Cibersegurança: paranoia ou realidade?
Na semana passada, o diretor de inteligência dos Estados Unidos, Dan Coats, alertou sobre uma possível ameaça cibernética devastadora para a infraestrutura dos EUA. No ano passado (2017) tivemos um caso concreto, divulgado pela mídia especializada, onde empresas do setor de energia dos Estados Unidos e da Europa viraram alvos de uma campanha de ciberespionagem. A informação foi entregue por pesquisadores da Symantec, líder global em segurança cibernética, após notar que diversos e-mails maliciosos foram o ponto de partida para a invasão.
Diante destes acontecimentos, surge uma preocupação com as nossas redes no Brasil: será que o setor elétrico nacional está preparado contra esses ataques?
Muitas empresas geradoras de energia podem considerar que suas medidas de proteção são suficientes contra hackers. Porém, a realidade pode ser bem diferente quando o assunto é segurança de redes voltada ao setor de energia.
De acordo com o especialista em segurança cibernética da GTX Tecnologia, Diego Ávila, um ciberataque poderia permitir acesso indevido ao sistema SCADA e à rede de automação. “Esses ataques visam controlar, manipular informações e, ainda, acionar o desligamento da usina, da subestação ou até desligar as linhas de transmissão de energia. São ataques muito perigosos, pois buscam derrubar a infraestrutura. Também seria possível parar todos os aerogeradores, por exemplo, o que certamente, acarretaria grandes perdas financeiras. Em uma situação como essa, dependendo do impacto, a empresa geradora poderia até receber uma multa da Aneel. Mas, o maior impacto seria na perda da geração”, explica Ávila.
Segundo o especialista, alguns fatores contribuem para facilitar os ciberataques, como a falta de proteção adequada, a não utilização das normas de segurança, a não segmentação do acesso à rede. “Realmente, são necessárias diversas ações de proteção para tornar um ataque o mais trabalhoso possível: uso do firewall, de um controlador de usuários, e a cada nível restringir o acesso para minimizar as brechas do sistema. Por exemplo, em uma usina, uma maneira simples de proteção do SCADA, é deixá-lo em uma rede isolada e sem acesso à internet. Caso contrário, um eventual código malicioso pode acabar tendo muita facilidade de penetração nas redes de automação e nos sistemas da usina”, ressalta Ávila.
Assim, para o especialista, algumas medidas são necessárias:
– Utilização da Norma ISA99, que é um programa de segurança para sistemas de automação e controle, que estabelece boas práticas para segurança em ambiente de informática, gerenciamento de sistema e orientação para obter as conformidades para cada elemento. Os tópicos contemplam estratégias, procedimentos, práticas e pessoal;
– Utilização de orientações do NIST (National Institute of Standards and Technology), órgão que integra o Departamento de Comércio dos EUA e promove a metrologia, os padrões e a tecnologia de forma que ampliem a segurança econômica;
– Aplicação da ISO 27001, norma padrão e referência internacional para a gestão da segurança da informação;
– Proteção desde a camada externa, da internet, até internamente;
– Criação de políticas de segurança, que a maioria das empresas não têm;
– Estabelecimento de níveis de acesso à rede, que só pode ser acessada por colaboradores que realmente são autorizados;
– Regras de comportamento para os colaboradores.
“O que é comum atualmente nas empresas, erroneamente, é que qualquer pessoa que tenha acesso à rede pode ter acesso também à rede de automação. Esse é um erro que pode comprometer todo o negócio e trazer prejuízos incalculáveis. A falta de políticas de segurança nas empresas é um fator muito preocupante. É difícil encontrar uma empresa que invista em um bom Firewall para ICS (Industrial Control System), equipamentos que suportem segmentação lógica de redes, antivírus, que exija a autenticação de usuários para ter certeza de que é um usuário devido na rede ou não, além de separar uma rede para visitantes por exemplo, evitando que terceiros possam acessar a rede da automação”.
Ávila ressalta também que os níveis de segurança exigidos em um empreendimento de missão crítica são únicos. E que a falta de conhecimento sobre eles é um problema não só entre o pessoal de campo, mas também entre os profissionais de TI.
Para prevenir ciberataques, o monitoramento dos sistemas é fundamental, além da implantação de políticas de segurança e mudanças na cultura organizacional. “Além disso, consideramos fundamental o treinamento dos operadores, oferecendo recursos de segurança comportamental, regras relacionadas aos níveis de segurança, políticas claras aplicadas aos colaboradores alocados nas plantas e aos profissionais responsáveis pela TI Corporativa”, sugere.
Um fator primordial para a segurança da rede é a colaboração dos operadores, que devem saber avaliar se uma informação é crítica ou não. “Um ótimo exemplo são as senhas de acesso ao wi-fi, ao SCADA, e outras, que não devem ficar expostas num quadro de avisos, por exemplo. Pois, desta forma, qualquer pessoa que entra na usina pode acessar indevidamente o sistema”, comenta.
O especialista ressalta também a necessidade de capacitação dos colaboradores, com suporte e apoio integral da alta gestão. “Sabemos que a área de TI é estratégica, e deve ser mantida sempre ao lado da Diretoria”, finaliza.
Caso você tenha ficado com alguma dúvida em relação à segurança do seu ambiente, não hesite em entrar em contato com nossos especialistas aqui na GTX Tecnologia.
Ótimo artigo sobre o tema da Segurança. Parabéns