A Symantec Corp. divulgou os resultados da pesquisa sobre Proteção de Infraestruturas Críticas (Critical Infrastructure Protection – CIP) 2011 que revelaram uma queda na informação e no engajamento em nível global, de acordo com o Índice de Participação CIP. Em comparação com 2010, as empresas pesquisadas em 2011 registraram um índice de 82% em programas governamentais de proteção, o que representa uma queda significativa de 18 pontos em relação à edição anterior. Na América Latina, o Índice de Participação é um pouco mais alto, 88%. Os provedores de infraestruturas críticas vêm de setores com tanta importância que, se suas redes fossem atacadas e desativadas, isso resultaria em uma real ameaça à segurança nacional.
"Os resultados dessa pesquisa são um pouco preocupantes, tendo em conta os recentes ataques como o Nitro e o Duqu que tiveram como alvos alguns provedores de infraestruturas críticas”, afirma Dean Turner, diretor da Rede Global de Inteligência da Symantec. “Levando isso em consideração, as limitações de recursos e outros ativos como mencionadas pelos respondentes ajudam a explicar por que os provedores de infraestruturas críticas tiveram de priorizar e concentrar seus esforços em mais ciberameaças no dia a dia. No entanto, pensamos que os ataques direcionados a provedores de infraestruturas críticas sob a forma do Stuxnet, Nitro e Duqu vão continuar. Empresas e governos em todo o mundo devem ser muito agressivos em seus esforços para promover e coordenar a proteção das redes essenciais. Esses ataques mais recentes provavelmente são apenas o começo de mais ataques dirigidos a infraestruturas críticas”, completa.
Destaques da pesquisa
• Menor informação e engajamento em programas CIP do governo. Este ano, as empresas, de modo geral, mostraram-se menos informadas em relação aos programas CIP do governo. Em 2011, 36 por cento dos entrevistados estavam um pouco ou completamente a par dos planos para infraestruturas críticas do governo que estão sendo discutidos em seu país em comparação com a parcela de 55 por cento registrada em 2010. Os resultados de América Latina foram ligeramente superiores, 39 por cento das organizações indicaram ter algum conhecimento ou conhecimento total sobre CIP. Por outro lado, em 2011, 37 por cento das empresas tanto em nível global como na América Latina estão completamente ou significativamente engajadas, contra 56 por cento registrados em 2010 (53 por ciento para América Latina).
• Um pouco mais de ambivalência em relação aos programas CIP do governo. A pesquisa também revelou que as empresas estão mais ambivalentes em 2011 do que foram em 2010 em relação aos programas CIP do governo. Por exemplo, tanto em nível global quanto na América Latina, quando solicitados para expressar uma opinião sobre tais programas, 42 por cento não apresentaram nenhum parecer ou ficaram neutros. Além disso, as empresas estão agora um pouco menos dispostas a cooperar com os programas CIP do que estavam em 2010 (57 por cento contra 66 por cento, 59 por cento na América Latina).
• Organizações globais se sentem menos preparadas. Não é surpreendente que, à medida que cai a avaliação de uma organização em relação às ameaças, seu nível de preparação caia também. A preparação geral em escala global teve uma queda média de oito pontos (de 60 a 63 por cento em 2011, em comparação com 68 a 70 por cento em 2010).
Recomendações para garantir resiliência contra ciberataques a infraestruturas críticas
• Desenvolver e aplicar políticas de TI e automatizar processos de conformidade. Ao priorizar os riscos e definir políticas que envolvam todas as localidades, as organizações podem aplicar essas políticas através de automação integrada e fluxo de trabalho e não só identificar ameaças, mas remediar os incidentes quando ocorrem ou se antecipar a eles.
• Proteger as informações de forma proativa, tendo uma abordagem centrada nas informações para proteger tanto elas quanto as interações. Adotar uma abordagem sensível ao conteúdo para proteger as informações é fundamental para saber quem detém as informações, onde as informações sigilosas residem, quem tem acesso a elas e como elas estão entrando ou saindo da organização.
• Gerenciar os sistemas através da implementação de ambientes operacionais seguros, distribuindo e aplicando níveis de patches, automatizando processos para elevar a eficiência, monitorando e produzindo relatórios sobre o status dos sistemas.
• Proteger a infraestrutura garantindo a segurança dos endpoints, mensagens e ambientes Web. Além disso, defender os servidores internos críticos e assegurar a capacidade de fazer backup e recuperar dados devem ser prioridades. As organizações também precisam de visibilidade e inteligência em termos de segurança para reagir rapidamente às ameaças.
• Garantir disponibilidade 24×7. As organizações devem implementar métodos de teste que não causem interrupções e que possam reduzir a complexidade, automatizando a recuperação em caso de falhas. Ambientes virtuais devem ser tratados da mesma forma que os ambientes físicos, o que mostra a necessidade das empresas de adotar mais ferramentas multiplataforma e que trabalhem com vários ambientes ou a necessidade de padronização usando menos plataformas.
• Desenvolver uma estratégia de gerenciamento de informações que inclua um plano e políticas de retenção de informações. As organizações precisam deixar de usar o backup para arquivamento e casos de processos judiciais. Também devem implementar a eliminação de duplicação em todas as localidades para liberar recursos, usar um sistema de arquivos repleto de recursos e implantar tecnologias de prevenção contra perda de dados.
Recomendações para os governos
• Os governos devem continuar investindo os recursos necessários para estabelecer programas governamentais para as infraestruturas críticas.
o A maioria dos provedores de infraestruturas críticas confirma estar informada sobre os programas governamentais para infraestruturas críticas.
o Além disso, a maioria dos provedores de infraestruturas críticas apoia os esforços do governo para desenvolver programas de proteção.
• Os governos devem fazer parcerias com associações setoriais e grupos de empresas privadas para disseminar informações que divulguem as organizações e planos CIP governamentais, com dados específicos sobre como deve ser a resposta a um ciberataque em nível nacional, quais são as funções do governo, quem são os contatos específicos para vários setores em nível regional e nacional, e como o governo e as empresas privadas devem compartilhar informações em caso de emergência.
• Os governos devem enfatizar que a segurança não é suficiente para ser resiliente no caso dos atuais ciberataques. Também é preciso destacar para os provedores de infraestruturas críticas e empresas que suas informações devem ser armazenadas, organizadas e priorizadas e contar com backup, e que devem ser estabelecidos processos de controle de acesso e identidades apropriados.