Ataques a infraestruturas críticas podem se tornar mortais e custar bilhões às empresas, alertam analistas

Assim como com a pandemia, os ataques cibernéticos se tornaram mais frequentes e cada vez mais sofisticados e prejudiciais a pessoas e empresas, analistas do Gartner avaliam que os níveis de ataque podem se tornar ainda mais críticos. Segundo a consultoria, os hackers poderão transformar sistemas operacionais em armas que podem ferir ou matar humanos em 2025. Além dos riscos à vida, o Gartner estima que esse tipo de ataque pode custar até US$ 50 bilhões às empresas.

Ataques a OT se tornaram mais comuns e evoluíram de uma interrupção imediata do processo, como o desligamento de uma fábrica, para o comprometimento da integridade dos ambientes industriais com a intenção de causar danos físicos. Eventos recentes, como o ataque de ransomware contra a Colonial Pipeline, nos Estados Unidos, destacaram a necessidade de ter redes devidamente segmentadas para TI e OT. Ataques assim também podem comprometer equipamentos médicos eletrônicos ou infraestruturas físicas, por exemplo.

De acordo com o Gartner, os incidentes de segurança em OT e outros sistemas ciberfísicos (CPS) têm três motivações principais: dano real, vandalismo comercial (produção reduzida) e vandalismo de reputação (tornando um fabricante instável ou inseguro).

“Em ambientes operacionais, os líderes de gerenciamento de segurança e risco devem se preocupar mais com os perigos do mundo real para os humanos e o meio ambiente, em vez do roubo de informações”, disse Wam Voster, diretor de Pesquisa Sênior do Gartner. “Consultas com clientes do Gartner revelam que organizações em setores com uso intensivo de ativos, como manufatura, recursos e serviços públicos, lutam para definir estruturas de controle apropriadas”.

O Gartner prevê que o impacto financeiro dos ataques CPS resultando em vítimas fatais chegará a mais de US$ 50 bilhões até 2023. Mesmo sem levar em conta o valor da vida humana, os custos para as organizações em termos de compensação, litígio, seguro, multas regulatórias e perda de reputação serão significativos. O Gartner também prevê que a maioria dos CEOs será pessoalmente responsável por tais incidentes.

Para evitar esse tipo de ataque, o Gartner sugere que as organizações tomem medidas práticas de prevenção, tais quais:

• Nomear um gerente de segurança da OT para cada instalação, responsável por atribuir e documentar funções e responsabilidades relacionadas à segurança para todos os trabalhadores.
• Garantir treinamento e conscientização adequados a todos os funcionários da OT.
• Garantir que cada instalação implemente e mantenha um processo de gerenciamento de incidentes de segurança específico de OT.
• Certificar de que os procedimentos adequados de backup, restauração e recuperação de desastres estejam em vigor.
• Criar uma política para garantir que todas as mídias portáteis de armazenamento de dados, como pen drives e computadores portáteis sejam verificados.
• Garantir que o gerente de segurança mantenha um inventário continuamente atualizado de todos os equipamentos e softwares OT.
• Garantir que as redes OT estejam fisicamente ou/e logicamente separadas de qualquer outra rede, tanto interna quanto externamente; todo o tráfego de rede entre um OT e qualquer outra parte da rede deve passar por uma solução de gateway seguro como uma zona desmilitarizada (DMZ) e as sessões interativas para OT devem usar autenticação multifator para autenticar no gateway.
• Políticas ou procedimentos apropriados devem estar em vigor para registro automatizado e revisão de eventos de segurança reais e potenciais.
• Implementar um processo de configuração seguro, que deve ser desenvolvido, padronizado e implantado para todos os sistemas aplicáveis. O software de segurança de endpoint, como anti-malware, deve ser instalado e ativado em todos os componentes do ambiente OT que o suportam.
• Implementar um processo para que os patches sejam qualificados pelos fabricantes de equipamentos antes da implantação. Depois de qualificados, os patches só podem ser implantados em sistemas apropriados com uma frequência pré-especificada.