Como a transformação digital deixou as estações de energia vulneráveis ​​a ataques

A transformação digital da tecnologia operacional (OT) para monitoramento e controle de processos físicos introduziu novos pontos cegos e ampliou outros, tornando os sistemas de controle industrial (ICS) suscetíveis a ataques do Estado-nação.

Já vimos ataques terroristas que priorizam a violação de uma usina em vez de alvejar uma área densamente povoada com armamento militar. Considere o ataque à rede elétrica em dezembro de 2015 que manteve mais de 230.000 pessoas no escuro no oeste da Ucrânia por mais de seis horas. O país culpou a Rússia pelo ataque. Doze meses depois, o sistema de energia foi atacado mais uma vez, desta vez afetando uma grande parte da capital Kiev. Uma distribuidora de energia em Porto Rico sofreu um ataque cibernético de negação de serviço em junho deste ano, causando apagões de centenas de milhares de residentes, antes que um incêndio devastasse a subestação.

Não é rebuscado pensar que um ataque a um estado-nação poderia ter como objetivo causar um blecaute de semanas em uma grande cidade como Nova York. Na verdade, os especialistas acreditam que algo nesse reino provavelmente ocorrerá.

Um relatório do Ponemon Institute patrocinado pela Siemens descobriu que 56% dos profissionais de segurança de OT pesquisados ​​relataram pelo menos um ataque envolvendo a perda de informações privadas ou uma interrupção em seu ambiente de OT nos últimos 12 meses.

Como esses tipos de ataque se tornaram tão populares? E o que precisa ser feito para promover um ambiente de OT mais seguro?

A Quarta Revolução Industrial

As concessionárias estão se modernizando em busca de ganhos de eficiência e produtividade. Alcançar esses objetivos significa digitalizar e automatizar muitos processos que antes eram feitos internamente e manualmente. Essa transição está ocorrendo tão rapidamente que a segurança é deixada de lado.

A rápida revisão digital dos processos industriais, amplamente conhecida como a Quarta Revolução Industrial, está colocando mais sistemas e processos online. Isso cria inerentemente mais pontos de entrada em potencial para os atores da ameaça e, com tantos setores fazendo isso ao mesmo tempo, há uma oportunidade maior para um ataque mais consequente.

Nas décadas anteriores, os datacenters e mainframes que executam os componentes do ICS eram "bloqueados", o que significa que os sistemas de TI estavam em uma rede local, mas não conectados à Internet. Muitas instalações pensaram erroneamente que isso tornava seus sistemas protegidos contra ataques, mas ainda eram vulneráveis ​​a ataques locais, como um ataque “bash bunny”, que poderia comprometer um sistema com um vírus por meio de um dispositivo USB.

Esse foi o caso no Irã, quando a usina nuclear de Bushehr foi atacada com o worm Stuxnet. Introduzido na rede por meio de uma unidade flash, o Stuxnet se espalhou para infectar outros ativos da rede, como as centrífugas usadas para enriquecer o gás de urânio.

À medida que mais serviços públicos e instalações de OT correm para colocar seus sistemas online, eles não alocaram recursos adequados para a segurança como uma das etapas do processo. Quanto mais equipamentos legados estiverem conectados e dispositivos de Internet das coisas (IoT) adicionados, maior será a superfície de ataque para os possíveis agentes de ameaças.

Os atores de ameaças estão evoluindo

Ampliando a questão da segurança frouxa estão as formas cada vez mais criativas e sofisticadas pelas quais os agentes de ameaças exploram as organizações. Na verdade, nem sempre são eles que se infiltram na rede.

De acordo com o estudo do Ponemon Institute, ameaças internas representam a maioria dos ataques OT. Um dos mais notáveis ​​foi em 1999, no então condado de Maroochy da Austrália. Um trabalhador descontente que gerenciava os encanamentos de esgoto pediu demissão e, pouco depois, explorou o sistema por meio de uma cópia pirata do software do sistema de controle.

Ameaças internas nem sempre são funcionários mal-intencionados; usuários negligentes costumam ser vítimas de ataques de phishing, usam senhas fracas e clicam em links que dão acesso a hackers. Outro vetor comum é um terceiro ou empreiteiro que abre uma porta para a rede e leva à exploração. No ataque à cadeia de suprimentos da Kaseya, a gangue de ransomware REvil obteve acesso a centenas de empresas por meio de uma atualização de software. Terceiros geralmente não são seguros e as empresas não devem presumir que sim.

O Gartner tem sido otimista quanto à segurança de OT e alertou que as organizações industriais estão lutando para definir estruturas de controle adequadas. O Gartner também diz que em 2025, os invasores “terão ambientes OT como arma para ferir ou matar humanos com sucesso”.

Muitas empresas estão tão profundamente enraizadas em seus processos nas últimas décadas que não veem esses hacks, violações e ataques das manchetes como ameaças a si mesmas. Eles não querem consertar o que, em suas mentes, não está quebrado. Na verdade, eles nem mesmo veem o potencial para que ele seja quebrado até que quebre.

Uma nova abordagem para proteger OT

As empresas precisam de visibilidade adequada em suas redes e uma compreensão abrangente até o nível de ativos individuais, incluindo como esses recursos e usuários se conectam entre si e com as redes como um todo. Freqüentemente, aqueles que finalmente se aprofundam nos detalhes de suas redes encontrarão ativos fantasmas dos quais não tinham conhecimento. Esses são problemas de segurança que você precisa resolver antes de serem explorados.

O primeiro passo que as empresas podem dar para se proteger melhor é simplesmente educar os funcionários sobre a higiene de segurança adequada com um treinamento abrangente de segurança. Muitas vezes, as empresas que destacam a segurança o fazem de maneira aleatória, com uma apresentação rápida de slides e nenhum acompanhamento dos funcionários quanto à importância do que acabaram de aprender.

A principal prioridade sempre será a eficácia e a funcionalidade das máquinas OT, mas se elas estão sob ataque, de que servem? Educar os funcionários sobre o que procurar e como os ataques comuns se tornaram pode ser de grande ajuda.

Um funcionário observador evitou o desastre em março de 2021, quando o sistema de água em Oldsmar, Flórida, foi hackeado e o nível de hidróxido de sódio aumentou por um agente ameaçador a um nível perigoso. Felizmente, um engenheiro estava por dentro da situação, percebeu a mudança e rapidamente reconheceu que era um ataque e não apenas um defeito.

Em outubro, estações em todo o Irã foram forçadas a fechar. O país disse que a culpa foi de um ataque cibernético e teve como alvo cartões eletrônicos emitidos pelo governo que subsidiam os preços dos combustíveis para os iranianos.

Para se proteger contra ataques como esses, as empresas precisam de visibilidade total de suas redes, permitindo que vejam todos os ativos que estão conectados e vulneráveis. Mas esse é apenas o primeiro passo. Existem ferramentas de segurança OT abrangentes disponíveis que fornecem alertas sobre as máquinas ICS não apenas para ações de segurança, mas também sinais de alerta de produtividade. Os controles de segurança adequados oferecerão visibilidade e recursos de resposta para a rede OT sem afetar as operações diárias ou fazer alterações substanciais na rede.

As tecnologias passivas podem monitorar a atividade sem afetar as redes OT sensíveis de nenhuma forma, ao contrário das plataformas disruptivas e “em linha”. A plataforma passiva certa será capaz de atender a altas taxas de transferência e garantir taxas mínimas de falsos positivos.

Utilizar novas ferramentas pode ser assustador para executivos de carreira de OT que relutam em mudar processos comprovados, mas é melhor estar preparado do que viver com medo de um ataque potencial que cause danos generalizados para a empresa e seus consumidores.

Elad Ben-Meir é CEO da SCADAfence.