O boletim deste mês do Observatório de Segurança emitido pelo Centro Nacional de Cibersegurança destaca a transformação do contexto geopolítico internacional devido à invasão da Ucrânia por parte da Federação Russa, e as consequências que esta ação teve no ciberespaço, em particular com a intensificação de ameaças estatais, paraestatais e hacktivistas.

A realidade é que com a atual instabilidade geopolítica e com uma cada vez maior interconectividade, as Infraestruturas Críticas Nacionais - ICN - tornam-se cada vez mais vulneráveis a ciberataques. Assistimos atualmente a um aumento da probabilidade de ataques a sistemas de serviços públicos, redes de transportes, infraestruturas industriais e de comunicações. De acordo com o relatório da Trend Micro do ano passado, 89% dos fornecedores de energia sofreram, nos 12 meses anteriores, ciberataques com impacto na produção e fornecimento de energia.

São variados os motivos para estes ataques. Alguns grupos de atacantes são claramente motivados pelo ganho financeiro e tiram partido de várias táticas para forçar as organizações a pagar um resgate para terem os seus sistemas de volta. Noutros ataques torna-se mais difícil compreender a motivação por detrás dos mesmos, sendo que os ataques com motivações geopolíticas são, por natureza, mais difíceis de combater pois são liderados por grupos "state sponsored" que não são necessariamente motivados por ganhos financeiros e que tomam ações menos previsíveis e mais abrangentes do que os cibercriminosos mais comuns.

Impacto físico e virtual

Os ciberataques a ICN podem ter um impacto físico na infraestrutura de OT (Operational Technology) bem como graves implicações no mundo virtual, como seja por exemplo a extração de dados importantes e as subsequentes tentativas de extorsão à organização responsável pelos mesmos.

O ataque à SolarWinds em 2020, uma empresa de software norte americana que fornece soluções para monitorização de redes e infraestruturas, expôs os dados de mais de 18.000 clientes dos setores público e privado. Este ataque, que atingiu milhares de organizações globais incluindo diversas partes do governo federal norte-americano, terá sido executado por um grupo apoiado pelo governo Russo. Inicialmente, em setembro de 2019, os atacantes conseguiram acesso aos sistemas da SolarWinds onde se crê que permaneceram cerca de 14 meses sem serem detetados. Embora este ataque não tenha tido consequências físicas, estima-se que os custos de recuperação foram superiores a 100 mil milhões de dólares.

No entanto, os ciberataques podem ter também um significativo impacto físico, como aconteceu no ataque de ransomware ao Colonial Pipeline em 2021, o maior sistema de oleodutos para produtos petrolíferos refinados nos Estados Unidos. Os atacantes, motivados pelo ganho financeiro, conseguiram obter acesso à rede da Colonial Pipeline utilizando uma password exposta através de uma conta de acesso à VPN.

Embora os sistemas OT não tenham sido diretamente comprometidos neste ataque, vários outros sistemas, incluindo sistemas financeiros, foram infetados. O resultado foi um impacto físico na indústria de aviação bem como no consumo de produtos petrolíferos, com graves limitações no fornecimento de combustível bem como situações de pânico na aquisição de combustíveis. Como este pipeline sustentava o transporte das refinarias para os mercados, o ataque foi considerado uma ameaça à segurança nacional, levando o presidente Joe Biden a declarar o estado de emergência.

A boa notícia é que desde o ataque ao Colonial Pipeline, foram dados passos significativos para melhorar a colaboração entre os setores público e privado nos EUA, resultando numa maior resiliência em todas as infraestruturas nacionais críticas do país.

O mesmo tem vindo a acontecer a nível nacional com uma colaboração cada vez maior entre o setor público e privado que temos vindo a observar em Portugal.

Uma abordagem colaborativa

A defesa bem-sucedida da Ucrânia contra os ataques digitais às suas infraestruturas críticas nacionais durante a invasão russa do país, é outro exemplo de como pode ser eficaz quando os setores público e privado trabalham em conjunto. A empresa de cibersegurança Mandiant registou mais ciberataques destrutivos na Ucrânia nos quatro meses que antecederam a invasão em 2022, do que nos oito anos anteriores. Apesar desta quantidade de ataques de um adversário teoricamente mais poderoso, a Ucrânia resistiu. O seu sucesso deveu-se, em grande parte, à sua vontade de colaborar com organizações do sector público e privado de todo o mundo, partilhar informações sobre ameaças cibernéticas e coordenar respostas. A abordagem colaborativa da Ucrânia em matéria de defesa é um exemplo com o qual todos podemos aprender.

Cinco passos para reforçar as suas defesas

A nossa experiência na DXC diz-nos que muitas organizações de infraestruturas críticas estão atrasadas em relação às mais recentes abordagens e tecnologias de cibersegurança, apesar de se irem tornando cada vez mais complexas e interconectadas. À medida que as organizações crescem e fazem parcerias com outras, as suas cadeias de fornecimento e unidades de TI tendem a tornar-se mais descentralizadas, com muitas das organizações de infraestruturas críticas a serem responsáveis por máquinas e equipamento industrial integrados nas suas redes de comunicações. Tipicamente isto leva a um aumento do perímetro a proteger, ou seja, uma maior superfície de ataque à disposição de criminosos, reforçando ainda mais a necessidade de dar prioridade às defesas na área de cibersegurança.

Seguem-se alguns primeiros passos importantes que as organizações podem dar para se protegerem:

1. Gestão de risco

As organizações precisam de fazer com que a sua gestão do risco vá mais longe do que no passado de forma a identificar as principais vulnerabilidades na sua cadeia de fornecimento - incluindo o seu ecossistema de parceiros. É necessário compreender não só as suas vulnerabilidades, mas também qual seria o potencial impacto se os seus sistemas críticos fossem comprometidos na sequência de um ciberataque. As avaliações de risco devem mapear todo o espetro de ameaças, determinar os principais objetivos do negócio, identificar a propriedade, funções e requisitos para fazer face a um ciberataque. A análise de risco deverá contemplar ativos físicos como equipamentos remotos, e ativos orientados para o consumidor, como sensores e dispositivos inteligentes, que constituem pontos de entrada fáceis para os atacantes.

Para apoio na gestão de risco, e sempre que possível, deverão ser adotadas as tecnologias mais recentes disponibilizadas pela indústria, tais como: inteligência artificial (IA), análise comportamental, e arquiteturas "zero trust" (ZTA) que poderão apoiar nas suas defesas.

Cada vez mais, os processos de cibersegurança são automatizados com recurso a IA e machine learning (ML), incluindo a deteção e a resposta a ameaças. Do mesmo modo, os algoritmos de ML são utilizados na análise comportamental para analisar o comportamento dos utilizadores, que pode ser utilizado para detetar potenciais atividades criminosas. Tendo em conta que a arquitetura de segurança ZTA não permite confiar implicitamente em nenhum utilizador ou dispositivo, todos os pontos de acesso têm de ser autenticados e verificados.

2. OT Cyber Hygiene

A ciberdefesa deverá assentar em ambientes de OT sólidos e disciplinados. Algumas das maiores falhas de segurança nascem da falta de exercícios de threat modelling e de testes de stress no ambiente OT. É necessário que as organizações identifiquem e compreendam as suas maiores vulnerabilidades e onde podem antecipar os ataques antes que seja demasiado tarde. A realização destes testes rigorosos num espaço seguro para simular ataques permitirá aos profissionais de cibersegurança aprender com a experiência e aplicar os seus conhecimentos antes de ocorrer um ataque real.

Embora a cloud se tenha tornado o padrão atual para a maioria das organizações, a sua adoção introduz também novos riscos de segurança que estas devem considerar. As vulnerabilidades na infraestrutura do fornecedor de serviços cloud, os reduzidos controlos de acesso ou as ameaças internas podem aumentar o risco.

As organizações precisam de avaliar detalhadamente as práticas e os controlos de segurança dos seus fornecedores de serviços cloud antes de lhes confiarem os seus dados.

3. Consciencialização e educação em cibersegurança

Embora os criminosos utilizem técnicas sofisticadas para aceder a redes, extrair dados e pedir um resgate às vítimas, o acesso começa frequentemente com algo tão simples como uma palavra-passe exposta. Ao contrário das técnicas tradicionais de criminalidade informática, que se centram na exploração de vulnerabilidades em sistemas ou redes informáticas, muitos dos hackers atuais utilizam técnicas de engenharia social, como phishing e personificação, para obter acesso não autorizado a redes e sistemas. A engenharia social explora as emoções humanas, a curiosidade, a confiança e a falta de consciencialização para manipular os utilizadores de modo a comprometerem a segurança.

É fundamental educar os colaboradores sobre os riscos da engenharia social e promover uma cultura de segurança. Esta cultura deverá ser abrangente e promovida pelo topo da organização. As organizações devem realizar sessões de formação regulares em toda a empresa de forma que os seus colaboradores possam reconhecer sinais de alerta, comunicações suspeitas e táticas de manipulação utilizadas pelos atacantes. Devem também ser educados sobre a necessidade de palavras-passe fortes e únicas e obrigados a utilizar a autenticação multifator (MFA).



4. Segurança aplicacional

As aplicações deverão ser concebidas e mantidas tendo em conta as várias ameaças a que estão sujeitas, incluindo acesso não autorizado, data breaches, injection attacks, cross-site scripting (XSS) e outras vulnerabilidades passíveis de serem exploradas pelos atacantes.

Deverão ser seguidas práticas de desenvolvimento de código seguro para criar aplicações resistentes a vulnerabilidades comuns. As aplicações deverão ser testadas e remediadas as suas falhas antes de poderem ser exploradas. As organizações devem também aplicar práticas de encriptação e de armazenamento seguro de dados para proteger os dados sensíveis em trânsito e em repouso. As atualizações e a aplicação de patches regulares mantêm as aplicações e os seus componentes atualizados e aumentam a resiliência.

5. Air Gaps

Para além dos vários componentes de segurança, os "air gaps" podem ter um papel importante numa estratégia de defesa por camadas. "Air gaps" são pontos de quebra de conectividade e continuidade colocados em pontos estratégicos na arquitetura de TI, de forma a minimizar o contágio em caso de um ciberataque. As ICN devem analisar cuidadosamente a arquitetura dos seus sistemas e inserir estes "air gaps" em pontos críticos sem prejudicar a produção ou a eficiência operacional. Ao fazê-lo, as organizações ajudarão a reduzir a possibilidade dos seus sistemas críticos serem infiltrados por agentes maliciosos durante um ciberataque.

Em resumo

São cada vez mais as ameaças a que as infraestruturas críticas nacionais estão sujeitas. Embora por vezes seja difícil entender a motivação para estes ataques e prever como poderá ser o próximo, a nossa capacidade para proteger estes sistemas é também cada vez maior. A IA e ML aumentam a nossa capacidade para monitorizar estes sistemas, identificar ataques numa fase inicial e responder de forma rápida e eficaz. No entanto, como foi referido, existem várias ações que as organizações podem tomar antecipadamente de forma a incorporar a resiliência no centro das suas organizações.

No entanto, de forma a resolvermos verdadeiramente esta questão e garantirmos a segurança das infraestruturas críticas nacionais, precisamos de um esforço concertado e de colaboração entre os setores público e privado que transcenda as fronteiras organizacionais e nacionais.

As boas notícias são que cada vez mais temos bons exemplos desta tendência de cooperação, com organizações e a comunidade internacional a trabalharem em conjunto no desenvolvimento de standards comuns, boas práticas e frameworks legais para lidar com o cibercrime. Estes esforços elevam os padrões globais de proteção de indivíduos, empresas, infraestruturas críticas nacionais bem como de governos contra esta ameaça crescente.

António Ribeiro, Portugal Cybersecurity Lead da DXC