0
0
Na visão de executivos do setor industrial, o perímetro fraco, a falta de um inventário na rede de dados e a baixa visibilidade dos ambientes são lacunas que as empresas deste segmento precisam resolver este ano
Por: Bruno Silva
A proteção de infraestruturas críticas contra os ataques cibernéticos virou uma das principais metas da atualidade. Empresas que dependem desses ambientes, como as que operam em setores como energia, sistemas hídricos e transportes, por exemplo, seguem na mira dos cibercriminosos. Todos os esforços coletivos, tanto no setor privado quanto no público, caminham no sentido de barrar essas ameaças e, caso aconteça algum incidente, que ele seja de menor impacto possível, sem comprometer a entrega de serviços ou a linha de produção.
De acordo com o CISO da Gerdau, Vitor Sena, no ambiente industrial, existem três principais GAPs de Segurança. “O primeiro deles é um perímetro fraco. Muitas vezes, empresas sem maturidade adequada de SI permanecem com os departamentos de TI e de produção misturados, aglutinando também os riscos para ambas as áreas. O segundo é a falta de um inventário, para que os funcionários saibam o que existe dentro dessa rede de dados. E por fim a baixa visibilidade, sem um sistema que monitore todas as pendências e carências do sistema de segurança digital”, explica Sena durante palestra no Congresso Security Leaders Nacional.
Para ter uma ideia desse cenário, um relatório do Incident Hub, repositório que concentra dados globais de incidentes em tecnologia de automação desde 1982, compilado pela TI Safe, mostra que os ataques cibernéticos contra infraestruturas críticas crescem de forma exponencial. Se no passado, esse segmento registrou poucos incidentes no Brasil, em 2022 foi o oposto e já foram noticiadas mais de 16 invasões contra prefeituras, governos estaduais, empresas farmacêuticas e redes hídricas, entre outras entidades.
Nos Estados Unidos, por exemplo, os programas governamentais de proteção das infraestruturas críticas causaram aumento nos gastos com segurança cibernética apenas nas entidades diretamente afetadas. A média ficou na casa dos US$ 105 bilhões somente em 2021. O ataque à Colonial Pipeline, que paralisou o fornecimento de gás na costa leste dos Estados Unidos no último ano, é um exemplo de que obter proteção de infraestrutura crítica ainda parece ser um desafio.
Na visão de Pierre Rodrigues, gestor de Segurança da Informação na WEG, há um gargalo enorme nesse setor, pois empresas desses segmentos contam com ambientes distintos e demandas específicas no quesito proteção de dados e informações sensíveis. “Hoje, os sistemas industriais não operam sozinhos, sempre têm interação com outros ambientes da rede. Esse é nosso desafio, pois além disso, temos os sistemas legados e muitos equipamentos antigos que não consideraram a Segurança desde a concepção”, comenta o executivo durante participação no Congresso Security Leaders.
Para Leonardo Ovídio, CISO na Brookfield Energia Renovável, ainda há uma grande complexidade em fortalecer a segurança e resiliência em todos os ecossistemas da indústria. Segundo o executivo, um dos motivos é justamente a falta de mão de obra especializada, principalmente para proteger as plantas industriais. “O que dificulta bastante no processo de proteção dos ambientes é a escassez da visão 360. Ou seja, não dá para focar em uma estratégia de Segurança apenas para a automação industrial, é preciso enxergar a TI também, pois a maioria dos ataques vem dessa área”, diz o executivo em entrevista à Security Report.
Segundo dados do “Cost of a Data Breach Report 2022”, relatório anual da IBM Security, globalmente, ransomware e ataques destrutivos representaram 28% das violações entre as organizações de infraestrutura crítica estudadas, destacando que os invasores estão buscando fraturar as cadeias de suprimentos globais que são a espinha dorsal da economia.
Para este ano, esses desafios tendem a impactar o ecossistema industrial, exigindo novas estratégias de defesa. Ovídio acrescenta que é preciso desenvolver melhor a governança no setor de Indústria como um todo. Assim, será possível alcançar o nível de maturidade adequado que faça frente à complexidade do setor. “Mas isso requer tempo, pessoas, processos e avaliação de riscos. São os principais desafios para nós que atuamos neste segmento”, completa o executivo.
FONTE: SECURITY REPORT