Para Marty Edwards, copresidente de grupo de trabalho do governo americano, políticas contra ataques em infraestruturas críticas é tarefa urgente
Um dos maiores esforços empreendidos atualmente pelo departamento de segurança interna dos Estados Unidos, (ou Homeland Security, como costuma ser chamado) tem relação com segurança cibernética. Normalmente relacionado a esforços de contraterrorismo, a estrutura federal agora se volta para ataques de ransomware – como o que afetou no começo de maio a Colonial Pipeline, uma das maiores operadoras de dutos de combustível no país.
Ataques como esse, que paralisou a empresa e afetou o fornecimento de combustível no país, fazendo aumentar o preço de contratos futuros de petróleo, vai acontecer de novo em infraestruturas críticas nos EUA e do mundo. Ou seja, são inevitáveis. Mas isso não significa que seja possível reduzir riscos aplicando políticas que coordenem esforços entre os setores público e privado.
É o que diz Marty Edwards, vice-presidente de soluções de segurança para tecnologias operacionais (OT) da Tenable e copresidente do CSIWG – sigla em inglês para Grupo de Trabalho Interagências de Sistemas de Controle, parceria público-privada entre governo e o setor privado para segurança de OT. O grupo faz parte da CISA (Cybersecurity and Infrastructure Security Agency), órgão do governo dos EUA que regula a área de cibersegurança no setor industrial. Também foi diretor do time de respostas de emergência contra incidentes de segurança industriais (ICS-CERT), dentro do mesmo Homeland Security.
O ataque cibernético contra a Colonial Pipeline levou o governo do democrata Joe Biden a criar, no último dia 12 de maio, uma ordem executiva que impõem maiores controles sobre ambientes industriais. Para o especialista, que tem 35 anos de experiência no setor – boa parte deles em segurança de infraestruturas industriais – ataques de ransomware contra infraestruturas críticas dos países devem continuar aumentando.
“Garantir a segurança digital das redes que suportam nossa energia e serviços públicos, resposta a emergências, serviços hospitalares e defesa nacional deve ser uma prioridade de qualquer nação”, diz o especialista em entrevista concedida por e-mail ao IT Forum. Leia a seguir:
IT Forum: O incidente com a Colonial Pipeline é o mais recente de uma série de ataques de ransomware que afetaram organizações de vários setores, mas desta vez com implicações práticas para a vida de um país inteiro. Eles serão cada vez mais comuns a partir de agora ou há uma reação acontecendo?
Marty Edwards: O ransomware tem sido o vetor de ataque favorito dos cibercriminosos devido à eficácia e ao retorno sobre o investimento. Os cibercriminosos são inteligentes – eles sabem que setores como manufatura, infraestrutura crítica ou finanças têm muito a perder se forem forçados a encerrar atividades por qualquer período de tempo. A Tenable Research revelou [nesse estudo] que 35% das violações [ocorridas] em 2020 estavam relacionadas a ataques de ransomware e essa tendência parece continuar a aumentar.
IT Forum: Os hackers que assumiram o ataque contra a Colonial Pipeline declararam que o fizeram apenas por dinheiro. Nesse sentido é vantajoso para eles atacarem infraestruturas tão críticas? Ou atacar empresas que preferem não expor esse tipo de problema e ficarão em silêncio?
Edwards: Os cibercriminosos adoram usar o mínimo de esforço para obter o maior retorno sobre os investimentos feitos em um ataque. Portanto, eles olharão para o alvo mais fácil com o maior potencial de pagamento, e isso dependerá muito de cada empresa, de cada instalação individual e de como parece ser a estratégia de segurança. Em geral, vamos um aumento de ataques contra setores como manufatura, que foi o segundo mais atacado em 2020, e que estava em oitavo lugar em 2019, atrás apenas de serviços financeiros, de acordo com o IBM X-Force Threat Intelligence Index. Da mesma forma, o setor de energia saltou do nono lugar em 2019 para o terceiro em 2020.
IT Forum: Como as organizações estão reagindo? Que medidas tomaram para prevenir ou reduzir incidentes – se é que fizeram alguma coisa? São medidas eficazes? Algo está faltando?
Edwards: Não podemos generalizar, mas vimos verticais como água, energia, manufatura e saúde agora demonstrando interesse crescente em proteger ativos críticos de agentes de ameaças de OT. Muitos setores sofreram uma rápida transformação digital, convergindo cada vez mais ambientes de OT com TI. Isso significa que a tecnologia que alimenta a manufatura, as refinarias e as concessionárias de serviços públicos agora está conectada à internet. Isso pode ser desafiador para organizações que antes usavam ferramentas de segurança separadas para cada ambiente e agora precisam de visibilidade holística de ativos para evitar pontos cegos. A maturidade dessa evolução varia muito de setor para setor, de empresa para empresa.
IT Forum: A ordem executiva do presidente Biden anunciada recentemente é positiva? O que ela precisa conter para ser realmente eficaz?
Edwards: Garantir a segurança digital das redes que suportam nossa energia e serviços públicos, resposta a emergências, serviços hospitalares e defesa nacional deve ser uma prioridade. Vimos um aumento sem precedentes em ataques que estão se tornando mais prejudiciais a cada dia – portanto, agir não é simplesmente uma opção, é uma necessidade. Esta ordem executiva é um primeiro passo importante na preparação de nós como sociedade para o próximo ataque, que sem dúvida virá muito em breve e precisamos estar prontos. Estamos aguardando os detalhes da implementação, mas posso dizer que estamos no caminho certo para estabelecer práticas de cadeia de suprimentos mais seguras ao aumentar a transparência e a responsabilidade, e promovendo a segurança cibernética e melhores práticas de gerenciamento de risco, criando assim um ambiente cibernético seguro para todos.
IT Forum: Uma regulamentação federal pode trazer riscos para o ambiente de inovação e negócios nos EUA e no mundo? Quais?
Edwards: Quando você observa como a segurança cibernética se tornou uma parte integrante e difundida de todos os aspectos de nossa vida – infraestrutura de comunicações, registros digitais, distribuição, sistemas de saúde – fica claro que precisamos começar a ver a segurança cibernética e o gerenciamento de riscos cibernéticos como componentes integrais para tomadas de decisão corporativa. Estamos operando em um ambiente de ameaças dinâmico e é necessária uma ação. Regulamentações como esta EO [executive order], que aumentam a transparência e a responsabilidade após um ataque cibernético podem ajudar a comunidade global de segurança cibernética a aprender e lidar com novas ameaças. No entanto, embora a política governamental possa desempenhar um papel eficaz na melhoria do ambiente de segurança cibernética, é importante que qualquer política ou regulamentação seja desenvolvida em consulta com as partes interessadas, para garantir que as políticas sejam informadas pelo conhecimento e pelas experiências das organizações que desenvolvem tecnologias de segurança inovadoras. Também devem ser focadas em resultados e permitir flexibilidade na implementação para um desenvolvimento contínuo de tecnologia inovadora. E as políticas e regulamentações devem estar alinhadas com padrões e práticas internacionais baseadas em consensos. Ameaças cibernéticas não reconhecem fronteiras nacionais, e os padrões ou requisitos específicos de cada país que entram em conflito com as melhores práticas globais podem limitar a concorrência e restringir soluções de tecnologia inovadoras.
IT Forum: Como os fabricantes de soluções de cibersegurança podem contribuir, tanto em termos de debate público quanto de soluções e ações eficazes?
Edwards: Garantir a segurança digital das redes que suportam nossa energia e serviços públicos, resposta a emergências, serviços hospitalares e defesa nacional deve ser uma prioridade de qualquer nação. A segurança cibernética é responsabilidade de todos. Para oferecer suporte a isso, os fabricantes de soluções de segurança têm a responsabilidade de tornar seus sistemas de missão crítica e de segurança o mais seguros possível. Fornecedores também devem se envolver com os formuladores de políticas governamentais por meio de parcerias público-privadas para identificar lacunas na gestão de riscos em todos os setores e desenvolver orientações e estruturas eficazes para lidar com essas lacunas.
