4 razões pelas quais os CISOs não podem ignorar as mudanças climáticas

A mudança climática pode não ser um problema sinônimo de segurança cibernética, mas há uma necessidade crescente de o setor de segurança reconhecer e abordar o impacto que a mudança climática está causando. Um novo relatório da Organização Meteorológica Mundial (OMM) afirmou que há 50% de chance de que, durante os próximos cinco anos, a temperatura média global da superfície exceda 1,5°C acima da média pré-industrial pela primeira vez em um ano individual.

Fatores relacionados ao clima, como mudanças nos padrões climáticos, disponibilidade de recursos e migração em massa, podem alterar as ameaças cibernéticas que organizações e governos enfrentam, introduzindo riscos novos ou elevados em um cenário já complexo.

Apesar disso, as mudanças climáticas continuam sendo um tópico de risco pouco discutido nas salas de reuniões e equipes da maioria das empresas, de acordo com Chloé Messdaghi, Consultora de Segurança Cibernética, Pesquisadora e Change Maker. “Eu me encontrei com vários executivos de segurança cibernética que ainda precisam discutir o impacto potencial das mudanças climáticas em seus negócios”, escreveu ela em um post recente no blog. “Quando a mudança climática é mencionada, geralmente é descartada. Repudiada devido a negadores da existência de mudanças climáticas ou simplesmente porque não encontraram tempo para entender os riscos potenciais”.

A mudança climática é um dos maiores desafios que o futuro do setor de segurança cibernética enfrenta, diz Messdaghi ao CSO, e o tópico deve se tornar mais importante na agenda das empresas para abordar suas implicações. Aqui estão quatro razões pelas quais o setor de segurança cibernética não pode ignorar – e deve tomar medidas para enfrentar – as mudanças climáticas.

1. Recursos críticos tornam-se alvos-chave de ataque

Um dos aspectos mais significativos das mudanças climáticas é o seu efeito sobre a acessibilidade aos principais recursos. Por exemplo, períodos de seca podem limitar o acesso à água potável, enquanto fortes tempestades podem derrubar eletricidade e gasodutos, potencialmente deixando as pessoas sem energia, aquecimento e comida. Quando esses recursos críticos são ameaçados, eles e os sistemas que os fornecem tornam-se alvos de ataques altamente atraentes para cibercriminosos mal-intencionados que buscam causar o máximo de estragos em momentos de crise.

Messdaghi cita as secas na Califórnia como um excelente exemplo. “Os recursos hídricos tornam-se muito limitados, e torna-se algo muito sagrado, que queremos proteger. Se você pensar nos atores de Estado-Nação e como eles podem querer atacar a Califórnia no futuro, a melhor maneira pode ser ir atrás de sua água limpa. Com as mudanças climáticas, o clima ficará cada vez mais severo e imprevisível, e isso significa mudanças e desafios para nossos negócios”.

Um recente comunicado conjunto de segurança cibernética já alertou sobre os adversários de ameaças persistentes avançadas (APT) usando ferramentas personalizadas para atacar sistemas de controle industrial (ICS) e dispositivos de controle de supervisão e aquisição de dados (SCADA) e, no caso de recursos-chave se tornarem limitados, aumenta a probabilidade de atores de Estado-Nação ou criminosos se aproveitarem de ataques como ransomware ou DDoS. A consultoria defendeu que as organizações no espaço implementem abordagens de segurança aprimoradas para lidar com as ameaças crescentes apresentadas aos sistemas ICS/SCADA.

2. Quedas de energia e falta de energia ameaçam a proteção da segurança cibernética

Ataques intensos direcionados a recursos e sistemas críticos não são a única preocupação de segurança associada às mudanças climáticas. Tempestades violentas e incêndios florestais induzidos por secas podem levar a quedas de energia e deixar os sistemas off-line, com a escassez de energia renovável aumentando os desafios. Os provedores de segurança que dependem de data centers para fornecer seus serviços podem não conseguir fazê-lo, deixando as organizações vulneráveis, disse ao CSO Stu Sjouwerman, CEO da KnowBe4. Os fornecedores vinculados a um local podem ter dificuldades e, portanto, é importante que as empresas invistam em fornecedores que adotem uma abordagem ágil para operações que podem ser movidas a curto prazo, acrescenta ele.

“Também é possível que a resposta de crise a um grande evento climático – como parte de uma resposta de continuidade de negócios – possa levar a cortes de segurança para restaurar os serviços mais rapidamente”, diz Andrew Barratt, Vice-Presidente da consultoria de segurança cibernética Coalfire.

3. A migração em massa aumenta os riscos de trabalho remoto

Fatores associados ao clima, como o aumento das temperaturas, estão começando a tornar alguns locais globais menos habitáveis, com condições mais extremas ameaçando desencadear a migração em massa entre cidades, estados e até fronteiras nacionais. Isso representa outra dor de cabeça potencial de segurança, e uma que já se concretizou durante a pandemia de Covid-19. Como os últimos dois anos mostraram, quando um grande número de pessoas é forçado a se mudar repentinamente, isso pode atrapalhar os padrões de trabalho estabelecidos e forçar os indivíduos a adotar hábitos remotos e mais arriscados, como usar conexões de Internet, dispositivos e pontos de acesso de rede menos seguros para o trabalho.

As organizações tiveram uma “boa corrida” para lidar com isso durante a pandemia, onde o trabalho remoto/híbrido se tornou uma tendência, diz Messdaghi, mas ainda é um problema a ser reconhecido no futuro, à medida que os padrões de trabalho mais estabelecidos retornam. “Trata-se de ter um processo de autenticação e identidade ágil e confiável, onde você possa visualizar e ver de onde as pessoas estão se conectando e garantir que você tenha todas as precauções possíveis para eliminar riscos potenciais”, acrescenta ela.

4. Surgem desafios financeiros e logísticos relacionados ao clima

A mudança climática também está criando novos desafios financeiros e logísticos para as organizações, à medida que a segurança se esforça para acompanhar as demandas de ameaças, diz Peter Lowe, Principal Pesquisador de Segurança da DNSFilter. “À medida que os agentes de ameaças em todo o mundo se tornam mais profissionais e organizados, nossos preparativos, defesas e respostas precisam acompanhar, e tudo isso significa mais recursos dedicados à segurança cibernética. Com as mudanças climáticas elevando os preços da energia e impondo restrições geográficas, nossas escolhas de como alocar recursos estão sendo limitadas, então, além de manter o nível técnico, novos desafios logísticos e financeiros começam a aparecer. Novas tecnologias e defesas de segurança cibernética devem ser cuidadosamente ponderadas sobre como elas são decididas”.

Isso significa que é necessário mais cuidado e atenção em relação a onde o dinheiro é gasto e na seleção das opções com o menor impacto ambiental, o que pode tornar o processo de pesquisa do fornecedor mais longo e mais caro, acrescenta Lowe. “A seleção do data center e as implantações da força de trabalho precisam considerar onde a energia renovável está sendo produzida e qual é o impacto no ambiente local. Os centros das cidades ou outras áreas com altos níveis de poluição precisam ser evitados, e trabalhadores remotos de regiões com menor pegada ambiental devem ser considerados, mesmo que custem mais ou sejam menos convenientes”.

As cadeias de suprimentos também são um fator integral a ser considerado, tanto do ponto de vista da resiliência com possíveis interrupções mais prováveis a partir de eventos de mudança climática, mas também do ponto de vista do impacto ambiental, diz Lowe.

O papel da cibersegurança no combate às mudanças climáticas

O fornecedor de segurança cibernética Rapid7 estabeleceu seu próprio Comitê de Sustentabilidade Ambiental em 2020. Raj Samani, Vice-Presidente Sênior e Cientista-Chefe da Rapid7, diz ao CSO que o setor de segurança cibernética, como parte da indústria de tecnologia mais ampla, deve abordar as mudanças climáticas. “A mudança climática não é mais um problema para o qual as indústrias de tecnologia e segurança cibernética podem fechar os olhos. A indústria já teve impacto nas mudanças climáticas, sendo a indústria de TIC responsável por cerca de 2% a 4% das emissões globais de carbono. Além disso, não são apenas as emissões de carbono que a indústria está produzindo, mas também o alto uso de energia. Por exemplo, o uso de eletricidade do setor é estimado em 7% e a criptomoeda tem uma demanda de 0,55% para a produção de eletricidade.

As demandas por tecnologia estão aumentando e se torna responsabilidade do setor fazer algo, acrescenta Samani. “O setor de tecnologia tem a oportunidade de liderar mudanças; um relatório da União Internacional de Telecomunicações mostrou que a tecnologia pode ajudar a monitorar o clima, apoiar a segurança alimentar e impedir o desmatamento”.

O setor de segurança cibernética não deve subestimar seu poder de impulsionar mudanças, e existem medidas que podem ser implementadas para resolver problemas relacionados ao clima, diz Samani. “As organizações precisam medir as principais emissões de gases de efeito estufa (GEE), para que os líderes empresariais possam identificar quais departamentos têm o maior impacto nas mudanças climáticas. Uma revisão regular das emissões de GEE permitirá que o setor de segurança cibernética reduza as atividades intensivas em carbono e melhore a eficiência energética e a aquisição de energias renováveis”.

Os escritórios devem ter metas, práticas e métricas para criar espaços de trabalho mais sustentáveis, como auditorias de resíduos na sede e grandes escritórios para medir a redução de resíduos, além de proibir itens de uso único para ajudar a reduzir aterros sanitários, diz Samani.

As mudanças já parecem estar acontecendo no setor, com a empresa britânica de serviços de segurança cibernética Bridewell anunciando recentemente que se tornou negativa em carbono, tornando-se a primeira organização de segurança cibernética do Reino Unido a alcançar a neutralidade de carbono de acordo com padrões reconhecidos. A empresa disse que atingiu a neutralidade de carbono por meio de uma combinação de iniciativas, incluindo uma mudança para energia renovável, compensação e projetos climáticos, afirmando que deseja que sua jornada funcione como um modelo para aqueles que buscam impulsionar melhorias de sustentabilidade e que está compartilhando suas experiências com outras empresas e clientes com ideias semelhantes para ajudar a incorporar a sustentabilidade em suas estratégias de segurança cibernética.