- Diariamente ocorrem centenas de milhões de tentativas de ciberataques contra os interesses dos EUA, e a infraestrutura crítica é um alvo valioso e muito vulnerável.
- As arquiteturas de sistemas modulares e a mentalidade “confiança zero” são dois exemplos de inovação na segurança cibernética de infraestruturas.
- Para acompanhar o ritmo dos ciberataques à infraestrutura crítica, os proprietários e operadores precisam repensar sistemas legados e, ao mesmo tempo, reformular problemas antigos.
- Por firmar parcerias com o setor, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA, Cybersecurity and Infrastructure Security Agency) se posiciona como catalisadora da inovação em segurança cibernética.
Se houvesse uma unidade de terapia intensiva para infraestrutura, estaria lotada de vítimas de ciberataques. Em 2021, o sistema de oleodutos Colonial Pipeline, a empresa de processamento de carnes JBS e a Metropolitan Transportation Authority (MTA) de Nova York foram vítimas de ataques de ransomware, nos quais os criminosos virtuais instalaram softwares clandestinos e sequestraram sistemas de computação, exigindo resgates de alto valor.
Mas o ransomware é somente uma das armas de um arsenal cada vez maior de possíveis ciberataques à infraestrutura crítica, em que hackers mal-intencionados atacam sistemas de rede de ativos físicos. Ainda mais preocupantes do que os ataques motivados pelo lucro são os ataques que visam causar danos.
Em fevereiro de 2021, por exemplo, hackers invadiram os sistemas de uma estação de tratamento de água em Oldsmar, na Flórida, e tentaram envenenar o abastecimento de água local. Especificamente, eles sequestraram o software que controla os aditivos químicos e o utilizaram para aumentar a quantidade de soda cáustica – o ingrediente principal de desentupidores líquidos de ralos e pias – 100 vezes acima do nível normal. Embora o ataque tenha sido identificado e corrigido antes que o abastecimento de água fosse contaminado, as consequências poderiam ter sido desastrosas.
“Acredito que o próximo Pearl Harbor ou o próximo 11 de setembro será cibernético”, diz o Senador Angus King, testemunhando em uma audiência em julho no Senado dos EUA sobre as vulnerabilidades de segurança cibernética na infraestrutura.
Como as violações de segurança cibernética podem passar despercebidas e muitas vezes não são relatadas, é difícil avaliar a real dimensão do problema. Ainda assim, o panorama é preocupante. A empresa de segurança cibernética Deep Instinct afirma que há “centenas de milhões” de tentativas de ciberataques diariamente. Em um estudo recente, a empresa relata que somente em 2020, houve um aumento de 358% no número de malwares em geral e um crescimento de 435% de ransomwares.
“O problema não se restringe ao grande volume de ataques”, diz Guy Caspi, CEO da Deep Instinct. “Nosso estudo mostra que a sofisticação dos ataques aumentou, com táticas evasivas avançadas que dificultam muito mais a detecção.”
No caso de ciberataques à infraestrutura crítica, a melhor forma de neutralizar o aumento da sofisticação é aumentar a inovação, de acordo com Si Katara, cofundador e presidente da HeadLight, prestadora de serviços de tecnologia de inspeção de infraestrutura baseada em fotos.
“As ameaças que ocorrem no mundo atualmente estão aumentando de forma exponencial”, diz Katara. “Para encontrar o antídoto, temos que fazer avanços na segurança de uma maneira que acompanhe – e idealmente supere – a velocidade com que essas ameaças estão evoluindo. Se não acelerarmos a inovação na área de segurança, será por nossa conta e risco.”
Como a segurança cibernética é um problema digital, ela exige soluções digitais. No entanto, a tecnologia por si só não acabará com os criminosos virtuais que têm como alvo a infraestrutura. O que é necessário, defendem os especialistas, é uma abordagem de 360° da inovação, unindo novas ferramentas a pessoas, processos e perspectivas.
De sistemas de infraestrutura monolíticos a modulares
Para proteger seus ativos, proprietários e operadores de infraestrutura crítica primeiro têm que entender o que os torna tão vulneráveis.
O primeiro passo é compreender seu valor intrínseco como alvo. A infraestrutura é essencial – de estradas e pontes a usinas de energia e concessionárias de água –, e isso significa que haverá consequências importantes se as operações forem interrompidas. Com economias e até vidas em risco, os criminosos supõem que administradores desesperados pagarão grandes somas para proteger ativos vitais. E, com frequência, acabam pagando.
Assim sobrevivem os sistemas legados, em grande parte não projetados com a segurança cibernética em mente. “O problema desses sistemas legados antigos e monolíticos é que são difíceis de modernizar”, afirma Katara. “Para atualizar uma parte dele, é preciso reimplantar tudo. Por isso, a atualização desses sistemas monolíticos é como remendá-los com fita adesiva e band-aid. Com o decorrer do tempo, a proporção entre o sistema original e a fita adesiva muda, até que chega um ponto em que temos mais fita adesiva do que sistema original, criando pontos fracos. Com isso, vem um ciberataque moderno que atinge bem nos pontos fracos, e o monólito inteiro desaba.”
A solução é uma abordagem tecnológica modular em vez de monolítica, segundo Katara, cuja tecnologia de inspeção visual HeadLight é baseada em nuvem e conta com arquitetura aberta, para que possa se comunicar com sistemas legados sem depender deles. “Isso facilita muito o isolamento e a atualização de componentes para manter as coisas em perfeito funcionamento”, afirma ele. “Quando há uma inovação, não precisamos remover o monólito inteiro. Podemos simplesmente retirar uma única parte e conectar o novo componente.”
Isso é valioso sobretudo do ponto de vista da segurança. Quando um dos clientes da HeadLight foi vítima de um ciberataque, seus sistemas legados tiveram que ficar offline por quatro a seis semanas. Enquanto isso, projetos que usavam a HeadLight continuaram intactos.
“Como funcionava de modo independente, a HeadLight não foi afetada pelo ciberataque que ocorreu”, conta Katara. “Assim que a equipe de TI conseguiu restaurar seus sistemas legados, todos os dados e informações que a HeadLight havia coletado e armazenado puderam ser sincronizados novamente com esses sistemas de forma segura.”
Desenvolvimento de uma mentalidade “confiança zero”
A arquitetura modular é apenas um exemplo de inovação na segurança de infraestruturas. Outro é a detecção de invasão, de acordo com o pesquisador de segurança cibernética Kevin Heaslip, professor titular de engenharia civil e ambiental na Virginia Tech.
Heaslip diz que a detecção de invasão representa uma inovação no modo de pensar – uma nova perspectiva para abordar um problema comum. Nesse caso, significa deixar de lado a postura de impedir ciberataques e adotar a postura de controlá-los.
“Precisamos parar de pensar que os sistemas cibernéticos poderiam ser totalmente protegidos”, afirma Heaslip. “O termo que está sendo usado para isso é ‘confiança zero’. Devemos pressupor que, em algum momento, as pessoas serão capazes de invadir nossos sistemas. Se for esse o caso, talvez devêssemos pensar menos em deter os hackers e mais em como detectar quando eles estão entrando e quais alterações estão fazendo nos sistemas enquanto atuam.”
Para isso, a pesquisa atual de Heaslip se concentra no uso da modelagem 3D para criar gêmeos digitais de sistemas ciberfísicos e aprendizado de máquina para mapear esses sistemas a fim de detectar alterações.
“Se um invasor tiver uma compreensão do nosso sistema melhor do que a nossa, não vamos conseguir nos defender”, diz ele. “Estamos usando o aprendizado de máquina para criar uma linha de base que mostra como o sistema opera quando não está sendo atacado, para que possamos detectar alterações quando estiver.”
Especificamente, Heaslip está trabalhando com o Departamento de Energia dos EUA para proteger os sistemas de carregamento de veículos elétricos. “Estamos modelando o veículo, o carregador, a rede e as interações entre esses três sistemas para compreender onde poderiam estar os vetores de ataque”, afirma ele. “Estamos mais preocupados com um ataque que se inicie em um veículo ou carregador e, então, se propague pela rede, interrompendo o fornecimento de energia em toda a região.”
Futuramente, o objetivo é criar sistemas com autorrecuperação capazes de detectar invasões e, em seguida, realizar ações automáticas de mitigação e reparo. “Existem bilhões de sondagens e ataques ocorrendo todos os dias nas nossas redes, e não temos pessoal qualificado o suficiente para conseguir reagir a cada um deles”, diz Heaslip. “Portanto, em longo prazo, precisamos utilizar recursos automatizados para combater esses ataques.”
Inovação por meio da colaboração
Apesar da reputação de ludismo e da fidelidade a sistemas legados, o setor público faz contribuições importantes para a inovação da segurança cibernética, de acordo com o Dr. David Mussington, diretor assistente de segurança de infraestrutura da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA, Cybersecurity and Infrastructure Security Agency). Embora a maior parte das inovações em segurança cibernética tenham origem no setor privado, ele afirma que o governo pode incentivá-las por meio do trabalho colaborativo.
“De uma perspectiva da infraestrutura crítica, existe uma parceria público-privada para a aplicação e descoberta conjunta de soluções”, relata Mussington. “Conversamos diretamente com o setor sobre suas preocupações quanto aos riscos e, de maneira interativa, desenvolvemos e defendemos soluções alinhadas às boas práticas. Essas boas práticas vêm do setor – de empresas líderes em sua área – mas também de lugares como o NIST [National Institute of Standards and Technology, Instituto Nacional de Normas e Tecnologia], com quem colaboramos para garantir que as normas de segurança cibernética sejam transformadas em formatos e serviços que o setor possa usar e nos quais possa inovar.”
A infraestrutura de energia é diferente da infraestrutura de água, que por sua vez é diferente da infraestrutura de transportes. Por meio da CISA e de sua organização para envolvimento das partes interessadas, o governo federal pode ser um canal neutro para distribuir conhecimentos entre os setores a fim de codificar as melhores práticas e estimular novas ideias.
“Conhecimentos sobre os seus negócios não é o mesmo que conhecimentos sobre riscos cibernéticos para os seus negócios”, afirma Mussington. “A CISA é especializada na conscientização de riscos cibernéticos – conscientização de quais táticas, técnicas e procedimentos os adversários podem usar para minar a infraestrutura crítica – e podemos usar essa especialidade para reforçar as preocupações com riscos aos negócios acrescentando as preocupações com riscos operacionais gerais do ponto de vista governamental. E podemos fazer isso de uma perspectiva intersetorial.”
No contexto da computação ubíqua, uma perspectiva intersetorial é muito valiosa. “Na CISA, passamos muito tempo pensando na convergência ciberfísica”, conta Mussington. “Uma coisa é ter um sistema crítico como um carro, uma ponte ou um túnel. Outra coisa é quando colocamos a infraestrutura de comunicações dentro desse sistema físico. De repente, temos uma complexidade muito maior, com diferentes tipos de preocupação e priorização de riscos que precisam ser conciliados. Esse nexo ciberfísico chega ao ápice com a internet das coisas, em que propagamos tecnologias de computação por um grande número de sistemas que até então não costumavam ficar ligados em rede.”
A falta de reconhecimento da convergência ciberfísica pode ter consequências desastrosas para a infraestrutura crítica, mas usá-la como base para a inovação pode trazer ótimos resultados.
“Realmente podemos ter mais segurança e eficiência ao mesmo tempo”, afirma Katara. “Só precisamos abandonar velhos métodos e abraçar os novos.”
