Analysis
Roberto Trematerra, Head of Information Technology da Floene, que detém a maior rede de distribuição de gás em Portugal, partilha em entrevista que é essencial colaborar com outras organizações para aumentar a proteção não só das organizações, como de todo o setor onde se insere
Por Rui Damião . 11/04/2023
Qual é o balanço que faz de 2022 em termos de cibersegurança? Semelhante aos anos anteriores, o número de ameaças com potencial impacto severo nas infraestruturas críticas aumentou. Continuamos a observar um aumento de ataques de ransomware – não há forma de contornar esta tendência. Há estatísticas que demonstram que empresas no setor das energias têm, pelo menos, uma credencial comprometida a cada 90 dias, pode ser uma password, um endereço interno, informação reservada que está a ser exposta. Algo que as entidades do setor energético têm de tomar cada vez mais cuidado. Se olharmos para o setor de gás a nível internacional, é um setor com uma certa exposição e temos de ter um maior cuidado para este tipo de ameaças. Aliado ao tema do ransomware, continuamos a ter ataques de phishing. O que se observa é que são cada vez mais sofisticados. Se nos recordarmos, há uns anos era muito fácil de antever estes ataques: era fácil perceber que o endereço de email não era de uma entidade credível, o texto tinha muitos erros… hoje estão muito bem feitos, simulam quase na perfeição um email verdadeiro e torna- se numa tendência. Também semelhante aos anos anteriores, são as ameaças internas. São aquelas ameaças que são provocadas por funcionários – que podem ser internos ou prestadores externos – e que, tipicamente, têm acesso a informação ou serviços sensíveis. Este tipo de ataques ou fragilidades podem ser propositados ou não propositados, mas, em qualquer caso, podem levar a prejuízos, como facultar informação sensível para fora do perímetro da empresa ou provocar danos diretamente nas infraestruturas por má utilização. Por último, continuamos preocupados com os nossos sistemas de OT. No caso da nossa indústria, estamos a falar de SCADA que são essenciais para monitorização de uma rede de distribuição de energia e preocupa-nos cada vez mais as eventuais vulnerabilidades nestas áreas e os impactos que poderão ter, que podem ser bastante gravosos. Esta última tendência não é nenhuma novidade; recordo que houve quebras de segurança com impactos muito grave já no passado, como em 2009, no Irão, onde uma central nuclear foi comprometida por malware que ficou sem uso por disrupção profunda e, em 2014, houve um malware que colocou em baixo uma central elétrica. O tema não é nada de novo, mas continuam a evoluir a tipologia das ameaças, assim como a própria diversidade e engenho dos métodos. Como se podem mitigar essas ameaças? Estamos perante uma multiplicidade de ameaças que têm de ser abordadas por distintas formas de atuação. É preciso implementar medidas robustas – estamos a falar de tecnologia –, continuar a aposta em autenticação de dois fatores, continuar a apostar na encriptação dos dados e segmentar as redes – muito específico do setor das energias. Para recordar, enquanto tradicionalmente os ataques de segurança nascem, muitas vezes na rede corporativa – emails, sites, aplicações mobile –, mas, também, cada vez mais os ciberatacantes estão a usar isso apenas como porta de entrada para o mundo das tecnologias operacionais que são o verdadeiro core business da nossa indústria. A segmentação das duas redes vai tornar-se cada vez mais num must have, fazer com que o ponto de interconexão entre as duas redes seja mínimo, idealmente nula.
O segundo fator a ter em atenção não é tecnológico, mas é uma questão de ter procedimentos que assegurem que expomos o menos possível para fora. Isso passa por formar as pessoas, educá-las, sensibilizá-las, comunicar que estes ataques existem, como é que funcionam; sem palavras tecnológicas é possível e obrigatório explicar aos colaboradores o que é ransomware, ataque de phishing, o que os caracteriza para que, cada um de nós, possa contribuir para uma melhor segurança. Estes dois fatores – a tecnologia e a parte procedimental – têm de trabalhar em conjunto e só a tecnologia não é suficiente. A Floene conta com uma infraestrutura crítica – o fornecimento de gás natural para os cidadãos. Quais são as especificidades da proteção desta infraestrutura? Além do que é transversal ao tecido empresarial – proteger as componentes corporativas –, no caso das tecnologias core de uma empresa energética estamos a falar muito de ter uma maior atenção aos appliances que são específicos da indústria. Estamos a falar de uma tendência onde estávamos perante um ambiente analógico, pouco digital, tipicamente não conectado com a rede externa, para, agora, uma tendência cada vez mais de fazer uma interconexão com o mundo digital, de digitalização em massa. Para dar o exemplo dos IoT – dispositivos físicos com uma componente digital elevada – o crescimento está a ser exponencial. Os números indicam que, entre 2020 e 2025, o número de dispositivos IoT que se vai articular para o perímetro externo vão mais do que triplicar. Para a indústria energética, isso é uma preocupação; vamos acompanhar a digitalização dos sistemas, traz-nos um conjunto de benefícios, mas temos de ter cuidado porque também nos vai trazer um conjunto de novas ameaças. A superfície de ataque vai aumentar no mundo do OT – como já aumentou no mundo corporativo. Vamos ter de aprender com o que aconteceu no mundo corporativo e replicá-lo no mundo do OT. Aliado a isto, estamos perante um mundo de tecnologias obsoletas, outro desafio que há para mitigar e para discutir: quais são os sistemas que podem não estar preparados perante um conjunto de ameaças, quais as vulnerabilidades que os fornecedores já não vão sanar. É preciso olhar com prioridade para este tipo de tecnologias e fazer com que sejam sanados antecipadamente. Como se ultrapassam os constrangimentos de recursos – sejam financeiros ou humanos – limitados? Existe uma renovação tecnológica e de acompanhamento da digitalização, mas isso exige recursos financeiros e humanos. Dados da ENISA indicam que, no setor da energia, o valor médio de investimento é superior a um milhão de euros para se manter atualizado em cibersegurança. Se olharmos para o setor português, só do lado do OT, a indústria gasta, em média, 150 mil euros; se olharmos para os valores das congéneres – países de uma dimensão parecida – Portugal poderá estar abaixo. Estes 150 mil euros comparam com outra estatística que é quanto é que custa, em média, um ciberataque bem-sucedido; na indústria de energia, estamos a falar de 450 mil euros. Comparando os 150 mil euros que se gastam por ano com um único ataque bem-sucedido que, na prática, custa mais três vezes do que o valor da proteção, indica-nos que há um espaço para dar para aumentar o nível de proteção. Nos recursos humanos, todo o mercado está perante a mesma dificuldade. Não temos profissionais qualificados suficientes conhecedores das técnicas de antecipação, medição e segurança como precisamos. Atualmente, o volume de novos profissionais que são precisos aumenta exponencialmente; há dados de finais de 2022 que apontam para, a nível global, uma escassez de 3,4 milhões de especialistas. Não tenho dados de Portugal, mas, em Espanha, faltavam 60 mil novos profissionais de cibersegurança para satisfazer as novidades e das novas necessidades em 2022, 57% não foram satisfeitas por falta de profissionais. O que é preciso fazer: investir na formação nas universidades, preparar uma ótica orçamental para receber os profissionais – a escassez faz com que o preço médio de um profissional aumente –, mas poderá, e provavelmente não será, não ser suficiente para mitigar esta escassez. Vamos ter de converter profissionais de outras áreas – muitas vezes não tecnológicas – para se adequarem a algumas funções de cibersegurança; podemos pensar em funções como auditores, mas também podem ser de outras áreas onde, com um investimento formativo adequado, é possível sanar alguma falta de profissionais.
A Floene está a seguir esse caminho de reskilling dos colaboradores? De forma geral, sim. Estamos a sentir esta escassez de profissionais e o próprio custo de onboarding de um novo profissional. O que estamos a fazer é olhar para funções parecidas no IT e fora do IT para vermos como se pode enquadrar. A União Europeia tem lançado várias regulamentações nos últimos tempos e algumas, certamente, aplicam-se à Floene. Como é feita a preparação para estas regulamentações e como é que se assegura o compliance? A nossa atuação é de colaboração com o mercado. É importante frisar que a união faz a força; o ditado é 100% válido. Aliás, temos de aprender que os ciberatacantes conseguem o seu sucesso reunindo informação e colaborando entre eles. Partilham credenciais que roubam às organizações, partilham métodos e algoritmos para acelerar a sua aprendizagem sobre como explorar vulnerabilidades. A forma como a Floene, mas também todo o setor de infraestruturas críticas, tem de abordar é esta, de se juntar e trabalhar para o mesmo fim. Em Portugal, temos tido uma entidade que tem muito sucesso a coordenar estas iniciativas – o Centro Nacional de Cibersegurança – que tem zelado, primeiro, para que existam várias sessões de sensibilização onde as empresas são trazidas para dentro da temática e da regulamentação, mas não parou na vertente de sensibilização e foi mais longe. O que está a acontecer é incentivar um conjunto de iniciativas muito hands-on – pouca teoria e muita prática – para, em grupo, explorarmos métodos, abordagens e estratégias através de simulacros e gamification para que as empresas aprendam a ser mais ágeis nesta matéria, a conhecerem-se melhor e a partilhar informação.
Outro eixo é a partilha de informação. Há um decreto-lei que segura isto onde nós damos a conhecer – de forma restrita – quais são os nossos ativos críticos. Muitas vezes, há vulnerabilidades que poderão não ser identificadas logo pela própria organização, mas por uma outra, e também serve para acelerador para impedir a proliferação de ameaças. Se há uma vulnerabilidade que está a ser explorada e uma entidade deu o alerta, o CNCS faz com que as outras entidades que tenham infraestruturas críticas se preparem adequadamente para parar a proliferação desta ameaça. Esta é a nossa atuação e tem funcionado bastante bem. Como olha para o futuro das ciberameaças? Quais acredita que serão os problemas que vai encontrar num futuro a curto-médio prazo? Os ataques de phishing não vão parar. Tornou-se numa commodity e até o ransomware é uma commodity na dark web. Compram-se algoritmos e soluções para poder, rapidamente, lançar ataques de phishing ou ransomware. Vai continuar a ser o nosso dia-a-dia e as estatísticas mostram isso; não prevejo, a curto- médio prazo, alguma alteração. A proliferação da digitalização e o aumento da superfície de ataque vai continuar. Todos nós – sejam colaboradores, sejam cidadãos – somos mais digital, temos cada vez mais canais para comunicar. O IoT também contribui para isto e vai aumentar a superfície de ataque. Vamos continuar a conhecer novas ameaças, novos métodos de ataque, novos vetores de ataque. Vai ser uma corrida do gato e do rato e ver quem é que é mais rápido. Não é uma questão de ‘se’ vai haver um ataque, mas sim como podemos reduzir o impacto dentro da organização ou da infraestrutura crítica. É uma questão de ambicionar uma segurança a 100% – que não existe –, e como é que no caso de existir uma fragilidade e um ataque, o impacto para a nossa organização e para os nossos clientes sejam o mínimo possível, idealmente zero. Há algum ciberataque à Floene que possa partilhar? Como é que o mesmo foi ultrapassado? Como todas as empresas, a Floene é alvo de ataques de phishing e monitorizamos muito perto. Temos uma área que monitoriza e mede a oscilação destas tentativas de phishing. É monitorizar, ver se há novas tendências e fechar as fragilidades – se existirem – antes de acontecer alguma coisa. Outra tendência que observamos muito perto são os acessos de privilégio elevados. Estamos a falar de sistemas já com alguma antiguidade onde, até há data, têm estado num perímetro interno e bem protegido; no entanto, antecipadamente e antes mesmo de esses temas surgirem nessa superfície de ataque, estes perfis de privilégio elevado são eliminados ao máximo porque é mais uma forma de antecipar uma ameaça. A fragilidade existe, foi identificada e está a ser sanada para, se, porventura, surgir essa superfície de ataque, não exista uma fragilidade que os exponha. Qual é o conselho que deixa aos CISO e diretores de IT com responsabilidade de cibersegurança para que melhor possam ultrapassar os seus desafios na área? Deixava dois conselhos. O primeira é a prevenção; como sabemos, não é uma questão de evitar o ataque, mas sim preparar a empresa para o dia. Investir no assessment das fragilidades – todos nós temos – não só na ótica tecnológica, mas também na procedimental. Em segundo, incentivar a colaboração com o mercado. O mercado inclui congéneres – entidades que trabalham no mesmo setor –, parceiros tecnológicos e entidades reguladoras, como o CNCS. São conselhos muito práticos que se conseguem começar já amanhã e, mesmo entidades de pequena dimensão que podem ter alguma questão orçamental, conseguem, mesmo assim, trabalhar com algum sucesso e tirar eficiência com recursos escassos. |