Segurança ICS, Dispositivos Médicos e o bicho-papão acidental

Marcapassos invadidos, bombas de insulina, carros, instalações industriais, satélites e redes elétricas violadas ... Há anos, pesquisadores de segurança cibernética têm alertado sobre a possibilidade de hackers de chapéu preto ferirem ou matarem pessoas por meio de seus exploits - geralmente com demonstrações de como poderiam fazer isso.

Mas o grau de sensacionalismo que muitas vezes acompanha o tópico pode obscurecer o verdadeiro nível de risco, enquanto faz pouco para ressaltar o nível de risco de vetores de ataque comuns e vulnerabilidades, como sistemas operacionais desatualizados, software sem patch ou com erros, redes mal configuradas e semelhantes.

Em geral, o nível de risco cibernético é alto com sistemas de controle industrial, que são usados ​​para uma variedade de aplicações, desde o controle de satélites a equipamentos de óleo e gás e equipamentos de automação em fábricas. Existem relatos de sabotagem de computadores causando caos que remonta a décadas. Verdade, é difícil verificar, digamos, se os Estados Unidos implantaram malware Trojan em equipamentos de computação usados ​​para controlar o fluxo de gás em um gasoduto Transiberiano, provocando uma explosão massiva. Thomas C. Reed, um ex-secretário da Força Aérea na administração Reagan, afirmou isso no livro “At the Abyss”.

[ Mundo da Internet das coisas é a intersecção de indústrias e inovação de IoT. Reserve o seu passe de conferência e economize $ 350, ganhe um passe gratuito para a exposição ou veja o Alto-falantes de segurança IoT no evento.]

Mas os ataques a sistemas industriais conectados são comuns agora. Vários fornecedores de cibersegurança, da IBM Managed Security Services à Kaspersky Lab, rastrearam um aumento nos ataques de segurança ICS nos últimos anos. Somente em março, a Norsk Hydro, uma das maiores produtoras de alumínio do mundo, lutou contra a produção cibernética em operações na Europa e nos Estados Unidos.

Para lidar com o problema, a gigante industrial Siemens e a TÜV SÜD, a empresa internacional de testes, inspeção e certificação, uniram forças no que chamam de “uma nova abordagem para proteção e segurança digital”. “Os ataques contra ambientes industriais estão aumentando em um ritmo exponencial”, disse Leo Simonovich, vice-presidente e diretor global de segurança digital e cibernética industrial da Siemens. “No entanto, ao contrário de TI, onde a principal preocupação é a perda de dados, os ataques cibernéticos direcionados à tecnologia operacional podem levar a um desligamento potencial ou pior.” As duas empresas irão, portanto, colaborar para oferecer o que estão chamando de “avaliações de segurança e proteção digital” para ajudar os clientes de energia, em particular, a avaliar e gerenciar o risco cibernético.

Simonovich apontou para o malware Triton potencialmente catastrófico, que a empresa de segurança cibernética Dragos descobriu na Arábia Saudita em 2017. Pesquisadores encontraram recentemente o código em uma segunda instalação.

“O que foi notável sobre o ataque [Triton] foi a facilidade com que os invasores passaram de TI para OT para sistemas de segurança”, disse Simonovich.

Na verdade, este é um tema recorrente em todos os setores onde as violações de segurança cibernética representam um risco potencial à segurança. Apesar de todas as pesquisas que demonstram tipos de ataques esotéricos e muitas vezes limítrofes implausíveis em eventos de segurança cibernética, é fácil ignorar o risco representado por, digamos, um computador Windows XP “air-gap” ou malware datado como Kwampirs, um trojan descoberto em 2015, ou Conficker, descoberto pela primeira vez em 2008. Embora os hackers possam, digamos, modificar tomografias para criar células cancerosas falsas, como os pesquisadores demonstraram, é mais provável que um hospital seja atingido por um tipo de ataque comum ou por um paciente com marca-passo vai acabar na mira de um ciber-assassino. “As pessoas sempre riem quando digo:‘ Embora eu me considere um especialista em segurança cibernética, existem maneiras mais fáceis de prejudicar as pessoas ”, disse Stephanie Preston Domas, vice-presidente de pesquisa e desenvolvimento da MedSec. “Todas essas façanhas sofisticadas projetadas contra dispositivos médicos não estão apontando para o problema real. O verdadeiro problema é que coisas como Kwampirs ainda funcionam. Coisas como o Conficker ainda funcionam. ”

E há WannaCry, o ataque de ransomware de 2017 que a Europol disse não ter precedentes em seu escopo. Afetando cerca de 200.000 computadores, o WannaCry afetou instalações industriais e médicas. A Nissan teve que interromper a produção em uma instalação no Reino Unido. A Renault foi forçada a interromper a produção em vários locais. A companhia ferroviária alemã Deutsche Bahn foi a vítima. Um malware semelhante, o Notpetya, causou danos no valor de milhões de dólares ao gigante marítimo Maersk.

Mas, por maior que tenha sido o impacto de segurança do ICS, o WannaCry também teve um impacto descomunal no Serviço Nacional de Saúde do Reino Unido, resultando em danos de quase £ 100 milhões, levando ao cancelamento de 19.000 consultas médicas.

É possível que o WannaCry, ou um ataque similar a uma mercadoria, possa levar à morte ou ferimentos, digamos, atrasando uma cirurgia cardíaca, embora seja geralmente difícil provar uma conexão direta, disse Leon Lerman, CEO da Cynerio.

Ataques como WannaCry também ilustram o risco de explorações desenvolvidas por estados-nação que vazam e involuntariamente capacitam adversários para atacar os EUA e aliados. WannaCry e NotPetya usaram um exploit conhecido como EternalBlue, que a Agência de Segurança Nacional dos EUA provavelmente desenvolveu. O New York Times relatou recentemente que agentes de inteligência chineses usaram "partes essenciais do arsenal de segurança cibernética [dos Estados Unidos]" para realizar ataques. A propósito, o artigo também relata que o sofisticado malware Stuxnet desenvolvido pela NSA, usado para visar centrífugas nucleares iranianas, causou danos a empresas dos EUA, incluindo a Chevron.

Domas está mais preocupado com malware genérico ou simples descuido desempenhando um papel em ataques cibernéticos com consequências para a segurança. “Ainda vejo muito sensacionalismo focado nos bandidos, causando danos aos pacientes”, disse ela. “Eu adoraria ver mais uma mudança no sentido de compreender que, se o dano ao paciente aconteceu [como resultado de um ataque cibernético], provavelmente foi acidental. Provavelmente é um efeito colateral de outra coisa que eles estavam tentando fazer no sistema. ”

Os pesquisadores que examinam ataques cibernéticos a sistemas de controle industrial observam um padrão semelhante, disse Simonovich. “A maioria tem algum nível de erro humano associado à violação”.

Por outro lado, o código de software defeituoso em sistemas industriais e dispositivos médicos é um assunto intimamente relacionado à segurança e à cibersegurança. A recente saga sobre o Boeing 737 MAX ressalta esse ponto. Escrevendo sobre o problema, o especialista em segurança Bruce Schneier escreveu:“Tecnicamente, isso é proteção e não proteção; não houve atacante. Mas os campos estão intimamente relacionados. ”

Domas concorda com esse sentimento, citando, por exemplo, o caso de um funcionário de um hospital que fez com que uma máquina de anestesia travasse de forma anormal após conectar um telefone celular a ela. É fácil ignorar o risco de tais ocorrências cotidianas, que não envolvem um ciberataque.

Da mesma forma, os tipos de manchetes de segurança do ICS e histórias de dispositivos médicos que tendem a obter a maior cobertura da mídia tornam mais fácil ignorar o risco de ameaças internas. Mas “as ameaças internas constituem a esmagadora maioria dos [ataques no setor industrial]”, disse Simonovich.

Em última análise, para ajudar a lidar com o risco em ambientes médicos e industriais cada vez mais conectados, as pessoas que trabalham neles precisam entender claramente o risco que esses sistemas conectados podem representar, sejam explorados propositalmente ou inadvertidamente. “Acho que as pessoas que entendem de tecnologia estão se tornando mais conscientes, mas realmente não vejo um grande aumento na compreensão ou apreciação pelas pessoas que não são.”

E então, o tópico de avaliar o gerenciamento de risco pode ser terrivelmente difícil. Um dos modelos de ameaça, que é um subconjunto do gerenciamento de risco. “Mas porque existem tantos riscos cibernéticos em qualquer sistema, e você não pode consertar todos eles”, disse Domas. “É por isso que você tem que combiná-lo com coisas como modelagem de ameaças e descobrir quais são aqueles com os quais você precisa se preocupar mais”, acrescentou ela. “Honestamente, muitas vezes, você encontra coisas que aparecem aos poucos em seu sistema de classificação e diz:‘ Quer saber? Aceito esse risco e você não faz nada para corrigi-lo, embora saiba que há um problema de segurança cibernética nisso ”, disse Domas. “Você tem que traçar uma estratégia. Você não pode consertar tudo. ”