Analysis
Existem infraestruturas essenciais para a sociedade e que, pela sua criticidade, têm de ter o menor downtime possível. A proteção das infraestruturas críticas é essencial para todos
Por Rui Damião . 14/12/2022
Há infraestruturas que são importantes para as próprias organizações e que, pela caracterização do seu negócio, não podem – ou não devem, tanto quanto possível – parar. Mas há outras que, pela importância que têm para um conjunto alargado de pessoas, têm de trabalhar 24 horas, sete dias por semana, 365 dias por ano. Para a Cybersecurity & Infrastructure Security Agency (CISA) dos Estados Unidos, há 16 infraestruturas críticas cujos “ativos, sistemas e redes – sejam físicas ou virtuais – são consideradas vitais” e que a sua “incapacitação ou destruição teriam um efeito debilitante na segurança, na segurança económica nacional, segurança e saúde pública nacional ou uma combinação destas”. Entre as infraestruturas críticas definidas pela CISA encontram-se a defesa, serviços de emergência, setor financeiro, comunicações, saúde e energia, entre outras. Estas infraestruturas críticas, diz a CISA, fornecem os “serviços essenciais” da sociedade e serve como o “backbone da economia, segurança e saúde” de um determinado país. A proteção da infraestruturaA importância da infraestrutura leva a que a sua segurança tenha de ser especialmente tomada em consideração e onde a proteção contra ciberataques deve ser feita de forma transversal e incluir diversas valências complementares, refere Vasco Afonso, Executive Director da Claranet Portugal. Vasco Afonso indica que a proteção das infraestruturas críticas para a sociedade deve assentar em seis valores: identificação dos vários stakeholders; perceção da realidade atual; desenhar e implementar um plano de implementação da solução que passa sempre pela tecnologia e pelas pessoas e processos; estar preparado para o pior cenário possível; implementar uma cultura de zero-trust; e realizar testes de intrusão recorrentes feitos por entidades externas e sem qualquer pré-aviso às equipas de defesa.
O Executive Director da Claranet Portugal especifica, ainda, que para se proteger eficazmente uma infraestrutura crítica para a sociedade é necessário que todos participem “na proteção das infraestruturas, pois, caso contrário, não adianta ter as melhores soluções de proteção se estas só forem utilizadas por alguns stakeholders envolvidos na sua gestão”. Ao mesmo tempo, é necessário “perceber quais são as fragilidades dos sistemas que queremos proteger. Realizar um assessment rigoroso é absolutamente fundamental. Estamos a falar de pen testing e de análises de vulnerabilidades, mas também de auditoria de processos da própria organização”. Para Paulo Vieira, Sales Manager da Palo Alto Networks em Portugal, afirma que ter uma abordagem zero-trust “pode ajudar a remediar alguns dos desafios de segurança que os ambientes de infraestruturas críticas enfrentam e, ao mesmo tempo, fornecer o nível de ciber-resiliência que este tipo de infraestruturas necessita neste momento”. Esta mesma abordagem “aplica-se a cargas de trabalho na cloud e componentes da infraestrutura como dispositivos OT ou nós na rede. Ainda existe uma necessidade de autenticar dispositivos e acesso para autorizar o que o dispositivo está a tentar fazer e permitir o controlo. Todos esses princípios vão ao encontro dos requisitos elevados de segurança destes tipos de infraestrutura”. Aumento de ciberataquesPaulo Vieira relembra que os ataques de ransomware e phishing continuam a proliferar e, nos últimos anos, “temos assistido a um número crescente de ataques contra alvos de infraestruturas críticas. Por exemplo, a implementação do malware ‘Industroyer2’ que está especificamente desenhado para atingir e danificar infraestruturas críticas industriais”. Ao mesmo tempo, “até em ambientes em que OT e IT têm sido tradicionalmente segmentados ou até distanciados, estes ambientes têm vindo a convergir, dando aos atacantes a habilidade de encontrar uma base de apoio inicial e depois escalar as suas atividades para algo mais sério, como perturbar operações”, explica o Sales Manager da Palo Alto Networks em Portugal. Vasco Afonso refere que “temos assistido a um aumento dos ciberataques a infraestruturas críticas e os ataques do tipo DDoS são dos que mais ocorrem, exatamente pelo potencial que possuem para paralisar este tipo de infraestruturas. Mas, tal como na esmagadora maioria das organizações, também o ransomware está entre os principais tipos de ataques realizados”. Proteger o legacyMuitas infraestruturas críticas contam, ainda, com tecnologia legacy nas suas infraestruturas. Para Vasco Afonso, “o ideal é evoluir essas infraestruturas tão rápido quanto possível” onde poderão ser utilizadas “estratégias de retire/refactor ou rearchitect de infraestruturas ou aplicações”. No entanto, caso não seja possível atualizar a infraestrutura, o conselho do Executive Director da Claranet Portugal é isolá- -las o mais possível.
Paulo Vieira relembra que as infraestruturas críticas utilizam, por vezes, sistemas legacy “frequentemente muito além do seu tempo de vida recomendável do ponto de vista da segurança”, o que significa que “muitos sistemas estão a funcionar com sistemas operativos mais velhos e sem suporte, que muitas vezes não podem ser corrigidos ou atualizados por motivos operacionais, de cumprimento ou de garantia”. A resposta pode passar por zero-trust, diz Paulo Vieira que adverte, no entanto, que este “não será um esforço de uma só tentativa que pode ser alcançado com um estalar de dedos”. Para isso, é preciso um “modelo faseado”: identificar primeiro as infraestruturas críticas de IT e os ativos OT em vigor; ter visibilidade e avaliar o risco de todos os bens; segmentar a rede OT e IT; e, por fim, aplicar políticas zero-trust com acesso menos privilegiado e verificação contínua da confiança e inspecionar a segurança continuamente. “Cada segundo conta”A transformação digital “está fundamentalmente a mudar a forma como o setor deve abordar a cibersegurança”, diz Paulo Vieira. “A confiança implícita dos anos passados, em que estar presencialmente num escritório permitia um nível de autenticação do utilizador, simplesmente já não existe”. Para o representante da Palo Alto Networks, este nível de complexidade exige um nível de segurança mais elevado, aplicado consistentemente em todos os ambientes e interações. “Há vários desafios de cibersegurança que temos de ultrapassar quando toca a infraestruturas críticas, e por isso recomendaria prestar especial atenção aos seguintes: sistema legacy, convergência IT/OT, falta de recursos competentes, conformidade regulamentar, e retirar insights dos dados. Uma vez que estes desafios estão resolvidos, junto à abordagem zero-trust, deverá conseguir chegar a um estado de resiliência”, diz Paulo Vieira. Vasco Afonso afirma, também, que é preciso “desconfiar sempre e partir do princípio que se está a ser atacado”. Depois, é preciso reportar o problema e pedir ajuda “sem ter medo de o fazer”, até porque “cada segundo conta quando estamos a falar de parar um potencial ataque”. Aprendizagens para outros setoresMas nem só de infraestruturas críticas para a sociedade se faz o tecido empresarial. Há organizações que não fornecem serviços críticos para os cidadãos, mas que podem aprender com as práticas daquelas que fornecem. Para Vasco Afonso, da Claranet Portugal, uma dessas aprendizagens é que a “cibersegurança deve estar no topo das preocupações de qualquer organização. Claro que existem empresas mais suscetíveis de serem atacadas, seja pela sua dimensão, ou pela natureza do seu negócio. Mas todas são potenciais alvos”. “O primeiro passo passa por ganhar a consciência de que o cibercrime veio para ficar. O segundo passo deverá ser a formação e, finalmente, o terceiro passo a implementação das soluções adequadas, que passam sempre por tecnologia, pessoas e processos”, refere Vasco Afonso. Por fim, Paulo Vieira, da Palo Alto Networks, aconselha a que as organizações sejam “operacionalmente resilientes nestes tempos de novas ameaças e mudança dos hábitos de trabalho”, algo que diz ser “um desafio contínuo para muitas organizações”. Assim, “a melhor abordagem é analisar os potenciais desafios para a organização, resolver esses mesmos desafios, e eliminar a confiança implícita”. |