Por Elyoenai Egozcue, responsável de Cibersegurança para Sistemas de Controlo Industrial da S21sec
Recentemente pudemos testemunhar um novo ciberataque de grande magnitude e que representou um duro golpe para o sector industrial. No passado dia 19 de março, foi tornado público um ataque contra a Norsk Hydro, um dos maiores produtores de alumínio do mundo. A empresa norueguesa foi obrigada a fechar várias unidades de extrusão de metais e produtos laminados, que transformam lingotes de alumínio de diferentes dimensões em componentes para fabricantes de automóveis, construtoras e outras indústrias e, ao mesmo tempo, operar manualmente as suas gigantescas fundições.
LockerGoga é a denominação do software malicioso na origem deste ataque, pertencente à família dos ransomware (um tipo de malware que infecta os sistemas e apresenta mensagens que exigem o pagamento de um resgate para restabelecer o seu funcionamento) e que já tinha afetado previamente a engenharia francesa Altran e as empresas químicas norte-americanas MPM Holdings (Momentive) e Hexion.
Ao contrário de outros malware relativamente recentes, como Industruyer ou Triton, o LockerGoga não foi concebido especificamente para afetar os sistemas industriais. Não obstante, os seus efeitos sobre os equipamentos e redes de automatização e controlo associados incluem um importante impacto sobre a sua disponibilidade, e impacto direto na tendo chegado a afetar produção, como se viu no caso particular da Norsk Hydro. O LockerGoga é um malware orientado contra plataformas Windows, pelo que pode afetar múltiplos sectores, mas a realidade é que um número desproporcionado de vítimas pertence ao sector industrial. Isto não é por acaso, uma vez que para as empresas que operam infraestruturas industriais qualquer paragem na produção representa perdas de dinheiro significativas. Isto incentiva claramente o pagamento do resgate, algo que os cibercriminosos sabem perfeitamente.
Este incidente vem confirmar o que já se adivinhava: o cenário do malware que pode afetar os sistemas industriais é muito variado. Além disso, deparamo-nos também com cenários combinados, em que grupos criminosos especializados em ciberataques, como o conhecido Sandworm Team, levam a cabo ataques dirigidos onde se combinam técnicas de ataque manuais, perpetradas por criminosos, e malware feito à medida. O objetivo imediato é quase sempre sabotar empresas industriais, como ocorreu com as distribuidoras elétricas da Ucrânia em 2015 e 2016, embora possam existir outras motivações, como a obtenção de um pagamento, uma vantagem competitiva, etc.
Perante este cenário evolutivo e cada vez mais perigoso, as organizações industriais necessitam de reforçar as suas medidas de cibersegurança a nível global. A melhor forma de atuar passa pela aplicação de boas práticas de segurança que abranjam todos os sistemas e serviços da empresa, e que se foquem particularmente nos ativos de automatização e controlo que suportam os processos produtivos. É necessário ter por base uma estratégia de defesa em profundidade e abranger as funções de segurança definidas pela framework “NIST (Instituto Nacional de Standards e Tecnologias dos EUA). Com base nestas funções, algumas das recomendações mais importantes para a indústria são:
1) Ao nível de Identificação, realizar avaliações de segurança do ponto de vista técnico, de governo e de conformidade, incluindo os procedimentos e metodologias de trabalho. Neste sentido, há que avaliar os procedimentos de prestação de serviços, manutenção de sistemas, acesso aos dispositivos, etc. O inventário é também fundamental, assim como a identificação das vulnerabilidades e potenciais ameaças que o afetem.
2) Da perspetiva da Proteção, recomenda-se a implementação de medidas de controlo de acessos, tanto físicas como lógicas, que se devem aplicar a colaboradores e empresas de manutenção e subcontratados. Neste sentido, a segurança física (controlos e medidas para evitar o acesso não autorizado aos equipamentos e instalações, como barreiras, vigilância, sensores de presença, etc.) é fundamental, deve ser aplicada tendo em conta também o suporte à cibersegurança. As soluções de Acessos de Controlo Remoto, onde forem necessárias, e a implementação de Redes Privadas Virtuais são outros elementos a ter em conta. Além disso, deve contemplar-se a segmentação e segregação das redes, bem como soluções antimalware baseadas em listas brancas, proteção dos dados com encriptação em armazenamento e trânsito, autenticação encriptada de mensagens e ainda a formação e consciencialização do pessoal.
3) No âmbito da Deteção, é conveniente implementar soluções de deteção de anomalias no comportamento dos sistemas informáticos de automatização e controlo, fazer a sua monitorização contínua e a sua integração num Centro de Operações de Cibersegurança para propósitos de investigação. Da mesma forma, é fundamental estar a par dos últimos alertas de cibersegurança sobre incidentes (e especificamente os IoC e IoA) e as vulnerabilidades que afetem os sistemas de automatização e controlo.
4) As fases de Resposta e Recuperação de Incidentes são fundamentais. Da perspetiva da resposta, é importante dispor de pessoal capacitado e qualificado que tenha desenhado e saiba implementar estratégias de mitigação e contenção, assim como realizar análises forenses no sector industrial. No caso da recuperação, recomenda-se que seja suportada por medidas baseadas na alta disponibilidade, redundância e cópias de segurança (incluindo as estratégias de controlo), de forma que seja possível regressar ao funcionamento normal em muito pouco tempo após um incidente. Com efeito, a Norsk Hydro seguiu uma estratégia de recuperação baseada na recuperação dos equipamentos afetados a partir dos servidores de backup, o que reforça a importância das medidas de business continuity. importância destas medidas.
Definitivamente, este recente caso ocorrido no tecido industrial sugere que nos devemos manter em permanente alerta e tomar as medidas de cibersegurança necessárias para evitar paragens e incidentes na indústria. Estamos perante uma tipologia de ciberataques cada vez mais frequente, pelo que ter em conta todos os elementos acima referidos pode ajudar a minimizar e até evitar impactos na produção industrial.
