Até 2025, ciberataques terão o domínio suficiente de ambientes de tecnologia operacional (OT) e tecnologia de automação para prejudicar ou matar, com sucesso, seres humanos, indica uma recente previsão da Gartner, que faz parte do relatório “Reduzir o Risco de Vida Humana através da Implementação deste Quadro de Controlo de Segurança OT”.
Os ataques a OT – hardware e software que monitorizam ou controlam equipamento, bens e processos – tornaram-se mais comuns. Também evoluíram da interrupção imediata de processos, como o encerramento de uma fábrica, para comprometer a integridade de ambientes industriais com a intenção de criar danos físicos. Outros acontecimentos recentes, como o ataque de resgate de gasodutos , realçaram a necessidade de ter redes devidamente segregadas para TI e OT.
“Em ambientes operacionais, os líderes de segurança e gestão de riscos deveriam estar mais preocupados com os perigos do mundo real para os seres humanos e o ambiente, do que com o roubo de informação”, disse Wam Voster, director sénior de investigação da Gartner. “Os inquéritos com os clientes da Gartner revelam que as organizações em indústrias com grande intensidade de activos, como a produção, recursos e serviços públicos, lutam para definir estruturas de controlo adequadas”.
Segundo o Gartner, os incidentes de segurança em OT e outros sistemas ciberfísicos (CPS) têm três motivações principais: danos reais, vandalismo comercial (redução da produção) e vandalismo reputacional (tornar um fabricante não confiável ou não confiável).
O Gartner prevê que o impacto financeiro dos ataques CPS, resultando em baixas fatais, atingirá mais de 50 mil milhões de dólares até 2023. Mesmo sem ter em conta o valor da vida humana, os custos para as organizações em termos de indemnização, litígio, seguros, multas regulamentares e perda de reputação serão significativos. O Gartner prevê também que a maioria dos CEOs serão pessoalmente responsáveis por tais incidentes.
10 Controlos de Segurança para Tecnologia Operacional
Gartner recomenda que as organizações adoptem um quadro de 10 controlos de segurança para melhorar a postura de segurança nas suas instalações e evitar que os incidentes no mundo digital tenham um efeito adverso no mundo físico.
- Definir papéis e responsabilidades
Nomear um gestor de segurança OT para cada instalação, que é responsável pela atribuição e documentação de funções e responsabilidades relacionadas com a segurança para todos os trabalhadores, gestores de topo e quaisquer terceiros.
- Assegurar a formação e sensibilização adequadas
Todo o pessoal OT deve ter as competências necessárias para as suas funções. Os funcionários em cada instalação devem ser treinados para reconhecer os riscos de segurança, os vectores de ataque mais comuns e o que fazer no caso de um incidente de segurança.
- Implementar e testar a resposta a incidentes
Assegurar que cada instalação implementa e mantém um processo de gestão de incidentes de segurança específico de OT que inclui quatro fases: preparação; detecção e análise; contenção, erradicação e recuperação; e actividade pós-incidente.
- Apoio, restauração e recuperação em caso de catástrofe
Assegurar a existência de procedimentos adequados de backup, restauração e recuperação de desastres. Para limitar o impacto de eventos físicos, tais como um incêndio, não armazenar meios de backup no mesmo local que o sistema de backup. Os suportes de cópia de segurança devem também ser protegidos contra divulgação não autorizada ou utilização indevida. Para lidar com incidentes de alta gravidade, deve ser possível restaurar o backup num novo sistema ou máquina virtual.
- Gerir meios de comunicação portáteis
Criar uma política para assegurar que todos os suportes portáteis de armazenamento de dados, tais como pen USB e computadores portáteis, sejam digitalizados, independentemente de um dispositivo pertencer a um empregado interno ou a partes externas, tais como subcontratados ou representantes de fabricantes de equipamento. Apenas os suportes que se encontrem livres de código malicioso ou software podem ser ligados ao OT.
- Ter um inventário de bens actualizado
O gestor de segurança deve manter um inventário continuamente actualizado de todo o equipamento e software OT.
- Estabelecer uma segregação adequada da rede
As redes OT devem estar fisicamente ou/e logicamente separadas de qualquer outra rede, tanto interna como externamente. Todo o tráfego da rede entre uma OT e qualquer outra parte da rede deve passar por uma solução de gateway segura como uma zona desmilitarizada (DMZ). As sessões interactivas para OT devem utilizar autenticação multi-factor para autenticar na porta de ligação.
- Recolher registos e implementar a detecção em tempo real
Devem estar em vigor políticas ou procedimentos adequados para o registo automático e revisão de eventos de segurança potenciais e reais. Estes devem incluir tempos de retenção claros para os registos de segurança a reter e protecção contra adulterações ou modificações indesejadas.
- Implementar um processo de configuração seguro
Devem ser desenvolvidas, normalizadas e implementadas configurações seguras para todos os sistemas aplicáveis, tais como endpoints, servidores, dispositivos de rede e dispositivos de campo. O software de segurança de endpoints como o anti-malware deve ser instalado e activado em todos os componentes no ambiente OT que o suportam.
- Processo de aplicação de patches formais
Implementar um processo para que os remendos sejam qualificados pelos fabricantes do equipamento antes de serem implantados. Uma vez qualificados, os remendos só podem ser implantados em sistemas apropriados com uma frequência pré-especificada.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
