0
0
A ameaça física à infraestrutura nacional crítica (CNI) do mundo nunca foi tão grande . Pelo menos 50 metros dos dutos subterrâneos Nord Stream 1 e 2, que antes transportavam gás russo para a Alemanha , foram destruídos em um ataque no final de setembro de 2022 , embora ainda não esteja claro quem é o culpado.
Mais recentemente, a Rússia também mudou sua guerra na Ucrânia para atingir a infraestrutura de energia com seus próprios mísseis e drones Shahed-136 fornecidos pelo Irã. De acordo com um tweet do presidente da Ucrânia, Volodymyr Zelensky, em 18 de outubro, “30% das usinas de energia da Ucrânia foram destruídas, causando apagões maciços em todo o país”, enquanto em 1º de novembro durante uma reunião com o Comissário Europeu de Energia, Kadri Simson , Zelensky disse que entre “30% e 40% dos sistemas de energia [do país] foram destruídos”.
Ameaça crescente de segurança cibernética
No entanto, as ameaças à segurança física resultantes da guerra na Ucrânia e as crescentes tensões entre o Oriente e o Ocidente não são as únicas ameaças sérias à nossa CNI. Há uma ameaça crescente de segurança cibernética também. Em 7 de maio de 2021, o Oleoduto Colonial com origem em Houston, Texas, e que transporta gasolina e combustível de aviação para o sudeste dos Estados Unidos foi forçado a interromper todas as suas operações para conter um ataque de ransomware.
Nesse ataque, os hackers conseguiram entrar por meio de uma conta VPN (rede privada virtual) que permitia que os funcionários acessassem os sistemas da empresa remotamente usando um único nome de usuário e senha encontrados na Dark Web. A Colonial pagou aos hackers, que eram afiliados de um grupo cibercriminoso ligado à Rússia, Darkside, um resgate de US$ 4,4 milhões logo após o ataque.
Menos de um ano depois, Sandworm, um grupo de ameaças supostamente operado pela unidade cibermilitar russa do GRU, tentou impedir o funcionamento de um fornecedor de energia ucraniano não identificado. “Os invasores tentaram derrubar vários componentes de infraestrutura de seu alvo, a saber: subestações elétricas, sistemas de computação operados pelo Windows, equipamentos de servidor operados pelo Linux [e] equipamentos de rede ativos”, disse o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia. (SSSCIP) disse em um comunicado.
A empresa eslovaca de segurança cibernética ESET, que colaborou com as autoridades ucranianas para analisar o ataque, disse que a tentativa de invasão envolveu o uso de malware compatível com ICS e limpadores de disco regulares, com o adversário lançando uma variante atualizada do malware Industroyer.
“Os invasores Sandworm tentaram implantar o malware Industroyer2 contra subestações elétricas de alta tensão na Ucrânia”, explicou a ESET . A rede elétrica da vítima foi invadida em duas ondas, o comprometimento inicial coincidindo com a invasão russa da Ucrânia em fevereiro de 2022 e uma infiltração subsequente em abril, permitindo que os invasores carregassem Industroyer2.
Ambientes Digitalizados
De acordo com John Vestberg, CEO da Clavister, uma empresa sueca especializada em software de segurança de rede, “agora não há dúvida de que os cibercriminosos representam uma ameaça cada vez maior à infra-estrutura nacional crítica”. Ele acrescenta: “CNI, como petróleo e gás, é um alvo principal para gangues de ransomware.” Ele acredita que as empresas de energia e seus fornecedores precisam adotar uma abordagem mais proativa, em vez de reativa, para a segurança cibernética, usando análises preditivas e ferramentas como tecnologias de IA (inteligência artificial) e ML (aprendizado de máquina).
Camellia Chan, CEO e fundadora da marca Flexxon X-PHY, concorda: “É crucial que as organizações da CNI nunca tirem os olhos da bola”, diz ela. “Boa segurança cibernética é um processo contínuo, proativo, inteligente e de autoaprendizagem, e adotar tecnologias emergentes como IA como parte de uma solução de segurança cibernética multicamada é essencial para detectar todo tipo de ataque e ajudar a criar uma estrutura de segurança cibernética mais robusta”.
As gangues de ransomware bem organizadas, geralmente patrocinadas pelo Estado, também não são o único problema que as organizações da CNI enfrentam. Parte do problema é que, à medida que as organizações industriais (incluindo serviços públicos, como empresas de água e energia) digitalizam seus ambientes, elas expõem possíveis vulnerabilidades e vulnerabilidades de segurança a agentes de ameaças muito mais do que no passado.
Redes integradas de TI/TO
Enquanto tradicionalmente a segurança não era vista como sendo de importância crítica porque a rede OT (tecnologia operacional) de uma organização foi projetada para ser isolada e também porque executava protocolos industriais proprietários e software personalizado, esse não é mais o caso.
Como Daniel Trivellato, vice-presidente de engenharia de produto OT da Forescout, uma empresa de software de automação de segurança cibernética, diz: “Os ambientes OT se modernizaram e não são mais isolados das redes de TI, o que significa que estão mais expostos e sua falta de medidas de segurança representa um problema risco crítico.” Ao conectar esses dois ambientes, as organizações estão aumentando o cenário de ameaças, mas não necessariamente adotando medidas apropriadas para mitigar o risco.
De acordo com Trivellato, isso não passou “despercebido pelos agentes de ameaças” com malwares específicos de ICS e OT, como Industroyer, Triton e Incontroller, evidências dos recursos cada vez mais sofisticados que os invasores começaram a implantar no ataque, resultando em muitos sérios incidentes. “Embora a maioria dos dispositivos OT não possa ser corrigida, existem práticas para lidar com os pontos fracos, como visibilidade do dispositivo e gerenciamento de ativos, segmentação e monitoramento contínuo do tráfego”, acrescenta Trivellato.
Risco de Borda da Grade
Para Trevor Dearing, diretor de soluções de infraestrutura crítica da empresa de segmentação de confiança zero Illumio, parte da atração para os cibercriminosos de atacar empresas de energia são as recompensas potencialmente altas oferecidas. “Muitas das gangues estão percebendo que, se puderem impedir que o serviço seja entregue aos clientes, é mais provável que as empresas paguem o resgate do que se estivessem apenas roubando dados”, diz ele.
Um outro problema, diz ele, é que os sistemas de energia não abrangem mais apenas a rede tradicional, incluindo usinas e linhas de energia. Em vez disso, o que está surgindo é o que é conhecido como “grid edge” – dispositivos descentralizados, como medidores inteligentes, painéis solares e baterias nas residências e empresas das pessoas. Acredita-se que a empresa sPower, com sede em Utah, que possui e opera mais de 150 geradores nos EUA, foi a primeira fornecedora de energia renovável a ser atingida por um ataque de segurança cibernética em março de 2019, quando agentes de ameaças exploraram uma falha conhecida nos firewalls da Cisco para interromper as comunicações um intervalo de cerca de 12 horas.
Uma maneira pela qual os sistemas de energia renovável são particularmente vulneráveis a ataques é por meio de seus inversores. Fornecendo a interface entre os painéis solares e a rede, eles são usados para converter a energia DC (corrente contínua) gerada pelo painel solar PV (fotovoltaico) em eletricidade AC (corrente alternada) fornecida à rede elétrica. Se o software do inversor não for atualizado e seguro, seus dados podem ser interceptados e manipulados da mesma forma que os ataques anteriores na Ucrânia e nos EUA. Além disso, um invasor também pode incorporar código em um inversor que pode espalhar malware no sistema de energia maior, causando ainda mais danos.
De acordo com Ali Mehrizi-Sani, professor associado do Virginia Polytechnic Institute and State University e coautor de um artigo de 2018 avaliando o risco de segurança cibernética da energia solar fotovoltaica, os hackers podem criar artificialmente um mau funcionamento em um sistema fotovoltaico para lançar ataques cibernéticos aos controles do inversor e sistema de monitoramento.
“Esta é uma vulnerabilidade que pode ser e tem sido explorada para atacar o sistema de energia”, disse ele à publicação online PV Tech em novembro de 2020. E embora atualmente o risco potencial de um ataque de segurança cibernética às redes de energia solar permaneça baixo porque a tecnologia ainda não atingiu a massa crítica, à medida que se torna mais descentralizada – com painéis solares instalados em locais públicos e no topo de edifícios – o gerenciamento de redes dependerá cada vez mais da segurança robusta de IoT baseada em nuvem.
Maior Regulação
Uma maneira de governos e organizações garantirem os mais altos níveis de proteção da CNI é por meio da implementação de padrões. Por exemplo, a Alemanha estabeleceu leis de segurança de TI há vários anos, tornando obrigatório para todos os provedores de rede, operadoras e outras empresas da CNI garantir que atendam à família de padrões ISO 27001 para sistemas de gerenciamento de segurança da informação (ISMS), enquanto no Reino Unido há obrigações estipuladas no BSI Criticality Ordinance para demonstrar uma estratégia completa de segurança de TI para proteger a operação da infraestrutura crítica.
Da mesma forma, nos EUA, o grupo de padrões NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) rege a infraestrutura crítica de todas as entidades que afetam materialmente o BES (Bulk Electrical System) na América do Norte – embora esse conjunto de padrões se aplique apenas à eletricidade e não para as indústrias de petróleo e gás. De acordo com Cliff Martin, chefe de resposta a incidentes cibernéticos da GRCI Law, uma empresa de consultoria jurídica, de risco e compliance, os funcionários responsáveis pela CNI precisam ser treinados adequadamente e entender que suas ações podem ter consequências reais. “Isso significa que eles não podem simplesmente copiar e colar as medidas tradicionais de segurança cibernética de TI no ambiente de TI – simplesmente não funciona assim.”
No entanto, Dearing, da Illumio, diz que o que está acontecendo é que cada vez mais empresas estão desenvolvendo uma estratégia única para ambientes de OT e TI. “A chave”, diz ele, “é presumir que você será invadido e planejar de acordo. Se você segmentar separando todos os diferentes bits de sua infraestrutura, um ataque em uma parte não terá necessariamente um efeito efeito indireto em todas as outras partes.”
A guerra na Ucrânia e os ataques aos oleodutos Nord Stream alertaram as empresas para a ameaça física representada à infraestrutura de energia, especialmente durante o inverno no hemisfério norte. No entanto, essa não é a única preocupação. Os ataques de segurança cibernética à CNI estão aumentando, em parte por causa de uma ameaça crescente de atores de estado-nação, mas também porque os cibercriminosos estão percebendo que podem ganhar muito dinheiro negando potencialmente um serviço muito necessário aos clientes. Ao mesmo tempo, a convergência das tecnologias OT e TI está fornecendo uma superfície de ataque potencialmente muito maior para os cibercriminosos atingirem.
Embora tradicionalmente a segurança não tenha sido vista como uma consideração crítica para OT, isso precisa mudar com um foco maior em soluções técnicas, como segmentação e monitoramento contínuo do tráfego de rede, se as empresas quiserem impedir que ocorra uma violação potencialmente catastrófica da CNI.
—História de Chris Price
Esta história apareceu pela primeira vez no IFSEC Global , parte da Informa Network e um provedor líder de notícias, recursos, vídeos e white papers para o setor de segurança e incêndio. O IFSEC Global abrange desenvolvimentos em tecnologias físicas estabelecidas há muito tempo – como vigilância por vídeo, controle de acesso, alarmes de intrusão/incêndio e guarda – e inovações emergentes em segurança cibernética, drones, edifícios inteligentes, automação residencial, Internet das Coisas e muito mais.
FONTE: DARK READING