16 minute read
Ataques cibernéticos – Alerta! Quebrando o código
César Cassiolato President & CEO at Vivace Process Instruments
O mundo mudou!... Na verdade, o mundo vive em constante mudança e, atualmente, de forma mais acelerada, com a transformação digital. Há alguns anos, a internet se confirmou com uma grande revolução. No entanto, junto da Internet e das demais redes de comunicação virtuais, as ameaças também se intensificaram.
Tanto na vida pessoal quanto nas organizações, tivemos de nos adaptar às novas rotinas, mas também tivemos e temos de nos manter alertas, quanto à segurança, dados, privacidade, e a chamada gestão de riscos.
Os avanços digitais, se, por um lado, trazem melhorias, agilidades, performance etc., por outro, criam novas formas de vulnerabilidades, que são exploradas maliciosamente.
Infelizmente, em uma grande maioria das empresas, a cibersegurança segue sendo ignorada, ou tratada sem prioridade, mas fato é que já se veem, na imprensa, vários ataques cibernéticos às mais diversas naturezas de negócios, comprovando a vulnerabilidade nos sistemas.
Ataques cibernéticos em pessoas físicas já causam estragos, porém, quando ocorrem na indústria, os prejuízos podem ser difíceis de dimensionar. Com a maior digitalização das indústrias, e o advento da Indústria 4.0, estes ataques também estão rapidamente evoluindo, e se tornando perigosos e intangíveis, até que aconteçam. Com os avanços da Indústria 4.0, vêm novos desafios, dentre eles, a segurança cibernética. Garantir a segurança na indústria passa a ser uma necessidade primordial para garantir a credibilidade, sustentabilidade dos negócios, e o perfeito funcionamento da cadeia produtiva.
Ataques cibernéticos são ameaças invisíveis e indiscrimináveis. As consequências podem ir, desde o lado financeiro, roubo de informações, sabotagem da produção, contaminação de produtos, acidentes ambientais, perdas de patrimônio, etc. A segurança cibernética se tornou fundamental para garantir a tranquilidade social, política e econômica.
Se analisarmos a indústria de petróleo e gás, que sempre é pioneira em tecnologia, e passa por grandes mudanças tecnológicas, é fundamental estar atento aos riscos de segurança cibernética, que vem aumentando e, globalmente, este segmento vem sofrendo um aumento substancial de ataques dessa natureza.
A transformação digital do setor de petróleo e gás vem trazendo uma série de benefícios: a conectividade entre equipamentos, o uso de drones, a inteligência artificial, entre outras tecnologias, que propiciam muitos ganhos em termos de produtividade, eficiência e segurança. A digitalização e o monitoramento remoto na indústria de petróleo e gás offshore tem sido uma inovação, com resultados operacionais interessantes. No entanto, esses avanços tornaram as plataformas de perfuração offshore mais vulneráveis a ataques cibernéticos. Onde os sistemas são instalados de forma tradicional, isolados e desconectados, limitando o sucesso do cyber hacker, o aumento no monitoramento remoto e controle autônomo, IOT e digitalização tornou as plataformas muito mais suscetíveis a ataques. Ou seja, a indústria de óleo e gás não está indiferente, nem imune, aos ataques, e vem promovendo muitas palestras de conscientização, e distribuindo comunicados aos colaboradores, disseminando cuidados, para evitar ataques. Os sistemas atuais que interconectam equipamentos, refinarias e plataformas possuem uma alta vulnerabilidade de ataque.
O aumento percentual de computadores atacados no setor de petróleo e gás pode ser rastreado até o desenvolvimento de diversos worms (programas maliciosos que se autorreplicam no dispositivo infectado), escritos em linguagens de script, especificamente o Python e o PowerShell. Esses worms são capazes de coletar credenciais de autenticação da memória de processos do sistema.
Grande parte das estatísticas apresentadas por especializadas em tecnologia e cibersegurança apontam que vulnerabilidades conhecidas, e amplamente divulgadas em aplicações, sistemas operacionais e frameworks, constituem a principal fonte de ataques cibernéticos bem-sucedidos.
Nem sempre os ataques cibernéticos bem-sucedidos são resultados da falta de cuidado de uma organização. Às vezes, o sucesso se refere à “agilidade” dos cibercriminosos, que estão cada vez mais “profissionalizados”, e operando com base em soluções técnicas avançadas, e dotadas de inteligência artificial. Vale comentar que o perfil dos hackers mudou nos últimos anos, e hoje, são responsáveis por crimes que movimentam bilhões de dólares, todos os anos, e que, em sua grande maioria, visam a obter lucros para suas organizações criminosas. Estas organizações trabalham com vários objetivos, onde podemos citar, espionagem, sabotagem, desestabilização e financeiros.
Em termos de sistemas de controle e instrumentação, mesmo no setor de óleo e gás, há um parque instalado enorme desatualizado, e que não possui proteções adequadas, e torna o ambiente favorável, com alta vulnerabilidade, para um ataque. A segurança de qualquer planta de processo sempre foi um problema, agora, imagine num setor bilionário, que é o setor de óleo e gás. Após coletar dados suficientes, os cibercriminosos podem assumir o controle operacional. Se isso acontecesse em uma planta de óleo e gás, poderia disparar falsos alertas que, se não verificados, podem causar mais danos do que o evento real, ao receberem uma resposta inadequada. O setor de petróleo e gás constitui uma das partes fundamentais do setor de infraestrutura crítica de um país, razão pela qual a segurança cibernética deve ser a preocupação número um, para a maioria das operações. Ataques bem-sucedidos podem ter efeitos catastróficos, e também pode resultar em um efeito cascata, afetando a cadeia produtiva, outros subsetores e mercados. À medida que a indústria energética entra em uma nova era de tecnologia, o papel da segurança cibernética e a análise de riscos torna-se ponto de extrema relevância para o negócio.
Antes de termos a chamada conectividade, havia ameaças de danos físicos e, em seguida, a segurança dos dados de contra-ataques físicos. Agora, temos conectividade e interconectividade, e os hackers podem acessar remotamente um dispositivo, e assumir o controle de todo um ecossistema.
Pensando no parque instalado com tecnologia já desatualizada, e lembrando que a Internet não foi desenvolvida inicialmente com foco na segurança em mente, e sim na velocidade e disponibilidade, e que, além disso, muitos sistemas industriais já existem há muito tempo, como uma colcha de retalhos de sistemas de controles e redes novas e antigas, vários equipamentos, e que foram instalados ao longo do tempo, fica clara a vulnerabilidade em questão, em todo este legado. Essa interconectividade se estende além dos sistemas operacionais e das redes de controle industrial, para as redes de negócios e vice-versa. Consequentemente, existem, potencialmente, milhares de pessoas com acesso direto e indireto a sistemas críticos e, literalmente, dezenas de milhares de maneiras de invasores atacarem esses sistemas.
Vale lembrar ainda que, nas últimas décadas, as redes de TI (tecnologia da informação), e de automação, convergiram entre si, ou seja, integraram-se uma à outra, na chamada arquitetura integrada. Isso estabeleceu condições favoráveis a ataques cibernéticos, já que as redes de automação têm pouca “maturidade”, em relação aos controles de segurança cibernética.
Uma primeira análise técnica e criteriosa sobre a rede corporativa e de instrumentação, no parque instalado, analisando seus pontos fracos no dia-a-dia, verificando as possíveis portas de acessos de dados e acessos às redes, verificando a regras de conexão de dispositivos em redes ethernet e sem fio, sem registros e autorizações prévias, e a implantação de uma política de cibersegurança com infraestrutura especializada é o que pode garantir um nível a mais, em termos de segurança.
Um ponto importante é que nem mesmo em plantas sem internet há problemas de segurança. Por exemplo, empresas prestadoras de serviços podem introduzir – intencionalmente ou não – programas maliciosos. E ainda, sistemas de automação podem estar vulneráveis, assim como controladores lógicos programáveis (PLCs) infectados, configurações, etc.
Pode-se acreditar que, com o fator de ter hardware e software atuais e tecnologicamente avançados, não se tenha vulnerabilidades.
Criar mecanismos para monitoração das redes para atividades suspeitas é outro passo, em favor da segurança. A coisa mais importante que qualquer empresa deve fazer é assumir a atitude de que todos estão em risco. Muitas empresas vão focar em soluções técnicas, mas esquecem as pessoas. A primeira coisa é conscientizar as pessoas de que todos na organização têm um papel a desempenhar no bom gerenciamento da segurança cibernética, não apenas as pessoas que lidam com os problemas de TI.
Não há dúvida de que fazer esta análise, comentada anteriormente, em termos de hardware/software, pode ser demorado, mas é uma etapa crucial. Se você não sabe onde estão suas vulnerabilidades, como pode elaborar uma estratégia de proteção? Depois de compreender o sistema e as vulnerabilidades, deve-se estar atento para proteger os dados confidenciais, durante todo o ciclo de vida da planta e operação. Que tipo de controle de segurança deve-se colocar, em relação aos dados? A natureza dos dados informa qual tipo de controle de segurança usar. Uma análise de riscos pode ser qualitativa ou quantitativa, oferecendo possibilidades de abordagem rápida e mais precisa da relação custo/benefício, entres os riscos identificados e as medidas de segurança colocadas em questão. Algumas empresas adotam a gestão de riscos de acordo com a ISO 31000, e que estabelece os princípios e orientações a partir de um framework universal, e especifica diretrizes para fatores que devem ser considerados na ges-
tão de riscos. Existem outras metodologias de análises, por exemplo, estáticas e dinâmicas.
Outro fato que merece destacar é que, em redes industriais, nem sempre estabelecer controle de segurança de borda já garante a proteção adequada. Existem inúmeras outras formas de ataques, que podem ameaçar as redes, quer sejam ataques realizados por insiders a dispositivos e equipamentos infectados e conectados diretamente à rede, ou mesmo ameaças que ainda rondam a rede de T.O.(rede de tecnologia operacional).
Nesta análise criteriosa, uma boa alternativa é implementar uma lista de permissões de aplicativos, que podem acessar o sistema de controle em questão. Desenvolver uma lista de aplicativos, que podem ser executados no sistema, é muito mais eficaz contra malware do que tentar bloquear aqueles que não podem, porque novos malwares são lançados quase que diariamente. Certamente, é importante saber exatamente o quão seguro esses aplicativos são.
Garantir a configuração adequada, e realizar o gerenciamento de patches, é fundamental. Para isso, a orientação é baixar as atualizações com assinaturas digitais e hashes (algoritmos matemáticos para a criptografia), fornecidos pelos fornecedores. Na prática, o que acontece é que estes procedimentos são demorados, e muitas vezes não são executados, devido à necessidade de constante verificação humana, por isso, surgiram ferramentas que auxiliam quem é responsável por garantir que estas atividades sejam realizadas. Uma solução de gerenciamento de patch automatizado é importante, para mitigar e prevenir riscos de segurança, além de acelerar o processo.
Vale comentar que o patch de software se concentra na resolução ou correção de problemas que afetam uma funcionalidade, porém, hoje em dia, com o progresso de ameaças mais direcionadas e sofisticadas, acontecendo em ciclos mais curtos, o foco da correção está mudando. A velocidade com que os cibercriminosos exploram as vulnerabilidades é muito maior que a capacidade das empresas de corrigir as falhas de software, permitindo que os cibercriminosos obtenham os recursos de que precisam, para explorar vulnerabilidades, o que envolve riscos.
Esta corrida para corrigir defeitos conhecidos de software traz uma nova abordagem, chamada Virtual Patching, que é um processo de abordagem de falhas, que envolve a implementação de uma camada de política de segurança, que evita e intercepta a exploração de vulnerabilidades. Isso inclui recursos para inspecionar e bloquear atividades maliciosas no tráfego da web, detectar e prevenir ataques a aplicativos ou sistemas operacionais, e implementar de forma eficiente correções em ambientes locais ou em nuvem. O mais inte-
ressante é a chance de revisar, testar e agendar patches de software oficiais, sem deixar o sistema crítico em risco. Ao contrário da correção tradicional, o patch virtual permite que uma falha seja corrigida, sem tocar em suas bibliotecas, no sistema operacional, ou mesmo no dispositivo em que está sendo executado. A correção se concentra em solucionar temporariamente o problema, alterando ou eliminando comportamentos perigosos, assumindo o controle das entradas e saídas de aplicativos. Tem como alvo os ataques, que utilizam uma vulnerabilidade conhecida, e preventivamente interrompem e bloqueiam o tráfego de rede, antes que o cibercriminoso explore o sistema de destino. Certamente, o virtual patching é uma técnica com estratégia para responder a um evento pontual de forma rápida, no entanto, não é uma ação que substitui as correções definitivas. O risco de incidentes só é eliminado ao implantar patches permanentes, sempre que possível. Outra etapa é isolar a rede corporativa da rede de controle de automação, especialmente da Internet. Revisar a conectividade com requisitos bem definidos é fundamental, onde deve-se permitir apenas conectividade em tempo real com redes externas, onde houver um requisito da real necessidade definido. Bloquear todas as portas não utilizadas e desativar “Em termos do uso de dados em nuvem, com a implementação da indústria 4.0, cada vez todos os serviços não utilizados faz parte desta análise pela segurança.mais, os processos industriais necessitam e Construir um ambiente com geram mais dados e informações. Armazenar, redes segmentadas é o mais adeprocessar, distribuir corretamente, e assegurar quado e, desta forma, podem-se essa quantidade de dados, não é uma tarefa limitar danos de uma violação fácil de ser feita, sem o auxílio da tecnologia. de uma rede, se o malware for A computação em nuvem é o catalisador para introduzido de alguma forma no que isso aconteça.” sistema de controle ou na rede corporativa. É importante capturar todos os ataques em um local e, desta forma, evitar a capilaridade do ataque ao sistema como um todo. Evitar sempre contas padrão, e criar níveis de acesso com autenticações, assim como reduzir os privilégios para apenas aqueles necessários para as funções de um usuário, e implementar políticas de senha seguras, com credenciais separadas para zonas corporativas e de controle, é a melhor prática. Nunca compartilhar dados ou informações confidenciais ou críticas, entre redes corporativas e de controle, é fundamental. Outra etapa da jornada de proteção é implementar acessos remotos seguros. Não se devem permitir conexões persistentes para fornecedores ou usuários de negócios. Utilizar sempre conexão controlada e com autenticação. Por exemplo, você já imaginou o risco, quando os funcionários de uma empresa precisam usar uma rede Wi-Fi pública e não segura, quando estão externos? Existem protocolos úteis a seguir, e produtos excelentes que podem ajudar a prevenir a maioria dos ataques cibernéticos. No entanto, mesmo se você dedicar enormes recursos financeiros em firewalls e redes privadas virtuais (VPNs), se
sua equipe não estiver treinada para evitar violações, é provável que ocorram ataques cibernéticos.
A adoção do home office pelas empresas, como forma de garantir a continuidade dos negócios em meio à Pandemia, foi um modelo eficiente, dentro do novo normal. Porém, muitas organizações não tiveram tempo hábil de avaliar, de forma criteriosa, os riscos de segurança da informação, envolvidos no trabalho fora das dependências corporativas. Um dos primeiros passos em favor da segurança na condição de home office é a empresa garantir a definição da infraestrutura de forma cuidadosa, disponibilizando equipamentos corporativos, tais como laptops com sistemas operacionais atualizados e programas antivírus, devendo aplicar processos de mapeamento de ameaças, e realizar testes de invasão na Rede Virtual Privada (VPN), e permitindo o acesso aos sistemas internos da empresa somente via VPN ou nuvem. Além disso, ter regras de uso destas ferramentas e orientações de conectividade em wi-fi públicas, uso de bluetooth e driver externos (pen drive, hard disk), etc.
Em termos do uso de dados em nuvem, com a implementação da indústria 4.0, cada vez mais, os processos industriais necessitam e geram mais dados e informações. Armazenar, processar, distribuir corretamente, e assegurar essa quantidade de dados, não é uma tarefa fácil de ser feita, sem o auxílio da tecnologia. A computação em nuvem é o catalisador para que isso aconteça. Entre as vantagens da nuvem, destacamse a flexibilidade e a agilidade no fornecimento dos recursos necessários para a tomada de decisão das empresas que aderiram ao novo modelo industrial.
A computação em nuvem surge com uma importante aliada desse processo, oferecendo vantagens, como infraestrutura flexível, compartilhamento de dados feito de forma fácil e ágil, disponibilidade dos dados em tempo real, e gestão de manutenção e de atualizações, para hardware e software, por parte de provedores de serviços. Por ter essas características, a nuvem é capaz de fornecer serviços de computação, como servidores, rede, bancos de dados, softwares, entre outros, diferindo das infraestruturas físicas por sua flexibilidade, alta disponibilidade de dados, e uma capacidade de processamento que pode ser ilimitada. Tal infraestrutura é propícia para desenvolver aplicativos, recuperar dados, armazená-los, fazer backups, transmissões multimídia, hospedar sites da web, fornecer software por demanda, analisar dados, e gerar projeções para negócios, de todos os portes e segmentos.
Desta forma, dados e informações não pertencem “teoricamente” a um lugar físico, e todos daquela corporação podem tirar vantagens disso, é a chamada descentralização da informação. Cada profissional que atua em uma planta pode ter as informações necessárias para executar seu trabalho, mesmo que estas sejam provenientes de outra planta, de forma rápida e organizada. Sua fácil escalabilidade transmite aos processos industriais tudo o que eles necessitam, para se tornarem dignos da indústria 4.0. Além disso, por meio de acessos restritos, é possível segmentar quem o acesso e o conteúdo. Porém, aqui, novamente, deve-se ter a atenção aos requisitos de segurança da informação e garantia de seus mecanismos. Com a crescente adoção dos serviços em nuvem, os criminosos se têm aproveitado das vulnerabilidades desse serviço, para atacar os sistemas das empresas. Os usuários desse tipo de solução precisam ter em mente que, já que os dados ficam acessíveis remotamente, é preciso ter mais atenção com as medidas de segurança, e incorporá-las como um hábito.
Os riscos de armazenamento e as principais ameaças são semelhantes na nuvem, e em qualquer outro local. Ou seja, é preciso garantir que, em todo o perímetro da empresa, as informações e sistemas estejam sempre protegidos. Quanto maior o número de sistemas conectados na nuvem, e mais dependentes as empresas forem, maior serão as vulnerabilidades nesse ambiente.
Lembrando novamente que a Pandemia do coronavírus obrigou muitas empresas a mudarem rapidamente sua forma de trabalhar, e passarem a depender da nuvem para realizar suas atividades. Entretanto, esse movimento não foi feito somente pelas empresas e funcionários, mas também ocorreu nas organizações criminosas, que oferecem ameaças cada vez mais ousadas.
Vale comentar ainda que os próprios profissionais das empresas podem constituir uma ameaça, quando a empresa não tem a cultura que fortaleça as boas práticas e conscientização sobre a segurança cibernética. Muitas vezes, a questão da vulnerabilidade não acontece por má intenção, mas por falta de conhecimento, e mesmo descuido.
Estaremos vivenciando o crescimento da robótica, e mesmo do IOT nas aplicações industriais, o que potencializará ainda mais as preocupações com os riscos de ataques. Nos próximos anos, espera-se um crescimento exponencial de dispositivos conectados, algo acima de 75 bilhões de dispositivos. A maioria dos dispositivos atuais são extremamente inseguros. Lembrando ainda que estes dispositivos, em sua maioria, possuem arquitetura de sistemas de hardware embarcados, expondo vulnerabilidades de hardwares, através de trojans, injeção de falhas, modificações do hardware, etc.; vulnerabilidades de firmware e sistema operacional, que são pontos fracos durante atualizações, e, finalmente, vulnerabilidades de aplicações, por meio de trojans, buffer overflow, etc.
O debate sobre a segurança cibernética torna-se ainda mais necessário, devido à implantação acelerada das tecnologias digitais, como o 5G, que permitirá uma maior conectividade entre equipamentos e, por outro lado, mais portas abertas para ataques cibernéticos.
Os ataques cibernéticos precisam tornar-se protagonistas na agenda de desafios das empresas do setor de petróleo e gás, e de outras organizações industriais. Com o mercado altamente competitivo ao redor do mundo, falhas de segurança na arquitetura de produtos e sistemas são cada vez menos admissíveis. A velocidade do impacto global dos ataques cibernéticos é exponencial.
