A defesa cibernética e as infraestruturas críticas nacionais

As infraestruturas críticas desempenham um papel fundamental na sustentação e no desenvolvimento de um país. No contexto brasileiro, essas infraestruturas abrangem uma ampla gama de setores vitais, como energia, transporte, comunicações, saneamento, saúde e segurança. Sua operação contínua e segura é essencial não apenas para a prosperidade econômica, mas também para a segurança nacional e o bem-estar dos cidadãos.

Neste artigo, exploraremos a importância das infraestruturas críticas no Brasil, as preocupações cibernéticas de como podemos proteger esses sistemas, fortalecendo sua resiliência contra ameaças internas e externas.

Infraestruturas Críticas Nacionais (ICN)

Infraestruturas críticas nacionais (ICN) referem-se a sistemas, instalações e serviços essenciais para o funcionamento de uma sociedade e a economia de um país. Essas infraestruturas são consideradas críticas devido à sua grande importância para a segurança, saúde, bem-estar e funcionamento contínuo de uma nação.

“As infraestruturas de comunicações, de energia, de transportes, de finanças, de águas, de defesa, entre outras, possuem dimensão estratégica, uma vez que desempenham um papel essencial tanto para a segurança e soberania nacionais, como para a integração e o desenvolvimento econômico sustentável do País. Fatores que prejudiquem o adequado fornecimento dos serviços provenientes dessas infraestruturas podem acarretar transtornos e prejuízos ao Estado, à sociedade e ao meio ambiente.” – Governo brasileiro.

Preocupação cibernética da infraestrutura crítica

Devido ao aumento da interconexão global, diversas ameaças surgiram, e com elas novos cenários críticos. No primeiro semestre de 2023, o Brasil surpreendeu ao liderar o ranking latino-americano de ataques cibernéticos com mais de 23 bilhões de incidentes registrados¹. Essa escalada alarmante de incidentes não apenas destaca a vulnerabilidade de nossa infraestrutura digital, mas também a necessidade urgente de soluções robustas para enfrentar esse desafio crescente.

Principais vulnerabilidades que afetam as infraestuturas críticas

Entendemos que as infraestruturas críticas estão sujeitas a uma vasta gama de ameaças, com diferentes vetores de ataques e alguns dos principais formatos utilizados.

As infraestruturas críticas estão sujeitas a inúmeras ameaças, incluindo:

• Ataques cibernéticos: invasões por hackers capazes de comprometer sistemas e dados sensíveis;
• Ataques físicos: danos diretos a equipamentos ou instalações físicas;
• Catástrofes naturais: eventos como terremotos, inundações ou incêndios;
• Falha humana: erros operacionais causados por equívocos humanos;

Alguns dos principais vetores analisados neste cenário são²:

• Sensores industriais: os sensores industriais são fundamentais para o monitoramento e controle de sistemas de infraestruturas críticas. No entanto, quando conectados à internet, eles se tornam alvos potenciais para invasores. As consequências de tais ataques podem variar desde interrupções operacionais até danos físicos, com custos associados à reparação e perda de produção;
• Firewalls antigos e mal configurados: firewalls mal configurados ou desatualizados podem deixar as redes vulneráveis a ataques cibernéticos. Isso pode resultar em violações de dados, com custos associados à recuperação de dados, danos à reputação da marca e possíveis multas por não conformidade com regulamentações de proteção de dados;
• Bancos de dados: a conexão com bancos de dados pode ser um ponto fraco se não for adequadamente protegida. Uma violação de dados pode resultar em perda de propriedade intelectual, danos à reputação da marca, interrupção dos negócios e multas ou penalidades por não conformidade. Além disso, a recuperação de violações e a notificação de clientes podem gerar custos adicionais;
• Acesso telefônico ou conexões de gerenciamento de rede secundária: canais de gerenciamento de rede secundária podem ser explorados por cibercriminosos, exemplo é o ataque de falsificação de identificação de chamadas (Caller ID Spoofing), onde a identificação do número e dados de chamadas VoIP são clonados e utilizados para fins maliciosos. Isso pode levar a violações de segurança, com possíveis consequências, incluindo perda de dados, interrupção dos serviços e custos associados à reparação e recuperação;
• VPNs (Redes Privadas Virtuais): VPNs mal configuradas podem ser alvo de ataques. Uma VPN mal configurada pode expor dados sensíveis a ataques cibernéticos, comprometendo a integridade das comunicações. Além disso, pode resultar em vazamento de IP, permitindo que terceiros identifiquem a localização e a identidade do usuário. As consequências podem incluir perda de dados, danos à reputação e custos associados à recuperação e reparação;

Quais são os focos dos ataques às infraestruturas críticas?

Os ataques podem ser direcionados a dois tipos de ambientes: os de Tecnologia da Informação (TI), que englobam os sistemas e softwares da empresa, e os de Tecnologia Operacional (OT), que abrangem os serviços fornecidos pela empresa. Ataques e falhas nesses sistemas podem resultar em danos diretos às operações da empresa.

Dispositivos conectados à internet e tecnologias integradas nos sistemas de tecnologia operacional podem ser alvos de exploração por agentes de ameaças, que buscam obter acesso não autorizado ou executar comandos maliciosos.

Essa vulnerabilidade pode ser explorada por diversas razões:

Quando os dispositivos conectados geralmente tem poder de processamento operacional mínimo, o que limita a capacidade de suportar atualizações de firmware ou a integração de um agente de proteção.

Quando a superfície do ecossistema industrial é grande e complexa, aumenta o conjunto de vulnerabilidades atraentes para os atacantes.

Quando são projetados para redes fechadas com vida útil prolongada, resultando em dificuldade de adaptação às mudanças e falta de recursos de segurança modernos.

Exemplos de ataques no Brasil

Setor de Saúde

Em 2021, um grupo de hackers autodenominado Lapsus$ realizou um ataque cibernético contra o Ministério da Saúde, resultando no roubo de informações sensíveis. Esses dados incluíam informações pessoais e médicas de pacientes diagnosticados com COVID-19. O incidente expôs uma séria vulnerabilidade na infraestrutura de segurança do Ministério da Saúde, colocando em risco a privacidade e a segurança das informações de saúde dos cidadãos afetados³.

Setor de Energia

Empresas como a Copel e a Eletrobras foram alvo de ataques de ransomware em 2021. No caso da Eletrobras, o ataque ocorreu na rede da Eletronuclear, uma subsidiária responsável pelo controle das usinas Angra 1 e 2. O ataque afetou parte de seus servidores administrativos, mas não interferiu na operação das centrais nucleares. A Copel foi atacada pelo grupo de ransomware Darkside, que afirmou ter obtido cerca de 1.000 GB de dados, incluindo informações confidenciais sobre o acesso à infraestrutura e dados pessoais de clientes, executivos e acionistas da estatal⁴.

Setor de Transporte

Setor de Transporte Em 2022 a SPTrans, empresa responsável pelo transporte público na cidade de São Paulo, confirmou que dados de 13 milhões de usuários do Bilhete Único foram obtidos por cibercriminosos. Esses dados incluíam informações pessoais e de viagem dos usuários. O incidente representou uma grave violação da privacidade dos passageiros e levantou preocupações sobre a segurança dos sistemas de informação da empresa⁵.

Política, estratégia e plano nacional para as infraestruturas críticas nacionais

Diante dos cenários diversos já ocorridos, surgiram, então, medidas governamentais destinadas a conter e mitigar os desafios enfrentados pelas infraestruturas críticas nacionais, refletindo uma abordagem estratégica e um plano nacional abrangente.

Política Nacional de Segurança de Infraestruturas Críticas (PNSIC)

Aprovada pelo Decreto nº 9.573, de 22 de novembro de 2018, a PNSIC define infraestruturas críticas e estabelece medidas preventivas e reativas para sua segurança. A política é implementada por meio da Estratégia Nacional de Segurança de Infraestruturas Críticas (ENSIC), do Plano Nacional de Segurança de Infraestruturas Críticas (PLANSIC) e do Sistema Integrado de Dados de Segurança de Infraestruturas Críticas (SIDSIC).

Estratégia Nacional de Segurança de Infraestruturas Críticas (ENSIC)

Aprovada pelo Decreto n° 10.569, de 9 de dezembro de 2020, a ENSIC consolida conceitos, identifica desafios e define eixos estruturantes e objetivos estratégicos para a segurança de infraestruturas críticas. A ENSIC serve como orientação estratégica para o PLANSIC.

Plano Nacional de Segurança de Infraestruturas Críticas (PLANSIC)

Aprovado pelo Decreto n° 11.200, de 15 de setembro de 2022, o PLANSIC é um instrumento de planejamento institucional que coordena e articula a atuação de órgãos e entidades envolvidos na segurança das infraestruturas críticas. O plano define áreas prioritárias de aplicação, prevê o envolvimento de diferentes níveis de governo e da sociedade, e destaca a gestão de riscos e o estudo de interdependência.

Como proteger o ambiente de tecnologia operacional?

Como o cenário de ameaças cibernéticas está em constante evolução, é cada vez mais importante para as organizações que possuem infraestruturas críticas prevenir e detectar ameaças, garantindo, ao mesmo tempo, a sua capacidade de responder e se recuperar rapidamente dos ataques.

Trabalhando com grandes clientes globais em vários setores, desenvolvemos uma abordagem abrangente para ajudar as organizações a gerenciar os riscos de segurança cibernética. Compartilhamos cinco etapas as companhias podem seguir para proteger seu ambiente de tecnologia operacional.

Cinco etapas para proteger o ambiente de tecnologia operacional

1. Gerencie e monitore seus ativos de tecnologia operacional

A visibilidade é fundamental para um programa robusto de segurança cibernética – você não pode proteger o que não pode ver. Embora os sistemas de OT variem em complexidade, as organizações podem usar ferramentas de descoberta automática para manter um inventário de ativos preciso e atualizado. Isso ajuda a garantir o monitoramento abrangente e contínuo de seus ativos em busca de eventos de interesse, permitindo destacar vulnerabilidades em tempo real.

2. Avalie sua maturidade cibernética

Uma avaliação de maturidade fornece informações importantes sobre o estado atual de segurança da empresa e ajuda a priorizar planos de ação departamentais e organizacionais para melhoria e correção. Esse é um ponto importante para as infraestruturas críticas na capacidade das organizações compreenderem o seu nível de maturidade. É, também, fundamental para manter a conformidade com os crescentes requisitos regulatórios.

3. Segmente sua rede

À medida que as redes OT se tornam cada vez mais conectadas, as potenciais superfícies de ataque expandem-se em conformidade. Nesse sentido, é vital proteger todos os pontos de entrada. Uma forma eficaz de proteger sua organização contra violações é por meio da segmentação de rede. Desse modo, ao dividir sua rede em segmentos individuais, as organizações podem controlar, monitorar e proteger cada sub-rede, ajudando, assim, a impedir a livre circulação de hackers em seu ambiente.

4. Crie uma estrutura de governança

Um programa eficaz de governação da cibersegurança requer o apoio da liderança desde o início para garantir que o quadro esteja alinhado com os objetivos estratégicos da sua organização e seja amplamente adotado. Definir o tom certo no topo também ajuda a estabelecer funções e responsabilidades na equipe para lidar com os riscos decorrentes da convergência de OT e TI.

5. Invista no seu pessoal

Aprimorar e requalificar seu pessoal é a melhor maneira de se defender contra ameaças cibernéticas. Os líderes precisam de nutrir uma forte cultura de segurança nas suas organizações, sustentada por campanhas regulares de formação e sensibilização, relevantes para as suas equipas, para colmatar a lacuna de conhecimento.

Como a BIP apoia empresas na proteção de suas infraestuturas críticas

A BIP Brasil realiza consultoria em infraestruturas críticas, e estamos apoiando diversas organizações na mitigação dos riscos cibernéticos em evolução, em resposta ao aumento das atividades de Transformação Digital. Se você quiser saber mais sobre como podemos ajudar, sinta-se à vontade para entrar em contato.

Fontes

• ¹Fonte: FortiLab Guards;
• ²Fonte: IBM,Khomp,RedHat,Security4IT,Kapersky;
• ³Fonte: Uol Notícias – SUS Hackeado;
• ⁴Fonte: TECH MUNDO – Ataques hackers ao setor de energia;
• ⁵Fonte: Uol Notícias – Usuários de bilhete púnico tiveram dados vazados;