Segurança reforçada para proteger infraestruturas críticas dos ataques cibernéticos

Segurança reforçada para proteger infraestruturas críticas dos ataques cibernéticos

Rafael Cividanes*

02 de novembro de 2021 | 04h30

Rafael Cividanes. FOTO: DIVULGAÇÃO

As infraestruturas críticas se tornaram um dos alvos preferenciais de criminosos cibernéticos, tanto no exterior quanto no Brasil, o que pode ser confirmado pelo aumento do volume de ataques, especialmente a partir de 2019, a empresas que fornecem serviços essenciais como de energia elétrica, telecomunicações, água e abastecimento, gás, portos e aeroportos e até energia nuclear.

As interrupções nesses tipos de sistemas podem ter consequências devastadoras. É por isso que são chamados de infraestrutura crítica. Nos últimos 18 meses, por exemplo, cinco concessionárias de energia elétrica no Brasil foram vítimas de uma série de ataques cibernéticos que afetou a operação de seus sistemas de tecnologia da informação. Embora não tenham chegado a interromper o fornecimento de energia, os incidentes são uma mostra do quão vulneráveis essas infraestruturas estão.

Mas engana-se quem acha que essa fragilidade é exclusividade das empresas de energia. Mesmo setores com elevado nível de maturidade em segurança cibernética ainda estão propensos a ataques e precisam atualizar constantemente suas proteções, como é o caso do setor financeiro, o que mais investe em tecnologia e segurança no país. Imagine então o risco a que estão expostas as empresas do setor de energia que, apesar de terem realizado investimentos vultuosos em cibersegurança nos últimos anos, ainda se encontram bastante vulneráveis quando comparadas com organizações de setores mais avançados.

O que ocorre é que quando uma empresa de um setor específico é atacada, como verificou-se com as concessionárias de energia, é muito comum que outras companhias desse mesmo segmento também sejam invadidas. Isso porque as tecnologias, inclusive os mecanismos de proteção que elas utilizam, tendem a ser similares. Portanto, basta que o invasor seja bem-sucedido em encontrar brechas de segurança em uma empresa, para atacar as demais com grandes chances de repetir o êxito.

O fato é que, independentemente do grau de maturidade de cada empresa, é preciso ter em mente que as ameaças cibernéticas a infraestruturas críticas envolvem muitos fatores inter-relacionados. Em primeiro lugar há que se reconhecer que muitos dos sistemas mais críticos são extremamente complexos. Essa complexidade está aumentando rapidamente à medida que o número de dispositivos e conexões a esses sistemas continua a crescer em decorrência das iniciativas de transformação digital. Depois, deve-se ter em conta que muitos desses sistemas envolvem uma mistura de sistemas legados desatualizados e inseguros, além de novas tecnologias. Essas novas tecnologias integram recursos como análises avançadas e automação. No entanto, elas às vezes são conectadas e usadas de maneira insegura.

Além dessas questões, há um desafio adicional à segurança de infraestruturas críticas trazido pela convergência das redes de tecnologia operacional (OT) — compostas por sistemas que controlam processos de manufatura ou operacionais — e as redes de TI. Embora essa integração possibilite novos modelos de negócios, mais ágeis, também traz novos riscos, já que os ambientes OT são intrinsecamente mais inseguros do que as infraestruturas de TI, em razão das próprias tecnologias que utilizam. As redes de TI têm a vantagem de terem começado a ser protegidas há pelo menos uma década antes. Por isso, são mais resilientes. Outro fator é que hoje é cada vez mais difícil segregar as redes OT. Ou seja, quanto mais interligadas as redes OT e de TI, mais se amplia a chamada superfície de ataque.

Diante desses cenários, é fundamental que qualquer empresa que opere uma infraestrutura crítica execute uma política de segurança muito bem estruturada, alicerçada em três pilares que se complementam: pessoas, processos e tecnologias. Como são sempre o elo mais fraco da estrutura de proteção, os colaboradores precisam ser orientados para que sigam corretamente a política de segurança, enquanto os processos devem ser muito bem definidos e orientados para as melhores práticas de segurança da informação.

Por fim, e não menos importante, está a tecnologia. A autenticação multifator, por exemplo, é um dos controles de segurança que as organizações de infraestrutura crítica podem implementar para melhorar sua postura de segurança cibernética. Outra seria monitorar continuamente a superfície de ataque em busca de vulnerabilidades. Existem ferramentas para fazer isso de forma não invasiva para ajudar a identificar proativamente as vulnerabilidades que um invasor pode explorar. Tão essencial quanto esses recursos é a criptografia. Muitas instalações críticas têm adotado um módulo de segurança de hardware (HSM) para criar uma camada de isolamento máximo dos servidores do sistema principal crítico. Assim, o HSM realiza o processamento dedicado das funções de criptografia e fornece proteção física e lógica.

Em resumo, proteger sistemas e redes de informações críticas é um desafio mundial. Para enfrentá-lo, além da adoção de processos e soluções eficazes, é imprescindível que a empresa tenha parceiros tecnológicos de confiança. Quando a tecnologia apresenta uma base bem estruturada, a segurança cibernética se torna mais consistente.

*Rafael Cividanes é diretor de cibersegurança da Kryptus

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.