Stuxnet, Mirai, Triton. Três ameaças difundidas em contextos, épocas e com consequências diferentes mostram como o segmento industrial se vê cada vez mais desafiado no que se refere à segurança cibernética. Desde que o setor seguiu a evolução natural da transformação digital, adotando sensores e dispositivos IoT, automatizando processos e implementando soluções inteligentes, a Indústria é vítima de ataques sofisticados capazes de paralisar transmissão de óleo, gás, energia, água, entre outros itens essenciais para a vida em sociedade.
Em um cenário como esse não é difícil imaginar o risco eminente de uma guerra cibernética. Embora seja considerada algo futurista, o presente aponta para uma realidade próxima. O jovem Kunal Agarwal de apenas 26 anos de idade, especialista e responsável pela área de IoT da Symantec, tem se dedicado ao tema e lidera essa nova área dentro da companhia. Em entrevista exclusiva à Security Report ele explica os desafios da Internet das Coisas e os avanços tecnológicos que visam mitigar os riscos.
Security Report (SR): Como você avalia o atual cenário de IoT?
Kunal Agarwal (KA): Hoje nós temos a oportunidade de ver vários dispositivos conectados, como SmartTVs, termostatos e vários outros que são utilizados em residências. Isso tudo gerenciado pela Norton, que auxilia na proteção de dispositivos de casa. E há o mundo empresarial, no qual estamos focados, que é um pouco diferente. Esse é um ponto onde analisamos o que podemos fazer para o espaço industrial e as tecnologias de operação. E, como você pode imaginar, é uma área que abrange a infraestrutura em muitos países.
Por exemplo, o Brasil, tem muitas usinas hidrelétricas, pontos de distribuição de energia, mas também bastante empresas de manufatura. E vemos isso como uma tendência ao redor do mundo: um enorme número de ataques têm acontecido dentro desse ambiente industrial. E esse é nosso foco: como podemos proteger as tecnologias de operações industriais e a guerra cibernética.
SR: Segundo o estudo anual da Symantec, o ISTR, houve um aumento de 600% em ataques relacionados à IoT entre 2016 e 2017.
KA: O que isso representa são diversos tipos de ameaças. Uma delas atacando webcams, como o caso do Mirai, mas também simboliza ataques muito mais devastadores. Um deles, que foi muito pesquisado na Symantec, foi o DragonFly, um grupo de atacantes que miravam a estrutura de distribuição de energia dos governos dos EUA e países europeus. Era um tipo muito mais assustador de ataque.
SR: Isso significa que estamos mais próximos de uma ciberguerra?
KA: Os riscos estão aumentando, eu diria. Começou lá atrás com uma ameaça bem conhecida: a Stuxnet. Essa ficou famosa por ser muito parecida com um roteiro de filme. Mas hoje vemos esse tipo de ataque com muito mais frequência. Ataques como do DragonFly, por exemplo, têm sido mais comuns. Temos registros de grandes sites sendo infectados e estes, por sua vez, acabam afetando sistemas de controle e alguém, com um estalar de dedos, pode derrubar um grande número de instalações e acabar com a energia de uma cidade inteira.
Existe ainda ataques como o TRISIS ou TRITON, que estavam afetando sistemas de instrumentos de segurança. Isso é algo extremamente perigoso porque, caso sejam desativados, esses sistemas deixam de acusar falhas nos processos e podem causar acidentes. São ataques altamente destrutivos e trazem muitos riscos.
SR: E quais os riscos do Brasil diante desse cenário?
KA: Até agora temos discutido os ataques feitos por grupos com apoio de governos, os adversários avançados. Por outro lado, também há as ameaças acidentais, coisas que acontecem e acabam com a produção industrial. Para o Brasil, esse é um dos mais preocupantes. Não digo que não haja atacantes patrocinados por governos que queiram afetar a planta energética do País, as hidrelétricas, etc. Mas o caso é que alguém pode acabar com uma brecha no sistema. E isso acontece quase todos os dias nos ambientes de TI.
Num sistema normal, pode acontecer uma infecção com ransomware, por exemplo, mas as implicações são muito menores, os resultados são muito menores. Nesse ambiente, no setor industrial, as implicações são significativamente maiores, mais destrutivas e complexas e muito mais “chatas” de corrigir. Imagina se todo o seu sistema de controle de produção pare subitamente. Que uma indústria automotiva não possa fabricar carros, por exemplo. Uma empresa farmacêutica não poderá produzir remédios. Uma usina nuclear pode se tornar um enorme perigo para a comunidade próxima. Esse é o tipo de coisa que vemos frequentemente. Não são apenas os ataques patrocinados por governos, mas os acidentais também.
SR: E quais os principais objetivos desses ataques?
KA: Há geralmente uma lista de razões, uma delas é realmente desabilitar os sistemas, torná-los inoperantes. A segunda é lucrar com isso. Geralmente as pessoas envolvidas focam principalmente em fazer algum dinheiro com esses ataques. O problema que vemos no ambiente industrial é que existem dois tipos: os que consideramos ataques conhecidos (que são os mais comuns e vistos diariamente), como o WannaCry, por exemplo. Observamos que ambientes industriais que contam com IoT normalmente são afetados pelo WannaCry ou Petya. Mas isso não significa que a pessoa que desenvolveu esse malware estava mirando os sistemas industriais. Por outro lado, existem os atacantes patrocinados por governos, que realmente têm a intenção de causar disrupção e mudanças, ou como disse antes, causar uma disputa cibernética.
SR: Esse cenário pode contribuir para uma possível “pausa” de investimentos em IoT no setor?
KA: Há muitos benefícios e já é uma realidade. Se você pensar bem, os sistemas de controle operacional que existem já estão lá há mais de uma década, quase duas. Vemos sistemas com Windows XP nesse ambiente com frequência e estão rodando sistemas críticos nacionais. Isso não é algo ruim, é apenas normal. Não é algo que possa ser interrompido. Eles continuarão a estar lá da mesma forma. É nosso trabalho fazer com que esses sistemas permaneçam seguros e as empresas possam continuar funcionando.
SR: Diversas organizações sem fins lucrativos buscam implementar uma regulamentação dos dispositivos IoT. Você acha que esse tipo de ação poderia oferecer um cenário mais positivo aos usuários?
KA: Sim, qualquer um que esteja fazendo um trabalho sem fins lucrativos nessa área é sempre muito importante, deixando o mundo melhor através de inovação. Mas o problema com esse sistema [da regulamentação] é que eles visam os dispositivos mais novos, criados recentemente. E aqueles sistemas antigos, já implementados? Esses são os que nos preocupam mais. Há muitos sistemas funcionando e você não pode esperar que alguém vá substituí-los. “Ei, temos um aparelho aqui que já tem mais de 10 anos, vamos trocar por esse outro que é mais novo e seguro!” – Não, esse tipo de coisa não vai acontecer. É extremamente caro fazer algo nesse sentido. Mesmo algo simples, como uma televisão, não é barato de ser trocado. É esse desafio que estamos buscando solucionar.
SR: Você acha que as empresas ainda confundem sobre direitos e responsabilidades em caso de algum incidente com IoT?
KA: Esse é um ponto interessante. Muitas pessoas acreditam que, se o dispositivo foi violado, o problema é do fabricante. Por exemplo, num celular, se um Android ou um iPhone quebra, é fácil levar para o fabricante e solicitar o conserto. Isso é fácil, no ponto de vista de um consumidor. Mas para os sistemas industriais, é muito difícil imputar a responsabilidade sobre os fabricantes de algo que construíram muitos anos antes.
SR: Existe ainda o fato de se tratar de uma tecnologia “recente” e muitos usuários ainda não utilizarem tais dispositivos de maneira segura.
KA: Há sistemas que são muito mais complexos por natureza. Os sistemas com os quais trabalhamos são muito mais complexos. Você pode imaginar uma companhia automobilística, o tanto de sistemas que existem para automatizar todo o processo de produção de veículos. Esses são completamente personalizados. De alguma forma, sim, existe a responsabilidade do fabricante, mas, também da pessoa que está utilizando o equipamento. Nós precisamos que eles também pensem na segurança.
SR: Muitos CSOs falam que um dos principais desafios da IoT é que os dispositivos não permitem atualizações ou que é difícil implementar camadas extras de segurança.
KA: Digo, a parte mais difícil é pegar algo que já está implantado e, de repente, fazer uma atualização em todos os dispositivos. Os smartphones são um grande exemplo. Posso garantir que nós tentamos atualizar nossos smartphones o máximo possível, mas, muitas vezes, não é possível. Talvez seu celular seja muito antigo, e não há nada que você possa fazer. Portanto, ele fica inseguro. Vemos isso com muita frequência. Muitas vezes não é algo que possa ser realizado, mesmo que as pessoas estejam se esforçando ao máximo.
SR: Esse desafio é global ou há alguma diferença de um país para outro?
KA: Não vejo diferença alguma. Claro, existem diferentes áreas, por exemplo, a de produtos para consumidores, que é algo que está aí, os dispositivos particulares, que usamos em escritórios. E também existem os sistemas industriais.
SR: Há algum setor que seja mais crítico? Por exemplo, a área de Saúde?
KA: Sim. Saúde especificamente afeta diretamente pessoas e isso é muito perigoso. A melhor forma de avaliar os riscos é se observar de maneira bem prática, por exemplo, uma instituição de saúde, um hospital – seja no Brasil, nos EUA, ou qualquer outro lugar no mundo –, que possua um aparelho de Tomografia Computadorizada. A questão é: quando você acha que esse scanner foi adquirido? Foi comprado esse ano? Três anos atrás? Cinco? Digamos que seja, por exemplo, quatro anos atrás. Quando será que foi construído? Quando o código dele pode ter sido feito? Talvez seis ou oito anos atrás?
Portanto, se avaliarmos um sistema que foi feito oito anos atrás e adquirido há quatro anos, nós esperamos que seja seguro? É por essa razão que o setor de Saúde está tão preocupado com isso. Esse aparelho está sendo utilizado em pacientes. Qual o sistema operacional que roda nesse scanner? As aplicações foram desenvolvidas pelo fabricante, mas o sistema operacional pode ser, provavelmente, Windows XP. Isso é algo completamente comum em todo o mundo.
SR: E como o mercado e a própria Symantec está endereçando esse problema? Enfim, o que fazer?
KA: O ataque específico que temos visto ocorre de duas maneiras: uma delas é por USB. É simples: com um pendrive, você insere no sistema – um hospital, por exemplo – e você extrai dados dali. Outro exemplo é, num sistema de operações de uma usina hidrelétrica, quando você espeta um pendrive e rouba informações. Isso é um fator muito importante. USBs são como mãos: você coloca em todo lugar, você insere em todo lugar. Você é infectado com malwares naturalmente, da mesma forma como pega bactérias nas mãos. Por isso lavamos elas diariamente.
Outro aspecto importante é: chamamos os dispositivos de IoT (Internet das Coisas), mas na verdade eles deveriam funcionar em redes isoladas ou não ter absolutamente nenhuma conexão com a Internet. Devem estar conectados entre si, mas não com a rede mundial. Isso está mudando atualmente. Alguns desses sistemas, como por exemplo o scanner de tomografia, estão conectados ao “google.com” de alguma forma. Por isso, existem muitos ataques baseados em rede. É aqui que entram as soluções. Queremos desenvolver soluções que deem visibilidade. Falamos sobre USB e redes, são duas soluções até agora. Uma delas garante que os pendrives estejam limpos, sem malwares. A outra é a capacidade de proteger sistemas que operem sem conexão com a internet. A ideia é que os sistemas tenham apenas um propósito e é isso que usamos para desenvolver as soluções.
SR: Hoje, muitos CSOs têm pouca visibilidade do que acontece em toda a infraestrutura. Você acha que, no futuro, teremos profissionais específicos olhando apenas para essa área e avaliando os riscos mais críticos?
KA: O que você está citando se justifica pelo fato de que esses sistemas estão implementados há muitos anos. O que está acontecendo ultimamente é que o CISO está ficando mais em evidência e se tornando responsável pela segurança. Agora, o desafio é que só porque há alguém responsável pela segurança não significa que eles conseguem proteger da mesma forma um sistema de TI e um de OT. E isso é o que queremos solucionar. Por exemplo, em sistemas OT, geralmente vemos o Windows XP. A última versão é o Windows 10, mas vemos o XP, 7, NT, até mesmo Windows 95. Precisamos de uma solução que permita trazer visibilidade para esse tipo de característica.
Colocar uma proteção de endpoint, tecnicamente, seria o correto, mas não é assim que funciona. O que acontece se esse sistema cair? A dificuldade que enfrentamos é que, muitas vezes, os CSOs precisam proteger os sistemas OT, mas não podemos tocá-los. Essa é uma das soluções: criamos uma estação de escaneamento, para dispositivos físicos, você apenas pluga o USB, ele escaneia e limpa o dispositivo e, em seguida, você pode conectar ao sistema que irá usar. É simples e elegante.
Ajustamos nossa machine learning para atuar nesse sistema de uma maneira muito interessante, fazendo uso de toda a capacidade de processamento do sistema. É quase comparável a um smartphone, que tem ferramentas para desbloqueio através de reconhecimento facial ou biometria. Esses são modelos de machine learning e são os mesmos que colocamos em nossa solução. Por outro lado, os clientes estão muito felizes com isso, pois o ROI é altíssimo. É possível proteger o sistema sem nem ao menos tocá-lo. É uma segurança contra alguns tipos de ataques. Você só pode dar um passo de cada vez e é impossível alcançar 100% de proteção, mas ter várias etapas e várias camadas, ajuda nesse processo.
SR: Pelo visto existe uma grande oportunidade nesse mercado e isso justifica o fato de vocês terem criado uma área específica de IOT. O que mais se pode esperar?
KA: Há outras soluções no mercado que auxiliam na proteção do ambiente industrial e não são parecidas com qualquer coisa que você já viu. Há endpoint, a rede interna e o gateway. Mas, se olharmos para cada um deles, o USB vai direto ao endpoint. Isso é algo crítico para nossos clientes. Se a infraestrutura do país parar, haverá consequências muito graves. Pode ser em Manufatura, geração de energia, distribuição, serviços, empresas farmacêuticas, etc, a lista é longa. Todas essas organizações possuem sistemas assim atualmente e, meio que, têm deixado de lado a proteção desses dispositivos e estamos buscando trazer à tona o assunto para prevenir danos futuros.
Temos vários casos onde, por exemplo, somos questionados “Como sua solução vai me ajudar a fazer mais carros?”, “Poderei fazer mais veículos?”. Claro que a resposta é não. Nós não faremos eles produzirem mais. Mas, por outro lado, para esses profissionais, não importa a confidencialidade, ou integridade, mas a confiabilidade e disponibilidade.
SR: Pelo menos há uma mudança no mindset, não?
KA: Acredito que essa mentalidade sempre existiu. Sempre houve pessoas que querem fazer o correto. Às vezes, você precisa dar poder para pessoas conseguirem fazer o que é certo. Estamos dando a oportunidade para isso.
