Os consultores e especialistas que concebem e implementam soluções de vigilância e segurança para a indústria e as infraestruturas críticas enfrentam pressões incomparáveis. A proteção física destas "entidades essenciais" (como são cada vez mais referidas na regulamentação) é obviamente primordial, mas, atualmente, também são confrontados com a necessidade de apoiar a proteção contra ataques no domínio digital.
Além disso, para manter a conformidade, todos os membros da cadeia de valor têm de conhecer as mudanças no ambiente regulamentar. A cibersegurança é, afinal, uma responsabilidade partilhada por todos os envolvidos na conceção, especificação, fornecimento e utilização de uma solução de vigilância. Aqui, exploramos alguns dos problemas.
Um mundo onde quase toda a indústria é crítica
Interromper os serviços essenciais de um país - incluindo o fornecimento de energia elétrica e água, o fornecimento de cuidados de saúde, interferência no fabrico e muito mais - tem sido o objetivo dos agressores em conflitos ao longo da história.
Antes da era digital, obviamente, os ataques eram exclusivamente físicos. Mas a aplicação universal de tecnologias conectadas em todas as áreas da vida ao longo das últimas décadas criou a oportunidade para os maus elementos utilizarem meios físicos e digitais para interromper os serviços essenciais para a sociedade.
Não é segredo que os ciberataques estão a aumentar em número e sofisticação, e que estão a ser levados a cabo por um leque mais amplo de atacantes. Quer sejam hackers amadores a serem maliciosos, cibercriminosos bem organizados que procuram ganhos financeiros ou elementos apoiados pelo Estado que procuram minar a sociedade de um adversário, os ciberataques surgem de várias formas e a partir de várias fontes.
Devido à natureza altamente conectada das cadeias de fornecimento globais, a amplitude desses setores industriais agora definidos como entidades essenciais também aumentou. Há apenas dois ou três anos, muitas pessoas não considerariam a produção e o fornecimento de semicondutores como críticos. Mas os problemas de fornecimento durante a pandemia demonstraram como os chips são essenciais para muitos, se não para a maioria, dos processos industriais modernos.
O "efeito borboleta", em que uma pequena perturbação num sistema pode ter um grande impacto num outro no futuro, demonstrou ser verdade para a cadeia de fornecimento de tecnologia globalmente integrada.
Os reguladores enfrentam desafios de cibersegurança
Confrontados com um ambiente de cibersegurança tão rápido e em constante mudança, é sem surpresa que os governos e os reguladores estão a ter dificuldades em acompanhar o ritmo. Cada vez mais, a sua reação é no sentido de alterar a forma como regulam a cibersegurança.
Em termos gerais, em vez de definir o que os fornecedores de serviços essenciais precisam de ter implementado em relação à cibersegurança, a tendência na regulamentação é colocar sobre os fornecedores o ónus de provar que têm as medidas necessárias em vigor para se manterem ciberseguros.
Esta alteração tem implicações graves, não só para os próprios fornecedores, mas também para qualquer parte que forneça conhecimentos e soluções dentro da cadeia de fornecimento da entidade essencial. Toda a cadeia de valor – a montante e a jusante – será examinada.
NIS2 como exemplo do ambiente regulamentar em evolução
Os regulamentos de cibersegurança diferem em todo o mundo. Do Quadro de Cibersegurança do NIST nos EUA à proposta de Lei de Resiliência Cibernética na UE, os reguladores regionais e nacionais estão a definir o que consideram a abordagem mais eficaz para proteger serviços essenciais contra ciberataques.
A Diretiva NIS2, que entrou em vigor em janeiro deste ano, com os Estados-Membros da UE a terem até outubro de 2024 para a promulgar em lei, fornece um exemplo útil para destacar as implicações da nova regulamentação para entidades essenciais.
A NIS2 é uma resposta ao panorama evolutivo das ameaças, visa melhorar o nível geral de cibersegurança na UE e preenche as lacunas observadas na Diretiva NIS original. A Diretiva visa criar "uma cultura de segurança em todos os setores que são vitais para a nossa economia e sociedade e que dependem fortemente das Tecnologias da Informação e das Comunicações (TIC), como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde e as infraestruturas digitais".
É claramente um exemplo do reconhecimento por parte dos reguladores de como cada setor se tornou dependente da tecnologia e de como quaisquer vulnerabilidades estão a ser constantemente pesquisadas e exploradas pelos cibercriminosos.
Ao abrigo da Diretiva, os Estados-Membros da UE irão identificar as empresas e organizações que são operadores de serviços essenciais e essas organizações terão de tomar medidas de segurança adequadas e notificar as autoridades nacionais relevantes sobre quaisquer incidentes graves de cibersegurança.
Além disso, os principais prestadores de serviços digitais, como os serviços de computação na nuvem, também terão de cumprir os requisitos de segurança e notificação previstos na Diretiva. O alargamento para além dos prestadores de serviços essenciais e para toda a cadeia de fornecimento de tecnologia é óbvio.
Soluções de vigilância como parte da cadeia de valor da en tidade essencial
Como mencionado, a proteção de serviços essenciais sempre foi uma prioridade. As medidas físicas – vedações do perímetro, controlo de acesso e guardas de segurança – foram melhoradas através da tecnologia, com a implementação de soluções avançadas de videovigilância em todas as instalações de serviço essenciais. A natureza cada vez mais conectada destas soluções também as colocou, obviamente, na linha da frente dos ciberataques e sob o escrutínio da evolução da regulamentação.
Os arquitetos, engenheiros e consultores que concebem e especificam soluções de vigilância enfrentam uma enorme responsabilidade. Para manter a conformidade regulamentar, é fundamental garantir que as soluções de vigilância são concebidas não só para os requisitos físicos e de cibersegurança do preente, como também que se adaptam aos desafios em constante evolução.
Isto exige "pensamento sistémico". Os consultores devem ver a solução de segurança como um todo, em vez de uma seleção de dispositivos separados, e ter em consideração as relações entre o hardware e o software da própria solução, juntamente com a sua integração na infraestrutura mais ampla do prestador de serviços essencial. O design, a implementação, a integração e a manutenção da solução desempenham um papel essencial na cibersegurança e no reconhecimento de que qualquer solução evoluirá ao longo do tempo. Uma solução que permaneça estática acabará por ficar exposta a vulnerabilidades.
O que significam as mudanças no panorama para os criadores de soluções de vigilância?
Aqueles que concebem e especificam soluções têm a obrigação de ter em consideração os potenciais riscos mais abrangentes apresentados pela oferta técnica que recomendam. Embora o foco principal das soluções deva ser abordar os requisitos operacionais definidos, as provisões de TI e cibersegurança também são, agora, essenciais. Atualmente, as especificações têm de estar alinhadas com regulamentos como a Diretiva NIS2 para apoiar a conformidade de uma organização.
Como tal, os consultores devem ter a certeza de que os produtos de qualquer fornecedor cumprem as políticas de segurança do cliente individual, incluindo todos os regulamentos relevantes que se aplicam à organização do cliente. É essencial tomar a diligência adequada na abordagem à cibersegurança de qualquer fornecedor recomendado.
Os consultores também devem procurar especificar políticas e processos para os fornecedores de tecnologia que recomendam, bem como as funcionalidades técnicas que fornecem. Características como arranque seguro, firmware assinado, componentes de segurança que ativam a identificação automática e segura de dispositivos e um módulo de plataforma de confiança (TPM) abordam os riscos atuais e devem ser especificados.
As especificações também devem incluir certificações de terceiros importantes, como a ISO27001, e políticas de vulnerabilidade, notificações de aconselhamento de segurança e um modelo de desenvolvimento de segurança claramente definido.
Por fim, deve ser incluída uma abordagem de gestão do ciclo de vida. A utilização de ferramentas de gestão de dispositivos e soluções e uma estratégia de firmware documentada mitigam o risco futuro de um ataque e protegem os clientes no futuro. Estas funcionalidades permitem aos clientes operar o seu sistema e dispositivos da forma mais segura possível ao longo de todo o seu ciclo de vida.
Em conjunto, estas políticas e processos demonstram a maturidade de cibersegurança de uma organização e a sua capacidade de adaptação à evolução do panorama de ameaças.
Mudança de funções num ambiente de cibersegurança em constante mudança
Para qualquer nação, a importância de minimizar a potencial interrupção dos serviços essenciais é óbvia e não pode ser subestimada. No mínimo, a perturbação resultará quase imediatamente num impacto económico. Isto pode rapidamente transformar-se em problemas sociais significativos e num potencial risco para a saúde e a vida humana.
De onde quer que a ameaça venha, a proteção dos serviços essenciais e das entidades que os prestam é, por isso, vital. Os reguladores de todo o mundo reconheceram esta realidade e que as ameaças surgem dos domínios físico e digital.
No entanto, também reconheceram que as ameaças de ciberataque evoluem tão rapidamente que qualquer tentativa de definir medidas de cibersegurança ficará desatualizada antes de as mesmas serem publicadas. Por isso, a abordagem regulamentar alterou-se, exigindo que os fornecedores de serviços essenciais provem que implementaram a tecnologia, os processos e os recursos para lidar com o panorama de ameaças.
O efeito é que qualquer pessoa envolvida na cadeia de valor essencial da entidade tem de responder a este desafio, incluindo aqueles que concebem e especificam soluções de vigilância. A mitigação dos riscos das ciberameaças é uma responsabilidade partilhada. Embora os nossos negócios dependam disso, as consequências para a sociedade podem ser muito maiores.
