No último fim de semana, ficamos sabendo de um ataque cibernético nos Estados Unidos à maior rede de oleodutos do país, que resultou na declaração do estado de emergência regional pelo governo. Um grupo de hackers desconectou completamente e subtraiu mais de 100 GB de informações do Oleoduto Colonial, que transporta mais de 2,5 milhões de barris por dia, ou seja, 45% do abastecimento de diesel, gasolina e combustível consumido pelas aeronaves da costa leste.
Não muito longe no tempo, outro ataque afetou a infraestrutura física e crítica quando, em fevereiro deste ano, um invasor conseguiu assumir o controle remoto de uma console em uma planta de processamento de água na cidade de Oldsmar, Flórida. O agressor alterou os níveis de hidróxido de sódio (“soda cáustica”) na água de 100 partículas por milhão (a quantidade normal) para 11.100 partículas por milhão. Felizmente, o ataque foi detectado a tempo por um operador da planta, evitando um desastre que teria afetado a saúde de milhares de pessoas. No entanto, se o invasor tivesse realizado um estudo mais aprofundado da planta e sua operação, ele poderia ter lançado um ataque muito mais sofisticado e difícil de detectar.
A realidade é que esses ataques vêm se multiplicando nos últimos anos, com uma capacidade de danos cada vez mais alarmante. O primeiro caso a ganhar relevância remonta a 2010, quando foi revelado um ataque a vários dispositivos em uma planta de enriquecimento de urânio no Irã, uma operação de tal sofisticação que só poderia ter sido perpetrada por especialistas com evidente apoio financeiro. Em 2017, uma parte muito significativa da Ucrânia ficou sem energia devido a um ataque cibernético direcionado precisamente para desativar o serviço. E esses são apenas alguns dos casos mais conhecidos.
A convergência entre a tecnologia que gerencia a operação física de uma empresa (OT) e a tecnologia da informação (TI) é parte fundamental das transformações que a Indústria 4.0 nos traz, com um grande número de benefícios. Mas, por outro lado, essa convergência traz consigo esse novo tipo de ameaça. Um ataque à infraestrutura física pode causar danos econômicos extremamente significativos, além de colocar vidas humanas em risco. E se, além disso, tiver como alvo a infraestrutura crítica de um país (energia, água, entre outras), o impacto econômico e político pode ser muito significativo.
Em geral, um ataque dessa natureza não é acidental, nem é obra de um hacker amador. Lançar um ataque assim contra infraestrutura crítica requer uma combinação especial de habilidades (segurança cibernética, rede e tecnologia operacional) e acesso a hardware específico para testar ataques (o que é extremamente caro). Os atores por trás desses ataques podem ir de grupos organizados a países. Dado o impacto potencial de um ataque desse tipo na geopolítica global, não devemos nos surpreender em ver cada vez mais que operações desse tipo sejam “patrocinadas” por Estados.
Para se protegerem, as empresas devem ter uma análise abrangente de suas medidas de proteção e, além disso, estar preparadas para responder e se recuperar de um ataque, não só tecnicamente, mas também nas medidas de controle adotadas e nos processos, bem como em tudo aquilo relacionado à cultura interna de cibersegurança que deve abarcar a estrutura da organização. Os programas mais eficientes são aqueles em que a cúpula de gestão se envolve diretamente com sua equipe e os demais funcionários, realizando ações para simular ataques e as possíveis respostas a serem dadas. Não podemos esquecer que hoje as empresas trabalham com um ecossistema de fornecedores e aliados que devem fazer parte da cadeia a ser protegida. A melhor defesa é que a empresa inteira (incluindo seu ecossistema) esteja comprometida e unificada para combater ciberataques inesperados que possam afetar seriamente a organização.
Por Walter Risi – Sócio de Consultoria da KPMG Argentina e Líder Global de Cibersegurança na IIOT da KPMG International
*Texto publicado originalmente no site Perfil Argentina