Por Scott Coleman - Fonte: Revista Risk Management- RIMS

A infraestrutura crítica é agora o alvo principal de hackers e estados-nação hostis, como evidenciado pelos ataques à rede elétrica da Ucrânia e à produção de petróleo e gás no Oriente Médio, juntamente com vários ataques a ativos dos EUA. Devido à sua idade, combinada com a transformação digital da tecnologia operacional e a pressão para integração com a tecnologia da informação, muitos desses sistemas de infraestrutura estão se tornando cada vez mais vulneráveis ​​a ataques cibernéticos.

Essa exposição está ampliando os apelos das agências federais para que a indústria tome medidas. Em outubro, a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu Objetivos de Desempenho de Segurança Cibernética Inter setoriais voluntários para fornecer um conjunto comum de práticas fundamentais de segurança cibernética para operadores de infraestrutura crítica. Em novembro, o Instituto Nacional de Padrões e Tecnologia anunciou que está buscando informações públicas sobre uma nova arquitetura de referência de segurança cibernética para o setor de sistemas de água e esgoto. Ambas as ações resultaram do Memorando de Segurança Nacional de julho de 2021 do governo Biden sobre a melhoria da segurança cibernética para sistemas de controle de infraestrutura crítica. Estes baseiam-se na orientação do Departamento de Segurança Interna de 2016que não resultou em ação suficiente da indústria. 

Os operadores precisam melhorar suas medidas de segurança cibernética. No entanto, pode ser desafiador saber por onde começar e como priorizar o que pode parecer uma tarefa árdua. Os insights a seguir podem ajudar. 

Identifique os pontos mais fracos

Mesmo com a multiplicidade de possíveis pontos de entrada e os muitos tipos de exploits que podem ser utilizados, os vetores de ameaças cibernéticas mais comuns se enquadram em três categorias principais: 

Sistemas de Controle de Processo Conectados

O surgimento de sistemas de controle de processos (PCSs) automatizados e conectados, como interfaces homem-máquina (HMIs), controladores lógicos programáveis ​​(PLCs), historiadores de dados e sistemas de controle de supervisão e aquisição de dados (SCADA), permite que as operadoras de água aumentem as eficiência, manutenção proativa de equipamentos e gerenciamento remoto de sistemas e dispositivos. Infelizmente, também aumenta a exposição a ataques cibernéticos que podem interromper os ativos de serviços públicos e até afetar o fornecimento. A maioria dos dispositivos atualmente instalados tem pouca ou nenhuma funcionalidade de segurança; muitos nem podem ser atualizados ou corrigidos. 

Conexões Externas

Conexões externas para acesso remoto, fornecedores e cadeias de suprimentos oferecem oportunidades para entrada não autorizada em redes de serviços públicos. Muitas operações agora exigem conexões com terceiros da rede de tecnologia operacional segura. Isso significa que a segurança das redes das operadoras é tão forte quanto a segurança dos fornecedores que têm acesso confiável.

Ameaças internas e credenciais roubadas Os funcionários que estão mais próximos dos sistemas físicos dentro da rede de uma concessionária têm mais oportunidades de perpetrar um ataque cibernético ou causar exposição acidental. Cabe aos operadores de infraestrutura crítica examinar minuciosamente os funcionários para avaliar sua confiabilidade. Mas o treinamento também é essencial para ensiná-los a evitar ataques exploradores cada vez mais comuns, como spear phishing ou engenharia social, que criam brechas de segurança por meio de credenciais roubadas. 

Cinco passos para fortalecer as defesas

Não há uma solução única para proteger esses diferentes vetores de ameaças. Tradicionalmente, as operadoras implantam tecnologias padrão de segurança cibernética baseadas em software, como firewalls e acesso baseado em função para segurança. Embora essas tecnologias sejam ferramentas defensivas altamente valiosas, o software, por sua natureza, ainda é vulnerável. Tecnologias impostas por hardware, como diodos de dados, podem fortalecer as defesas, permitindo apenas o fluxo de dados unidirecional para isolar redes de tecnologia operacional de ameaças cibernéticas externas, ao mesmo tempo em que permite o compartilhamento de dados com usuários e sistemas externos.

Crie uma defesa em profundidade

Uma abordagem de defesa em profundidade evita que uma arquitetura de segurança cibernética dependa de uma única estratégia ou elemento para defender uma rede. Uma abordagem apropriada deve incluir uma combinação de autenticação de usuário, criptografia de dados, firewalls, informações de segurança e gerenciamento de eventos (SIEM), antivírus e diodos de dados para bloquear ameaças e reduzir significativamente os vetores de ataque.

Sistemas de Controle de Processo Seguro

Os PCSs geralmente são dispositivos e aplicativos de terceiros para automatizar e monitorar processos no ambiente de uma concessionária. Eles são normalmente controlados e monitorados por um sistema SCADA centralizado, que deve ser a primeira prioridade para o planejamento de segurança do PCS. Os PCSs conectados precisam ser protegidos contra transferências de arquivos de entrada (como atualizações de software), transferências de dados de saída e comando e controle remoto. A segurança de diodo aplicada por hardware pode escanear, filtrar e transferir arquivos integrais às operações do PCS, como e-mail, alertas, dados históricos e patches, impedindo o acesso não autorizado e permitindo que dados críticos sejam compartilhados com as redes de TI. 

Conexões Seguras de Terceiros

Conexões externas aumentam a exposição da rede. Isso inclui conexões com terceiros atuais e antigos que podem ter acesso a dados e sistemas confidenciais. Os operadores frequentemente ignoram as conexões confiáveis ​​ao pensar que isolaram com sucesso seus sistemas de controle do acesso externo. Para reduzir o risco de ataques cibernéticos na cadeia de suprimentos, os operadores devem manter uma lista de todas as conexões e eliminar as desnecessárias ou redundantes. Converta quaisquer conexões bidirecionais usadas apenas para monitoramento em conexões externas unidirecionais. Também converta quaisquer conexões bidirecionais que apenas transferem dados para a rede (atualizações de software, etc.) para uma entrada unidirecional. Quaisquer conexões bidirecionais remanescentes devem ser fortemente monitoradas. Conforme observado nas sete estratégias do Departamento de Segurança Interna para defender os sistemas de controle industrial, os diodos de dados protegerão cada um desses caminhos de dados para reduzir significativamente o risco de ataque cibernético externo. 

Implementar segmentação de rede

Os operadores geralmente desconectam os sistemas operacionais do acesso externo, especialmente aqueles que possuem sistemas desatualizados ou recursos limitados de segurança cibernética. Mas a desconexão completa elimina o acesso a possíveis invasores e usuários autorizados. Os diodos de dados podem permitir a transferência segura de dados fora da rede operacional, mas o “air gap” eficaz impede o acesso externo não autorizado a sistemas de tecnologia operacional sensíveis.

Minimize as oportunidades de ameaças internas

Verifique minuciosamente a equipe com acesso ao sistema sensível e limite esse acesso com base no princípio do “menor privilégio”. Limitando ou eliminando pontos de acesso externos e implementando autenticação mais sofisticada, as organizações também podem mitigar, conter ou prevenir alguns dos tipos mais comuns de ataques de dentro da rede de tecnologia operacional. Embora não haja como prevenir totalmente as ameaças internas, conter a ameaça de credenciais roubadas ou “insider-by-proxy” é uma consideração importante para qualquer operador de infraestrutura crítica.

 Scott Coleman é vice-presidente de gerenciamento de produtos da Owl Cyber ​​Defense.

--------------------------------------------

A ABGR apoia o XV Congresso Brasileiro de Direito de Seguro e Previdência, uma realização da Associação Internacional de Direito de Seguro (AIDA) seção Brasil.

 Dias 30 e 31 de Março em Foz do Iguaçu-PR.

 Mais informações e inscrições: https://congressoaida.com.br/

A ABGR apoia o Brasil Insurance & Insurtech Summit 2023 -30 de março em São Paulo

Mais informações e inscrições: https://insurtechsummitbrasil.com/

CONSEFAR-Congresso de Segurança para Produtos Farmacêuticos

 Dias 24 e 25 de maio no Hotel Estanplaza International

 Programação e Inscrições: http://www.consefar.com.br/

Fórum Cyber da WTW - Edição de março/2023

A edição desse mês será on-line e acontecerá no dia 23 de março às 16h30,

Faça sua inscrição gratuitamente! https://events.wtwco.com/event/02dfc695-e364-4516-98ea-0bf8de9829d6/summary

Curso Preparatório e Certificação Profissional Internacional em Gestão de Riscos.

Associados ABGR têm desconto para inscrições antecipadas. Solicite mais informações através do e-mail: abgr@abgr.com.br

Acesse as edições mais recentes das publicações do Mercado de Seguros: 

Revista Apólice: https://www.revistaapolice.com.br/2023/03/revista-apolice-edicao-284/

Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-edicao-250/#1

Revista Insurance Corp: http://insurancecorp.com.br/pt/content/pdf/ic_ed45_2022.pdf

Revista Segurador Brasil: https://revistaseguradorbrasil.com.br/edicao-176/

Revista Seguro Total: https://revistasegurototal.com.br/2023/02/13/revista-seguro-total-ed-230/

Revista de Seguros: https://cnseg.org.br/publicacoes/revista-de-seguros-n923.html

Conjuntura CNseg: https://cnseg.org.br/publicacoes/conjuntura-cnseg-n84-8A8AA8A385DE9D4A01865BF756D54CC2.html

Revista Insurtalks: https://www.insurtalks.com.br/revista/revista-insurtalks-4

Revista Brasil Energia: https://editorabrasilenergia.com.br/wp-content/uploads/sites/1/flips/134480/Bia479/index.htm