A Cibersegurança industrial e de infraestruturas críticas

Cibersegurança e InfoSec Notícias Opinião

Por José Luis Silva, responsável pela área de Integração de Soluções de Segurança da S21SEC

 

Causar falhas catastróficas ou a inoperacionalidade dos serviços ou das infraestruturas são as principais ameaças quer a unidades fabris, quer a infraestruturas críticas.

Imagine um cenário muito simples. Numa fábrica onde a automação exija que os robots possam circular livremente numa determinada área ou perímetro de atuação, vai ser necessário transmitir instruções aos mesmos a partir de uma consola central. Isso normalmente é feito via rádio pois uma rede cablada não permite liberdade e agilidade aos robôs, condicionando-os a uma mobilidade reduzida ou pelo menos condicionada. Se alguém intercepta e manuseia esse sinal rádio, pode originar o caos numa linha de produção, levando à paragem da mesma ou ao afetar da qualidade do produto final.

E no exemplo dado, nem sequer estamos a mencionar uma falha numa infraestrutura ou serviço crítico de um país ou cidade. Apenas o mencionamos do ponto de vista comercial de um incidente num ambiente empresarial. Agora pode-se é extrapolar este incidente a uma dessas estruturas e decerto é fácil perceber os riscos a que estamos expostos.

O problema

Muitas das redes industriais são operadas ou controladas por consolas que correm sobre sistemas operativos antigos e desatualizados sob o ponto de vista de segurança. Outras redes utilizam protocolos de BUS específicos dos fornecedores das soluções industriais. Muitas delas utilizam sistemas de controlo SCADA que interagem com os PLC e PID para falarem com as máquinas, sendo que já ouvimos inúmeros exemplos sobre a forma como podem ser afetados. Já sobre a componente da automação e sensorização das cidades, nos últimos anos tem vindo a notar-se um incremento na implementação de soluções neste campo. Estas rede de Operational Technology (OT) são diferentes das redes de Information Technology (IT), até pelos protocolos de comunicação utilizados, alguns dos quais são bastante recentes e, na minha opinião, não tem havido uma grande preocupação com a segurança adstrita às mesmas. Seja na componente de gestão das soluções, seja na componente dos próprios sensores.

As vulnerabilidades

Apesar de estas soluções residirem habitualmente dentro do perímetro das unidades fabris, costuma ser possível o acesso às mesmas, seja de forma remota (para suporte ou para manutenção), seja localmente. Se estivermos a falar de sensorização nas cidades, mais fácil ainda é o acesso, em especial aos sensores, mas também às respetivas gateways de comunicação.

Em ambos os casos e porque habitualmente não existe monitorização continua do que se passa nestas redes, não existe controlo de acesso nem a aplicação de qualquer proteção especifica para ataques ou para a deteção do uso de exploits, o que acaba por tornar fácil interferir com as mesmas, com resultados diferentes sobre o que se pretende obter. Mais uma vez, é uma questão de oportunidade e de determinação, sendo que a primeira às vezes acaba por funcionar um pouco até como fator de incitamento à exploração ou à imaginação de alguns atores, nem sempre com resultados desejáveis para os responsáveis por essas redes ou serviços.

A solução

Existem formas de proteger esses pontos críticos.

É preciso é identificá-los antes que sejam alvo de ataques e detetar indícios na monitorização contínua desses equipamentos ou redes, de algo indiciador de um desvio ao padrão normal de comportamento. É por isso que acredito que a monitorização das redes OT deve ser efetuada em conjunto com a das redes de IT. Se já existe uma equipa apetrechada e operacional, é mais fácil que estenda o seu âmbito de atuação do que criar mais uma e dotá-la dos meios humanos e técnicos, bem como da experiência necessária para detetar quaisquer desvios sobre o que é a atividade normal de uma rede industrial. Eventualmente a maior diferença provém é da forma como reagir ao incidente e de colmatar o mesmo o mais rapidamente possível.

É por tudo isto que defendo que a estratégia de segurança destas organizações não deve ser diferente da dos outros sectores, embora com algumas particularidades relacionadas com as soluções técnicas a adotar para proteger adicionalmente as infraestruturas e as redes industriais.

Temos as questões da sensibilização e formação dos recursos internos para os temas da segurança da informação em geral e dos ataques de Malware ou de Phishing em particular, com avaliação efetiva da retenção dos conteúdos aprendidos em sala, através da simulação de ataques. Os resultados destas simulações são sempre interessantes pois apresentam a forma de atuar dos recursos quando confrontados com uma realidade, mesmo que simulada e controlada.

Em conclusão

As auditorias cíclicas sobre as infraestruturas, os serviços e as redes das empresas é um tema que deve fazer parte das preocupações e da estratégia de segurança das organizações. Esta componente pode identificar e apontar falhas existentes e apontar um caminho para colmatar as mesmas. Mas é preciso atuar mediante os resultados obtidos pois as falhas não se corrigem sozinhas e sabemos, pelas evidências que temos tido em ataques no passado, que algumas dessas falhas vêm a ser exploradas meses ou anos depois da sua deteção sem que nada tenha sido feito para mitigá-las.

Além disso, a monitorização constante dos ambientes tecnológicos e de alguns parâmetros de negócio das empresas pode revelar indícios sobre potenciais falhas de segurança no ambiente empresarial, seja por inadvertência, falta de conhecimento ou até negligência por parte de quem deveria de manter a operacionalidade dos ambientes de TI ou industriais que servem de suporte ao negócio.

Custa a perceber que algumas empresas achem que um serviço de monitorização de incidentes de segurança funcione apenas entre as 09h00 e as 18h00, aos dias de semana. É obvio que quem pratica atividades criminosas, de fraude ou de espionagem industrial não vai apenas efetuar ataques nesse horário. Vai sim esperar por uma altura em que não haja monitorização para efetuar os mesmos.