Operational technology: a nova fronteira da cibersegurança

0
2355
Miguel Fernandes, consulting partner

À medida que a Indústria 4.0 aumenta a conectividade entre o mundo físico e o digital, as ameaças de cibersegurança à tecnologia operacional (OT) amadurecem proporcionalmente e com efeitos potencialmente devastadores.

Os ataques de cibersegurança endereçados à tecnologia operacional – um termo que descreve a tecnologia responsável pela monitorização e movimento dos elementos físicos de um componente de infraestrutura – têm vindo a aumentar ainda antes do final do século passado. A metodologia dos primeiros ataques foi experimental, determinando quais as técnicas que obtiveram êxito, e rapidamente se tornou mais militarizada como arma cibernética concebida para destruir ativos importantes. A atual vaga de ataques OT envolve ações cada vez mais sofisticadas e impactantes, com uma nova geração de ciber hackers a começar a dominar este ecossistema.

Infraestrutura: sob cerco

A falta de consciencialização desta ameaça crescente, apesar de relevante, não tem sido o principal problema. Muitas vezes, as organizações governamentais e públicas não têm visibilidade plena dos seus sistemas OT e muito menos das vulnerabilidades de segurança dentro destes.

Adicionalmente, a noção de que a cibersegurança é um problema informático e não uma preocupação de toda a empresa pode também fomentar uma falta de responsabilização na manutenção da segurança das organizações, aumentando ao mesmo tempo a probabilidade de terceiros mal-intencionados poderem ter acesso a sistemas e redes críticos.

Finalmente, há a questão da segregação das redes, que é fundamental para proteger estes sistemas das redes menos fiáveis, como o correio eletrónico e o acesso à Internet em ambientes empresariais, onde estas ameaças se podem propagar com relativa facilidade. A segregação de redes TI/OT, que utiliza tecnologias como as firewalls para dividir as redes em vários segmentos de rede, é um conceito relativamente simples. Mas a sua implementação numa sociedade digital em que as barreiras tradicionais das redes estão continuamente a ser derrubadas para facilitar e acelerar a sua utilização pode ser extremamente difícil.

Tendo em mente estas complexidades, as organizações que gerem infraestruturas críticas podem tomar três medidas para ajudar a colocar a tecnologia operacional no centro da sua estratégia de cibersegurança e garantir que os riscos são mitigados – criando ao mesmo tempo uma organização mais resistente a futuros ataques no processo.

1 – Criar frameworks adequados para a gestão de riscos

A convergência das TI e das infraestruturas críticas tornou as cidades mais inteligentes e interligadas. Durante esse processo, os ambientes industriais outrora isolados – fábricas, linhas ferroviárias, redes elétricas – são agora explorados de forma mais perfeita e eficaz. Mas a proliferação de sensores digitais que recolhem dados dentro destes criou um ambiente em que o grande número de ativos os torna cada vez mais difíceis de proteger.

A explosão dos pontos de contacto dos clientes – smartphones, computadores portáteis, tablets – e a mudança para plataformas baseadas na nuvem estão a criar “superfícies de ataque” que estão constantemente a mudar de forma. É mais importante do que nunca que as organizações compreendam os seus ativos críticos, saibam como geri-los e ponham em prática os quadros de gestão de risco adequados, como por exemplo, a framework NIST.

Estes frameworks acomodam os riscos relevantes associados aos ambientes operacionais, onde a saúde e a segurança e os impactos ambientais são frequentemente mais proeminentes do que as questões de segurança tradicionais, como a privacidade e a confidencialidade.

As organizações devem trabalhar na direção da identificação dos pontos cegos, segmentar as suas redes informáticas e OT evitando assim uma tendência típica de desenhar uma configuração inicial que, posteriormente, carece de atualização face à ausência de monitorização. Uma boa estratégia de cibersegurança deve também incluir a capacidade de antecipar as mudanças no panorama tecnológico.

2 – Foco nas pessoas e na cultura

Tendo como base que a sensibilização e a responsabilização são um dos principais obstáculos a uma estratégia robusta de cibersegurança, verificou-se que, e de acordo com o estudo da PwC “2019 Digital Trust Insights”, 71% das organizações de elevado desempenho (as “cybersecurity trailblazers”) concordaram fortemente que a sua equipa de cibersegurança comunica eficazmente com os seus conselhos de administração e quadros superiores sobre o risco cibernético. Noutra perspetiva, apenas 33% dos inquiridos das organizações“regulares”;concordaram fortemente nesta vertente do inquérito. Este número é influenciado pela convicção comum de que a cibersegurança é o domínio das TI e não o da competência de toda uma organização.

Demasiadas vezes, a dissonância entre os departamentos de TI e de OT, bem como a aderência insuficiente a nível executivo, podem deixar as empresas mais abertas a violações de segurança colocando assim as infraestruturas e serviços críticos sob ameaça. Investir no talento dos recursos, defender a sensibilização para a cibersegurança a todos os níveis de uma organização e derrubar as barreiras que impedem a colaboração entre as diferentes partes de uma empresa pode preparar o terreno para uma abordagem mais holística e eficaz para mitigar os riscos cibernéticos na tecnologia operacional antes que estes surjam.

As organizações que dependem fortemente de sistemas OT tendem a ter fortes culturas de segurança incorporadas devido aos riscos associados ao funcionamento e manutenção dos seus ativos de infraestrutura bem como dos ambientes potencialmente perigosos em que tipicamente operam.

Neste contexto, a cibersegurança é o garante da proteção de características como estabilidade, tempo de atividade e resiliência – todos eles com fortes laços ou dependências em relação à segurança. Ao“converter”a cibersegurança nestes termos garante-se uma comunicação mais alinhada potenciando assim o sucesso de uma estratégia de consciencialização para o universo OT.

3 – Eliminar os obstáculos à visibilidade

A falta de uma estratégia clara de cibersegurança pode aumentar o risco de uma organização ser alvo de ataques de cibersegurança. Mas, em OT, muitas organizações estão também restringidas pela sua incapacidade de detetar e responder a ameaças.

Por exemplo, muitas organizações que dependem das OT não têm uma visão única do risco de segurança graças a um conjunto de fatores, tais como: limitações introduzidas pelos sistemas legados; múltiplos fornecedores de tecnologia; e uma estrutura organizacional pouco assertiva no que respeita à responsabilização dos ativos críticos.

Uma outra tipologia de risco prende-se com as organizações que não segmentam adequadamente os seus ambientes OT e TI. Por um lado, conduz a uma estrutura de rede plana e mais fácil de gerir, mas por outro é mais fácil de comprometer do ponto de vista da cibersegurança. Isto significa que uma violação de um dispositivo – seja internamente, através de um empregado ou de uma parte externa – pode comprometer toda uma rede de TI e, subsequentemente, alastrar a sistemas OT críticos.

Desta forma, uma boa estratégia pode assentar na separação entre sistemas críticos e não críticos ajudando assim as organizações a compreenderem melhor os seus ativos e quais é que vale a pena proteger para assim instituírem os controlos adequados. Em última análise, a obtenção de uma visão mais clara.

Garantir o futuro: crescimento

Embora a tecnologia tenha tornado a infraestrutura de que dependemos mais transparente, conveniente e centrada no cliente, é crucial que a mesma esteja preparada, não só para o constante surgimento de novos riscos, como também para a antecipação de novas ameaças. Assim, deve-se começar por colocar a cibersegurança no centro do suporte aos negócios, investindo e promovendo uma cultura de cibersegurança e identificando as formas como os sistemas são vulneráveis.

www.pwc.pt