Empresas que operam com sistemas de missão crítica aumentaram substancialmente sua preocupação com defesa cibernética nos últimos 5 anos aqui no Brasil, mas foi suficiente?

“Blindar, isolar ou garantir um ecossistema de digitalização (como acontece em ambientes IoT ou de automação avançada) 100% seguro é uma utopia, porém é possível auferir graus de proteção que podem ajudar a detectar, monitorar e responder a um ciberataque com maior velocidade e com redução considerável de danos caso ele venha a acontecer.

Conversamos sobre as vulnerabilidades existentes em serviços públicos com Julio Oliveira da gerente de tecnologia da Hitach ABB Power Grids.

Crypto ID: Logo no início de 2021 a estatal paranaense Copel e a Eletronuclear, subsidiária da Eletrobrás, sofreram um ataque hacker, conforme artigo do Jornal O Globo.

Você teve conhecimento e poderia comentar qual foi a vulnerabilidade explorada para o ataque e como resolveram?

Julio Oliveira: Temos conhecimento sobre os ataques sofridos por ambas as empresas, mas não em relação aos detalhes e falhas exploradas. Entretanto, sabe-se que em ambos os casos não houve comprometimento de sistemas que operacionalizam o fornecimento de energia (a extensão do ataque limitou-se a algumas funcionalidades da rede corporativa).

De qualquer forma, é fato que as concessionárias vêm rapidamente se tornando alvo de ciberataques cada vez mais sofisticados – e observando um aspecto mais abrangente, um ponto que pode-se destacar é como os acessos às redes corporativas são feitos pelos funcionários que estão trabalhando fora da base da companhia.

Sabe-se que o uso de VPN e técnicas de criptografia não aplicadas em todos os cenários (seja por concessionárias ou por outras grandes corporações que variados setores) para estes acessos, permitindo a exploração de vulnerabilidades por parte dos crackers.

Crypto ID: Também em dia 9 de fevereiro, nós publicamos o artigo sobre a tentativa envenenamento, por meio de um ataque hacker na usina de abastecimento de água de Oldsmar. Você vê similaridade entre o ataque da Flórida e do Paraná uma vez que ambos tratam de infraestrutura crítica?

Julio Oliveira: Não há uma similaridade direta a não ser por ambos os ataques terem como alvo duas concessionárias. As superfícies de ataque foram diferentes, no caso da Florida, o cracker (ou o grupo destes indivíduos) conseguiram penetrar na rede de OT e por muito pouco não causaram um evento de graves consequências para a população devido a um acesso remoto realizado pelo(s) atacante(s). No cenário do Paraná, o ataque se limitou a rede de IT.

Crypto ID: Você considera que as empresas com operações críticas que envolvem, por exemplo, serviços de consumo como água, eletricidade e gás, estão preparadas para tecnologias como Internet das coisas r inteligência artificial?

Julio Oliveira: É notório que as empresas que operam com sistemas de missão crítica aumentaram substancialmente sua preocupação com defesa cibernética nos últimos 5 anos aqui no Brasil.

Podemos observar que há países com um nível de maturidade maior neste quesito como é o caso dos EUA e de algumas nações europeias, mas no território nacional este quadro começou a mudar muito em virtude das técnicas de indústria 4.0 que vem sendo aplicadas para melhorar o nível de automação e permitir que os sistemas digitalizados se tornem cada vez mais inteligentes e eficazes, e quanto mais estas aplicações avançam,  maior é a necessidade do uso de políticas de segurança da informação e cibersegurança.

Mas ainda há muito o que fazer para proteger estes ativos, principalmente no que concerne na compreensão que investimentos para este propósito podem evitar problemas de disponibilidade dos serviços prestados e de imagem em um futuro próximo.

Crypto ID: Como assegurar a adoção de tecnologias como IoT e IA e manter os Sistemas de Controle – ICS – Industrial Control Systems blindados de ações hackers?

Julio Oliveira: Blindar, isolar ou garantir um ecossistema de digitalização (como acontece em ambientes IoT ou de automação avançada) 100% seguro é uma utopia, porém é possível auferir graus de proteção que podem ajudar a detectar, monitorar e responder a um ciberataque com maior velocidade e com redução considerável de danos caso ele venha a acontecer.

Para ajudar nessa árdua e especializada tarefa estão disponíveis frameworks de proteção para os ICS (como as recomendações do NIST americano) e recursos previstos em normas internacionais como a IEC 62351 e IEC 62443 e a própria ISSO 27000.

Estes documentos e frameworks de apoio abordam assuntos que vão desde a governança da segurança da informação até as técnicas de cibersegurança como hardening e sugestões para a definição de perímetros de uma rede OT. Todo este conjunto de ações ainda deve ser aliado a um tema de extrema relevância para que elas tenham êxito: A consciência organizacional e o apoio dos gestores em todos os níveis sobre a necessidade de proteger os ativos, os seus dados e os sistemas que os interconectam.  

Crypto ID: Voltando para incidente envolvendo o setor de energia elétrica no Brasil, o que o modelo de subestação digital contribui para mitigar novos incidentes e blindar a OT – Tecnologia Operacional?

Julio Oliveira:  As subestações digitais são compostas por um conjunto de soluções de indústria 4.0, a saber:

– Redes Ethernet de missão crítica;

– Digitalização do pátio as subestação;

– Digitalização da sala de controle;

– Recursos avançados de monitoramento e supervisão;

– Redução de footprint;

– Redução de riscos operacionais.

– Aumento do nível da telemetria da subestação, em termos qualitativos e quantitativos.

Sobre todas essas camadas, podemos e devemos considerar “aplicações de técnicas de cibersegurança”. As subestações digitais contribuem para a formação de um Grid 4.0 na transformação digital na área de energia, e assim como outros sistemas digitais, precisam contar com um plano de proteção de suas arquiteturas de comunicação e operação. 

Crypto ID: O Crypto ID dificilmente aborda diretamente temas envolvendo investimentos. Procuramos sempre apresentar conteúdo técnico que contribua com estudos de adoção de tecnologias de segurança da informação de modo geral. Porém, nos casos específicos de ataques às infraestruturas públicas de abastecimento é importante falamos de valores envolvidos uma vez que um ataque bem sucedido pode causas prejuízos incalculáveis. Você poderia nos falar sobre essa relação: falta de investimento em tecnologia vs riscos de ataques?

Julio Oliveira: Como analogia, embora sejam business diferentes, podemos elencar como as instituições financeiras (bancos) se prepararam por anos para proteger seus sistemas, com investimentos significativos para implementar os seguintes aspectos:

– Estruturas complexa de firewalls e honeypots;

– Sistemas de gestão da segurança da informação (SGSI);

– Contratação de mão de obra especializada e estabelecimento da carreira de DPO;

– Planos avançados de contigência (backup & restore);

– Uso de normas e frameworks de trabalho para cibersegurança;

– DevSecOps;

– Simulações e testes de situações de crise;

– Treinamentos para as equipes com diferentes focos.

Estes elementos tem um custo, uma demanda por investimentos. Estas instituições atingiram um nível de maturidade tal que reconhecem os danos que podem se originar em um ciberataque se a organização não estiver preparada – e continuam a investir.

As utilities ainda estão distantes em relação a este comportamento, mas esta conscientização vem aumentando, e devemos apontar este fato como algo positivo. Como mencionado antes, quanto maior o nível de inteligência, digitalização e integração dos sistemas (e desde que bem planejados, será maior o benefício decorrente), maior é a necessidade de defesa cibernética.  Como são ramos de atividade distintas, não espera que as utilities adotem exatamente os mesmos frameworks dos bancos, mas há experiências que devem ser observadas e adaptadas para o contexto.

Hack de água na Flórida destaca os riscos de trabalho de acesso remoto sem segurança adequada

Tentativa de hacker de envenenar a água de cidade da Flórida expõe fragilidade de segurança OT

CEO da Stefanini Rafael recomenda que empresas públicas e privadas tenham estratégias de segurança cibernética

Aplicativos móveis estão vigiando você

Sobre Hitachi ABB Power Grids é líder global em tecnologia com uma herança combinada de quase 250 anos, empregando cerca de 36.000 pessoas em 90 países. Com sede na Suíça, a empresa atende clientes de serviços públicos, indústria e infraestrutura em toda a cadeia de valor e áreas emergentes como mobilidade sustentável, cidades inteligentes, armazenamento de energia e data centers. Com um histórico comprovado, pegada global e base instalada incomparável, Hitachi ABB Power Grids equilibra valores sociais, ambientais e econômicos, e está comprometida em fornecer energia para um futuro de energia sustentável, com tecnologias pioneiras e digitais, como o parceiro de escolha para habilitar uma grade mais forte, mais inteligente e mais verde.