As infraestruturas e entidades críticas – as indústrias e organizações essenciais para o funcionamento económico e social – são um alvo óbvio para os cibercriminosos. É vital que as tecnologias que utilizam para a segurança e a eficiência operacional não criem vulnerabilidades de cibersegurança. Aqui, analisamos os problemas e como construir resiliência.
Infelizmente, é mais fácil do que nunca encontrar exemplos do maior número e gravidade de ciberataques contra infraestruturas críticas. O Centro de Estudos Estratégicos e Internacionais mantém uma lista de incidentes e ataques cibernéticos significativos contra organismos governamentais e outras organizações – uma lista que inclui mais de 50 exemplos só em 2024. E estes são apenas aqueles que chegam ao domínio público.
Embora nem todos estes se relacionem especificamente com ataques contra o que seria considerada uma infraestrutura crítica, é claro que, para aqueles que pretendem criar a máxima perturbação, os serviços essenciais para o bem-estar económico e social de um país são um alvo chave.
Por exemplo, há relativamente pouco tempo, um hacker conseguiu aceder aos sistemas de um centro de tratamento de águas na cidade de Oldsmar, na Flórida. Durante o ataque, o hacker conseguiu aumentar brevemente os níveis de hidróxido de sódio para níveis perigosamente elevados, de 100 partes por milhão para 11.100 partes por milhão.
Em maio de 2023, o setor energético na Dinamarca sofreu o maior ciberataque coordenado da sua história, que viosu 22 empresas na indústria da energia. Foram visadas várias vulnerabilidades nas firewalls para o acesso inicial à rede, enquanto a subsequente execução do código proporcionou aos hackers o controlo total sobre os sistemas afetados.
Embora as vulnerabilidades tenham sido rapidamente corrigidas e as redes afetadas protegidas, é mais um exemplo dos potenciais riscos e impactos dos setores chave que estão a ser perturbados. É também uma ilustração de como os cibercriminosos estão constantemente à procura de fraquezas na segurança da rede e de potenciais vulnerabilidades a explorar. No nosso mundo cada vez mais conectado, qualquer endpoint de rede pode constituir uma oportunidade de ataque.
Não surpreende, portanto, que os ciberataques continuem a crescer em frequência. Uma investigação revelou que os ciberataques contra infraestruturas críticas aumentaram 30% desde 2022, tendo ocorrido mais de 420 milhões de ataques entre janeiro de 2023 e janeiro de 2024, o que equivale a um surpreendente número de 13 ataques por segundo.
Um mundo conectado significa um mundo hackeável
O mundo está mais interligado do que nunca. A Internet das Coisas (Internet of Things - IoT) representa milhares de milhões de dispositivos e sensores que se encontram ligados entre si, desde colunas inteligentes a câmaras de vigilância, a fornecerem serviços valiosos e a criarem enormes eficiências para consumidores e empresas. Os perímetros em torno das redes empresariais tornaram-se conceptualmente mais permeáveis, facilitando as ligações externas de colaboradores, fornecedores, clientes e milhões de dispositivos.
As redes dentro de infraestruturas críticas não são diferentes. Embora a necessidade de proteger qualquer rede seja importante, os riscos associados às violações de redes de infraestruturas críticas são tão significativos que é ainda mais imperativa uma abordagem robusta à cibersegurança no setor.
Além disso, as regulamentações evoluíram e foram criadas de modo a incluir entidades críticas, que incluem qualquer organização envolvida na cadeia de distribuição de infraestruturas críticas, e a centrar as atenções na resiliência destas organizações face às ciberameaças. A amplitude dos fatores que têm agora de ser tidos em conta é realçada pela definição de resiliência da UE: "A capacidade de uma entidade crítica prevenir, proteger contra, responder a, resistir, mitigar, absorver, acomodar e recuperar de um incidente".
Regulamentos como a Diretiva de Resiliência de Entidades Críticas (CER) e a Diretiva NIS 2 definiram requisitos muito mais rigorosos em toda a cadeia de distribuição de infraestruturas críticas, juntamente com sanções graves para violações.
Infelizmente, porém, todos os dispositivos e sistemas ligados em rede podem ser vulneráveis. Qualquer dispositivo, se não estiver protegido em conformidade com as diretrizes do vendedor, pode ser um elo fraco que proporciona a um hacker o acesso ao sistema e resultar num ciberataque potencialmente catastrófico.
Embora as câmaras de vigilância de rede desempenhem um papel central na segurança física de infraestruturas críticas, a ironia final seria se estes mesmos dispositivos fossem o ponto de entrada para uma violação da rede de infraestruturas críticas.
A melhor prática é não confiar em ninguém até ser efetuada a verificação
Nenhuma rede pode estar 100% cibersegura. Sem o ónus dos regulamentos e tão bem financiados quanto qualquer empresa em início de atividade, os cibercriminosos procuram constantemente inovar os seus métodos de ataque. Por isso, é essencial que os operadores de infraestruturas críticas trabalhem de forma igualmente árdua para compreender o panorama evolutivo das ameaças e manter-se um passo à frente.
À medida que mais dispositivos se ligam às redes utilizadas pela infraestrutura crítica, maior será a necessidade de ir além de uma solução de firewall única central para aumentar a segurança da rede. Uma nova abordagem é ter camadas de segurança sob a forma de redes de confiança zero.
Em termos simples, e como o nome sugere, as redes de confiança zero baseiam-se no pressuposto de que nenhuma entidade que estabeleça ligação e se encontre dentro da rede – seja aparentemente humana ou máquina – pode ser de confiança. Independentemente do que pareçam ser, de onde quer que estejam a ligar-se e da forma como estejam a ligar-se, não são de confiança até terem sido verificados.
Esta verificação pode ocorrer de várias formas e várias vezes; e, frequentemente, implica a concessão de acesso apenas à parte específica da rede necessária para realizar uma tarefa. A verificação também se aplica tanto a dispositivos – incluindo câmaras – como a indivíduos. A capacidade de qualquer dispositivo conectado verificar irrefutavelmente a sua identidade é essencial numa arquitetura de rede Zero Trust (confiança zero).
Devem ser tomadas medidas adicionais para garantir que cada aspeto da solução de vigilância é o mais seguro possível, e estão disponíveis muitos recursos para dar resposta à cibersegurança.
Monitorização e gestão do estado do sistema
Tal como a monitorização da nossa própria saúde é essencial para detetar problemas menores e fraquezas que podem tornar-se problemas mais significativos no futuro, a monitorização eficaz da integridade das soluções de vigilância desempenha o mesmo papel na descoberta de problemas, como dispositivos offline e ligações com falhas.
A visibilidade completa de todos os dispositivos de vigilância ligados à rede e do respetivo estado proporciona uma compreensão abrangente do sistema. Desta forma, é dada ajuda na identificação, resolução e limitação de potenciais problemas.
Além de monitorizarem a integridade, as ferramentas de software conseguem facilitar as atualizações do software do dispositivo. Isto é essencial na correção de vulnerabilidades recentemente descobertas e na manutenção de soluções de vigilância seguras, especialmente à medida que as organizações adicionam mais dispositivos IoT às respetivas redes.
Cibersegurança ao longo da cadeia de valor
As soluções de vigilância modernas eficazes são a soma de muitas partes. À medida que as próprias câmaras de vigilância se tornaram dispositivos informáticos mais poderosos – e com a capacidade de alojar análise de IA no próprio dispositivo – um aspeto chave da cibersegurança é uma visão holística da resiliência em toda a cadeia de valor.
É óbvio dizer que as infraestruturas críticas sempre se focaram na proteção física das instalações, fábricas e edifícios em que milhões de pessoas em todo o mundo confiam para os serviços fundamentais da vida diária. Com as ameaças atuais a serem tanto digitais como físicas – provavelmente ainda mais – é essencial que seja dada a mesma atenção à cibersegurança. É um foco que continuará a ser uma prioridade para a Axis e para os nossos parceiros.
