O ransomware que afetou a Colonial Pipeline, uma das maiores redes de oleodutos dos Estados Unidos, abre um alerta para todo sistema industrial. Isso porque os cibercriminosos sabem que empresas desse segmento com infraestrutura crítica têm muito a perder se forem forçadas a ficar inativas, como foi o caso da Pipeline que precisou interromper os serviços diante do incidente.
Um estudo da Tenable Research revelou que, em 2020, 35% das invasões estavam ligadas a ataques de ransomware e o IBM X-Force Threat Intelligence Index descobriu que a manufatura foi a segunda indústria mais atacada em 2020, crescendo do oitavo lugar em 2019 e só ficando atrás dos serviços financeiros.
De acordo com Marty Edwards, VP de Segurança para Operational Technology (OT) da Tenable, os ataques do tipo ransomware têm crescido e parece continuar aumentando. Em entrevista à Security Report, Edwards enfatiza que essa modalidade de ataque é uma das favoritas dos criminosos cibernéticos, devido à sua eficácia e retorno sobre o investimento.
O executivo tem 35 anos de experiência no setor industrial, sendo diretor do órgão norte-americano ICS-Cert, instituto que faz parte do CISA (Cybersecurity and Infrastructure Security Agency), o órgão do governo dos EUA que regula a área de cyber segurança no setor industrial.
Security Report: É comum que um ataque como esse cause desligamento e interrupções de serviços? A melhor saída é desligar tudo?
Marty Edwards: É uma situação complicada. Dependerá muito de cada empresa, cada instalação individual e o aspecto de sua postura de segurança. Se uma empresa tem boa visibilidade da rede, pode ver quando um ataque tem início e terá uma melhor percepção de quais ativos precisa proteger para limitar o impacto.
Em geral, as empresas que tiverem melhor segmentação e melhor visibilidade do que está acontecendo nessas redes terão maior capacidade de desconectar ou isolar certas redes para protegê-las e não necessariamente desativar tudo.
Porém, repito, isso dependerá de cada organização e rede.
Security Report: Isso significa que mesmo em empresas de grande porte, falhas básicas ainda persistem?
Marty Edwards: À medida que as indústrias evoluíram, os ambientes de Tecnologia Operacional (OT) convergiram cada vez mais com a TI, principalmente para obter eficiência e eficácia. Isso significa que a tecnologia que move a manufatura, as refinarias e os serviços de utilidade pública, que anteriormente estavam “estanque”, estão agora conectada à Internet.
Isso pode ser desafiador para organizações que, anteriormente, usavam ferramentas de segurança separadas para cada ambiente e, agora, necessitam de visibilidade holística dos ativos para evitar pontos cegos.
Security Report: Falta maturidade em Segurança da Informação?
Marty Edwards: A maturidade dessa evolução varia muito de indústria para indústria, de empresa para empresa. Não podemos generalizar. Mas destaco a necessidade de estar preparado, convergindo pessoas, processos e tecnologia para assegurar que todas as extremidades da rede estejam cobertas.
Security Report: Quais seriam as melhores práticas para evitar esse tipo de ataque?
Marty Edwards: Praticar a higiene cibernética fundamental pode reduzir as ameaças à OT suprimindo comportamento de risco, fechando “portas de entrada” e reduzindo a quantidade de vulnerabilidades passíveis de serem exploradas.
Reduzir as ameaças antes de elas acontecerem exige: obter visibilidade ao longo de toda a superfície de ataque — incluindo sistemas de TI e OT; implementar profundas medidas de segurança nos níveis de dispositivo e rede; e restabelecer o controle gerenciando as alterações de configurações.
Security Report: O que fica de lição aprendida para outras empresas do setor industrial e manufatura? Quais seriam as prioridades para elevar o nível de maturidade dessas empresas?
Marty Edwards: A segurança cibernética pode ter um grande impacto sobre o negócio e social. Agora mais do que nunca, as equipes de segurança que supervisionam os ambientes de OT devem seguir uma abordagem mais proativa à segurança cibernética, tornando a manutenção cibernética uma prática de rotina, tanto quanto a manutenção mecânica dos sistemas e equipamentos.
Quer seja trocando um rolamento, filtro ou fluidos, a manutenção é realizada para evitar uma falha catastrófica de equipamentos em decorrência de que é conhecido como “correr para o fracasso”. A manutenção regular poupa dinheiro e irritações e evita o desvio de recursos. Isso também deve se aplicar à segurança de redes. As equipes de segurança devem começar entendendo a rede, tendo uma visão unificada e baseada em riscos de onde e até que ponto estão expostas ao longo de seus ambientes de TI e OT.
