24 de outubro de 2016
Ainda acha que todas essas preocupações sobre proteções de segurança cibernética na rede elétrica são exageradas?
Tente perguntar às 225,000 pessoas na Ucrânia cuja energia foi cortada em dezembro passado por um grupo de hackers russo que se autodenomina "Sandworm". Durante o ataque, os especialistas experientes do Sandworm ligaram remotamente os disjuntores de uma forma que cortou a energia dos usuários após a instalação de malware, de acordo com o Departamento de Segurança Interna dos Estados Unidos.
Para tornar as coisas mais prejudiciais e perturbadoras, os mesmos hackers também podem ter enviado spam ao centro de atendimento ao cliente da empresa ucraniana com uma enxurrada de chamadas telefônicas destinadas a impedir que clientes reais relatem condições reais depois que os hackers violaram o sistema, de acordo com a Reuters citando um relatório emitido pela SANS Inc.
Embora se acredite, em geral, que o hack do utilitário ucraniano foi o primeiro do tipo, não pense nem por um momento que hackers de outros lugares não foram encorajados, e possivelmente encorajados, a tentar a mesma coisa nos Estados Unidos ou em outros lugares.
@NewAmCyber companheiro @RobertMLee conversas sobre o hack da Ucrânia e lições para a rede elétrica dos EUA com @SaraSorcher & @peterwsinger https://t.co/rnIflpiMjI
— CSMPasscode (@CSMPasscode) 21 de Junho de 2016
FERC reconhece ameaças
A amplitude e a profundidade das complexas redes de serviços públicos de energia elétrica as tornam particularmente vulneráveis a ameaças à segurança cibernética. As autoridades americanas estão cientes disso.
Provas: Em julho, a Comissão Federal de Regulamentação de Energia (FERC) instruiu a North American Electric Reliability Corporation (NERC) a desenvolver um novo risco da cadeia de abastecimento padrão de gestão que aborda riscos para sistemas de informação e ativos de sistemas elétricos em massa relacionados.
“O ataque cibernético de 2015 à rede elétrica da Ucrânia é um exemplo de como os sistemas cibernéticos usados para operar e manter redes interconectadas de forma mais eficiente podem ter o efeito não intencional de criar vulnerabilidades cibernéticas”, disse a agência em seu aviso de julho.
O novo ou Padrão de Confiabilidade modificado foi projetado para abordar a integridade e autenticidade de software, acesso remoto a fornecedores, planejamento de sistemas de informação e gerenciamento de riscos de fornecedores e controles de aquisição. Em cada caso, a capacidade de manter um controle firme sobre o controle de documentos é absolutamente vital. Há boas e más notícias aqui. A boa notícia é que a FERC não está impondo uma exigência "única para todos" a ninguém. A má notícia é que essa medida coloca ainda mais responsabilidade sobre aqueles responsáveis pela segurança da rede elétrica para realizar o trabalho. Falhar não é uma opção.
“Não pense por um momento que hackers de outros lugares não foram encorajados, e possivelmente encorajados, a tentar a mesma coisa nos Estados Unidos.”
Controle de Documentos Exigido
A FERC encarregou a NERC de desenvolver um Padrão de Confiabilidade de Proteção de Infraestrutura Crítica (CIP) com visão de futuro e baseado em objetivos, que exige que cada entidade afetada "desenvolva e implemente um plano que inclua controles de segurança para gerenciamento da cadeia de suprimentos para hardware, software e serviços de sistemas de controle industrial associados a operações de sistemas elétricos em massa".
A FERC também foi além. Emitiu um Aviso de Inquérito (NOI) sobre a modificação das normas COP relativas à proteção dos centros de controle utilizados para monitorar e controlar os sistemas elétricos em massa em tempo real. A FERC busca comentários sobre possíveis modificações e quaisquer impactos potenciais que possam ter na operação do sistema de energia em massa, a fim de abordar a separação entre a internet e os sistemas de controle cibernético nos centros de controle que desempenham funções de operador de transmissão.
A agência também quer ouvir a indústria sobre práticas de administração de computadores que impedem a execução de programas não autorizados, também chamadas de "listas de permissões de aplicativos", para os sistemas cibernéticos em centros de controle importantes.
O DHS espalha a palavra: a segurança é importante
Voltando à situação real na Ucrânia, é importante lembrar que o Departamento de Segurança Interna (DHS) inicialmente minimizou a importância da violação de segurança. Mudou de tom alguns meses depois e lançou uma campanha nacional no final de março, que incluiu uma dúzia de briefings presenciais e webinars online projetados para ajudar os profissionais da infraestrutura de energia a entender as ameaças mais recentes.
“Esses eventos representam um dos primeiros impactos físicos conhecidos à infraestrutura crítica resultante de um ataque cibernético”, reconheceu um anúncio da Equipe de Resposta a Emergências Cibernéticas de Sistemas de Controle Industrial do DHS quando as sessões foram anunciadas.
E continuou: “Os ataques aproveitaram ferramentas e táticas comumente disponíveis contra os sistemas de controle, que poderiam ser usadas contra a infraestrutura de todos os setores”.
Em outras palavras, as principais autoridades de segurança cibernética do país percebem que podem ter subestimado essa ameaça à rede elétrica. Se mudaram de ideia, provavelmente significa que aqueles encarregados de proteger a infraestrutura energética dos EUA deveriam considerar fazer o mesmo, na esperança de estarem prontos para prevenir ou pelo menos mitigar a próxima tentativa de ataque terrorista.
A história nos diz que a ameaça é real. Mas também nos diz que os riscos são altos.
