como você lida com ativos legados que não possuem patches ou atualizações disponíveis?

Sim, isso é sempre um desafio, pois esses sistemas ainda podem estar em uso, mas não são mais suportados pelo fornecedor. Alguns ativos (como trens) têm um ciclo de vida de 30 anos. Depende um pouco do nível Purdue em que esse recurso está funcionando, mas algumas das maneiras de resolver esse problema incluem:

• Segmentação de rede: isole-os logicamente do resto da rede, de forma que, se um invasor conseguir comprometer o sistema, não poderá se mover lateralmente para outras partes da rede.
• Air-gapping: Outra opção é separar fisicamente o sistema legado do restante da rede, desconectando-o completamente ou colocando-o em uma rede separada e isolada.
• Limitar o acesso: Limite o número de pessoas que têm acesso ao sistema legado e controle o acesso implementando controles fortes de autenticação e autorização.
• Mais controles são possíveis fora do curso, mas no final; considere seriamente a substituição do sistema legado por uma alternativa mais nova e segura.

O Relatório de Incidentes Cibernéticos para a Lei de Infraestrutura Crítica de 2022 (CIRCIA) abrange instituições, grupos e empresas cujas interrupções de serviço podem comprometer a economia ou a segurança pública. Quais são seus pensamentos sobre isso?

Acompanhamos de perto o que nossos amigos do outro lado da lagoa estão desenvolvendo. Seu presidente parece ter abraçado a segurança cibernética e recentemente tive o privilégio de me encontrar com seu diretor de segurança cibernética, Chris Inglis. As infraestruturas vitais serão alvos específicos para ataques, portanto, ter uma legislação em vigor para acelerar a resiliência é perfeito, na minha opinião. Também é necessário ter a possibilidade de multar as organizações que propositalmente não cumprem. Somos tão fortes quanto o elo mais fraco da cadeia de suprimentos. Na Europa, estamos trabalhando de forma semelhante na implementação da diretiva NIS e, recentemente, a Comissão emitiu as diretivas NIS2 – e Resiliência de Entidades Críticas ( CER ). Aplaudo essas iniciativas.

Em geral, acredito que exigir que instituições, grupos e empresas cujas interrupções de serviço possam prejudicar a economia ou a segurança pública denunciem incidentes cibernéticos é um passo positivo para melhorar a segurança de nossa infraestrutura crítica. Ao exigir o relato de incidentes, as organizações poderão compartilhar informações sobre ameaças, vulnerabilidades e melhores práticas, o que ajudará a melhorar a segurança geral do setor.

Também acredito que a nova legislação cibernética é um passo importante na direção certa, mas é apenas uma peça do quebra-cabeça. As organizações devem adotar uma abordagem holística e proativa à segurança cibernética para proteger efetivamente sua infraestrutura crítica contra ameaças cibernéticas. Tenho certeza de que, se tivermos o compromisso certo para fazer isso, o Setor Ferroviário se tornará mais resiliente dia após dia!

FONTE: HELPNET SECURITY