Diante dos frequentes ciberataques ocorridos desde o início deste ano, levando as estatísticas a um índice recorde de aumento de 93% de ransomware no mundo e de 92% no Brasil, observa-se também um crescimento no interesse dos cibercriminosos aos sistemas de controle industrial com um ambiente de tecnologia operacional (OT).
Os hackers estão bem cientes de que a conectividade tem aumentado em todos os sistemas de controle industrial (em inglês, ICS, Industrial Control System); que os sistemas de tecnologia operacional são menos seguros que muitos sistemas de TI; e que os sistemas de OT não são protegidos pela maioria das soluções convencionais de segurança cibernética. Assim, em vez de visar primeiramente os sistemas de TI e, em seguida, passar para a tecnologia operacional e os sistemas de controle industrial, os cibercriminosos agora estão atacando em primeiro lugar a OT.
Os setores que estão sendo cada vez mais visados pelos atacantes, incluindo alguns em nível de estado-nação, referem-se essencialmente àqueles em que existem sistemas de OT vulneráveis, incluindo transporte, petróleo e gás, manufatura, energia e utilities .
O aumento na conectividade entre os dispositivos e sistemas de OT ajuda a manter os processos industriais críticos atualizados e funcionando sem problemas. Mas também põe em risco a exposição de todos os dispositivos e as instalações relacionados à OT. Quanto mais interconectados esses sistemas estiverem nas instalações de fábrica e infraestrutura crítica, maior será o potencial de que os ataques cibernéticos possam causar grandes interrupções e danos. Neste sentido, é importante entender o que torna os dispositivos de OT mais vulneráveis e, em seguida, examinar o porquê da necessidade de protegê-los.
Os dispositivos de tecnologia operacional (OT) são ferramentas essencialmente eletrônicas usadas para gerenciar, monitorar e manter operações industriais, incluindo equipamentos e outros ativos, bem como processos. Essa tecnologia se desenvolveu paralelamente ao mainstream de TI, embora completamente separadas, uma vez que surgiu diretamente em resposta às necessidades do setor industrial.
A OT é usada na indústria como sensores, atuadores, robôs e controladores lógicos programáveis. Desenvolvidos originalmente por fornecedores de equipamentos industriais para desempenho e segurança, eles eram vistos principalmente como dispositivos de "chão de fábrica" sem muita inteligência. Na época, a segurança não era um problema: esses dispositivos não podiam ser hackeados porque não estavam online. Dentro desse "reino" completamente separado, não havia necessidade de nenhuma política de segurança ou gerenciamento de sistema.
Hoje, a OT mudou radicalmente. Cada vez mais fabricantes estão percebendo os benefícios de colocar seus dispositivos de tecnologia operacional online, permitindo-lhes maior controle sobre os processos, maior sofisticação em sua análise e otimização e alertas mais rápidos quando surgem problemas.
Por isso, compreender a origem da OT auxilia no entendimento sobre o porquê esses dispositivos são inerentemente mais vulneráveis:
- Uma rede industrial típica inclui dispositivos de vários fabricantes.
- Esses dispositivos são criados com senhas fracas ou codificadas.
- Eles são operados e gerenciados pela manufatura e não pela TI.
- O software desses dispositivos, geralmente, não pode ser atualizado ou corrigido, ou eles não podem ficar offline por tempo suficiente para atualizá-los.
- A TI não tem total transparência na faixa e tipo de dispositivos funcionando dentro da OT.
Este último ponto é provavelmente o mais importante. Embora a TI seja responsável pelo gerenciamento da postura geral de segurança, na maioria das organizações, os dispositivos de OT não funcionam, criando uma falta de consciência de segurança geral sobre como lidar com eles. Então, quando conectados ao mundo externo, eles se tornam o elo mais fraco em uma cadeia de segurança que, em última análise, coloca toda a sua organização em risco.
Uma vez que os cibercriminosos consigam ingressar na empresa, eles poderão escolher permanecer no lado da OT ou mover-se lateralmente para TI e dispositivos de negócios de missão crítica. De dentro da rede corporativa, os hackers poderão roubar propriedade intelectual e outros dados protegidos; monitorar secretamente o tráfego da rede interna, obtendo informações confidenciais e segredos comerciais; assumir o controle das operações críticas de manufatura e da infraestrutura de construção ou uma combinação delas.
Por esta razão a proteção dos sistemas de OT é agora mais crítica que nunca. Como foi ressaltado anteriormente, ao reconhecer a vulnerabilidade da OT, os cibercriminosos começaram a mudar seu modus operandi?. Anteriormente, se eles quisessem impactar as operações, eles deveriam ter como alvo primeiro a TI e, em seguida, mover-se lateralmente em direção à tecnologia operacional; porém hoje o que acontece é o inverso.
Além disso, novas famílias de malware, como EKANS?, estão sendo desenvolvidas visando diretamente a OT e para tirar proveito de suas vulnerabilidades específicas. Embora o malware ICS ainda seja relativamente raro, é quase certo que aumentará em breve com o sucesso de alguns ataques recentes de alto perfil – como Triton / Trisis e Industroyer – direcionados ao ICS.
Torna-se imprescindível que as organizações adotem uma abordagem mais segura para manter os dispositivos de tecnologia operacional em suas redes, incluindo controladores industriais, servidores SCADA e sensores – seguros e protegidos -, enquanto protege o resto de seus ativos ao mesmo tempo. Assim, as soluções de segurança devem ser capazes de:
- Bloquear ataques antes que eles atinjam sistemas de OT críticos com prevenção contra ameaças eficaz.
- Minimizar a exposição ao risco com políticas geradas automaticamente e simples de serem implementadas.
- Isolar dispositivos de OT vulneráveis das funções críticas de TI com segmentação de rede de TI / OT.
- Controlar toda a rede com uma análise de risco abrangente.
Somente é possível proteger o que se vê; e com o aumento dos ataques a dispositivos de tecnologia operacional, a TI não pode mais esperar e deve agir de modo a preservar a reputação da empresa, evitar tempo de inatividade desnecessário e salvá-la de perdas financeiras devido ciberameaças, ataques ou multas regulatórias.
Claudio Bannwart, diretor regional da Check Point Software Brasil.