As ameaças à tecnologia operacional (OT, em inglês) crescem e ganham força a um ritmo assustadoramente acelerado. O último relatório IBM Security X-Force: Threat Intelligence Index 2023 mostra que a manufatura é o segmento industrial mais afetado. O setor foi alvo de 58% dos incidentes de segurança cibernética atendidos pela IBM em 2022. Este dado alarmante pode ser visto como desdobramento de uma escalada na ocorrência de ataques cibernéticos à indústria a partir de 2018, mais precisamente um crescimento de 2000% desde então, segundo um levantamento feito também pela IBM.
O ganho financeiro obtido com operações industriais paralisadas é o atrativo perfeito para criminosos e isso vale não apenas para manufatura. O setor de energia (fornecimento de energia elétrica e petróleo e gás), por exemplo, é o quarto alvo mais popular de criminosos, ainda segundo o X-Force 2023.
Juntamente com os danos causados pelos crimes cibernéticos, a indústria também amarga outra realidade difícil: a falta de protocolos confiáveis de segurança, de pessoal treinado e sistemas reconhecidos para proteger suas operações, que agora estão cada vez mais integradas.
A possibilidade de conectar sistemas de automação por meio de serviços digitais abriu a porta para avanços inegáveis na produção. Está em pauta um tipo de atividade industrial que conecta a produção, consumo de matéria-prima, consumo energético e logística a sistemas digitais que possibilitam a operação remota. Essa forma de gestão oferece maior previsibilidade e possibilidade de um planejamento assertivo, tudo com dados à disposição por meio de dashboards. Mas pela mesma porta de progresso também passam as vulnerabilidades de sistemas que agora, por estarem interligados, são um alvo mais fácil para invasões.
Um dilema importante se soma aos muitos outros enfrentados por pessoas que decidem tantas variáveis sobre a produção, e principalmente sobre o futuro do negócio: como digitalizar para produzir mais e melhor, com menores custos e manter os sistemas seguros ao mesmo tempo? A resposta é simples: nenhum processo de digitalização trará os benefícios esperados se não for acompanhado de uma forte proteção contra ataques cibernéticos.
A declaração é mais que óbvia. Ainda assim, o que se vê nos dias de hoje é a falta de adoção de controles básicos e processos para proteger sistemas industriais. Levantamento feito pela Associação Brasileira das Companhias Abertas (Abrasca) e pelo The Security Design Lab (SDL) aponta que 42% das empresas consultadas não possuem plano de resposta a incidentes de cibersegurança, 65% dos entrevistados não orientam a equipe para lidar ou responder a incidentes de cibersegurança, e 73% não possuem controles de acesso a sistemas operacionais (OT). A Abrasca e o SDL entrevistaram 109 empresas no Brasil de maio a agosto de 2023.
A recente história, mais precisamente da última década, confirma os números e hipóteses. Casos impressionantes de ataques cibernéticos a instalações industriais tiveram o seu momento na mídia. De usinas geradoras a produtoras de alumínio.
Em 2010, o Stuxnet ganhou fama como um dos primeiros a infectar a tecnologia operacional (OT) de uma usina enriquecedora de urânio no Irã. Cerca de 20 anos depois, um ataque de ransomware, o sequestro de informações que só termina com um alto pagamento de resgate, causou perdas de aproximadamente $40 milhões a uma produtora de alumínio. Um ano depois, uma distribuidora de petróleo nos Estados Unidos sofreu um ataque de ransomware que a fez declarar estado de emergência em 17 estados norte-americanos mais Washington. Pagou $4,4 milhões pelo resgate, dos quais o FBI recuperou $2,3 milhões. Estes casos não pararam e até situações em indústrias brasileiras são conhecidas.
Uma característica dos sistemas industriais que os tornam um alvo muito lucrativo para cibercriminosos é a necessidade de ativos estarem disponíveis o tempo todo. Ambientes de OT não podem parar principalmente por motivos de produtividade e de segurança, são a vida da planta. Isso significa que estas tecnologias operacionais rodam por muito mais tempo sem serem atualizadas. Enquanto a taxa de rotatividade de ativos de IT acontece a cada par de anos, o turnover de ativos OT pode levar 10, 20 anos ou mais.
O cenário pode ser assustador, mas não é hora para pânico. Pelo contrário, a par dos irresistíveis benefícios da digitalização e do poder de destruição de ataques cibernéticos, a indústria chega a um momento decisivo de criar uma base forte de cibersegurança.
Por onde começar
Uma ação de segurança bastante conhecida é o air-gap, método que isola um computador ou rede e impede que estabeleça conexão externa. No entanto, esse procedimento em uma lógica de OT pode interromper uma produção ou processo. Acrescente uma realidade digital e os air-gaps podem se tornar um mito na operação industrial.
Dito isso, o primeiro passo fundamental é entender o que se busca proteger. No caso, são os sistemas industriais agora conectados por serviços digitais. Então, proteções que não estão baseadas neste conceito deixam de ser prioridade.
Agora, sim, a jornada propriamente dita começa. E este início é marcado por um exercício de avaliação honesta do escopo da indústria e das necessidades de cibersegurança. Vale ponderar: O que está sendo protegido? Como está projetado o sistema? Quais ativos estão no sistema? A arquitetura do sistema suporta um mecanismo robusto de cibersegurança? Qual o elo mais fraco da rede?
Questionar te faz vasculhar os dispositivos que possui a planta e ponderar sobre a probabilidade de ataques a eles, bem como a proporção dos danos em caso de ataque.
Passado o momento de diagnóstico, é hora de desenvolver uma arquitetura de referência, ou seja, uma rede projetada com critérios, que considera zonas de proteção, barreiras que dificultam a movimentação de um invasor. E isso, por incrível que pareça, pode ser feito a partir de controles de segurança básicos. Estatísticas do Center of Internet Security (CIS) indicam ser possível se proteger contra 85% de todas as ameaças cibernéticas fazendo uso de controles básicos.
O caminho da redução de riscos
Em geral, a cibersegurança é sobre redução de riscos. Em outras palavras, é agir para reduzir probabilidade e impacto das consequências. E há um caminho para essa redução do risco.
Existem empresas que já avaliaram seus procedimentos e suas metas, mas ainda não planejaram a implementação. Outras já cobriram essas duas etapas e estão em fase de implementar os sistemas de segurança, mas ainda falta se desenvolver em manutenção dos dispositivos, na detecção, monitoramento e ritmo de resposta às ameaças. Muitas organizações ainda não possuem uma avaliação completa de sua realidade.
É importante, e até reconfortante, saber que existe um caminho a ser feito, com etapas que se complementam. Ainda assim, é possível afirmar que a máxima de toda essa jornada é preservar o bom funcionamento. Não é suficiente instalar controles, é preciso preservá-los, e isso significa treinar pessoas e exercer um papel ativo em manter o estado dos sistemas.
A preservação da cibersegurança se justifica no simples fato de que todos os dias novas ameaças se dão conhecidas e aumentam o que é chamado de superfície da vulnerabilidade. O trabalho de reduzir essa superfície é constante, e não é possível sem controles essenciais, manutenção e treinamento.
Esta é essencialmente a abordagem ABB: o primeiro nível é a verificação das vulnerabilidades do sistema e construção das proteções. Certamente há o trabalho de mitigação de ameaças com uso de sistemas de controles essenciais, mas pode haver gaps, então o nível de serviços vai preencher alguns deles e continuar trabalhando na superfície de vulnerabilidade. Sempre haverá gaps e é nesse ponto que o nível de operações entra em ação com monitoramento ativo contínuo, que busca agentes internos e externos, com uma resposta adequada às ameaças observadas. Seja qual for o nível, a vigilância constante é a chave para conter possíveis ataques.
Estamos no começo do caminho que leva à maturidade de controles industriais, algumas empresas estão alguns passos adiante, outras, atrás. Mas, em questões de cibersegurança, fazer algo é melhor do que fazer nada.