Com ataques em alta, tecnologia operacional (TO) exige abordagem de segurança complementar à TI

Em maio de 2021, a Colonial Pipeline, maior sistema de transporte de combustível dos Estados Unidos, foi alvo de um dos mais icônicos ataques de ransomware da atualidade. Realizado pelo grupo cibercriminoso DarkSide, o ataque atingiu uma série de sistemas da organização e levou à interrupção do fornecimento de combustível pela empresa, afetando parte da costa leste do país. A normalidade da operação só foi restabelecida após a companhia pagar um resgate de US$ 4,4 milhões para obter a chave de criptografia do ransomware.

O incidente acendeu o alerta vermelho para um aspecto de cibersegurança que, há alguns anos, não era prioritário nos planos de segurança das organizações: os sistemas de tecnologia operacional (TO). Ao lado da tradicional segurança da tecnologia da informação (TI), a segurança dos sistemas programáveis e dispositivos que interagem com o mundo físico tem se tornado mais crítica conforme tendências de conectividade e digitalização avançam em setores como o industrial e de infraestrutura.

De acordo com um relatório da ABI Research, firma de inteligência em tecnologia, lançado em julho deste ano, o mercado de cibersegurança voltado para TO deve crescer a um ritmo anual composto de 9,2% nos próximos quatro anos. A expectativa é que o volume de negócios global em TO salte de US$ 12,75 bilhões em 2023 para cerca de US$ 21,6 bilhões em 2028.

“Todos os setores industriais imagináveis ​​estão adotando algum tipo de digitalização e trabalhando com o conceito de Indústria 4.0. Como resultado, o potencial para ameaças cibernéticas também aumentou”, escreveu Michael Amiri, analista sênior de segurança cibernética industrial da ABI Research, no relatório. “Este mercado tem muito potencial para crescimento, pois há um espaço considerável para a expansão de indústrias inteligentes.”

Em outra pesquisa realizada em parceria com a Palo Alto Networks, a ABI Research entrevistou 1.979 executivos de C-level de empresas em 23 países, incluindo o Brasil. O estudo revelou que 76% dos participantes já haviam sofrido algum tipo de ciberataque em seus ambientes de tecnologia operacional. As principais preocupações dos executivos entrevistados incluem malware, ransomware e ataques internos.

Apesar do crescimento, especialistas em cibersegurança ouvidos pelo IT Forum apontam que o tema ainda não é completamente compreendido por organizações. Desafios que vão desde a falta de conhecimento dos líderes de segurança da informação até uma cultura frágil de segurança de TO são apontados como os principais problemas para organizações que querem reforçar a proteção de seus sistemas.

“Ainda é surpreendente para mim que empresas investem muito dinheiro em sua segurança de TI, mas, em infraestruturas críticas — incluindo manufatura, fabricação de alimentos e bebidas, energia e todas essas áreas que são de missão crítica —, não estão investindo o suficiente na proteção de TO”, diz Marty Edwards, em conversa com o IT Forum.

Veterano no tema de segurança de TO e de Internet das Coisas (IoT), com mais de 25 anos de experiência, Edwards já liderou a Equipe de Resposta a Emergências Cibernéticas de Sistemas de Controle Industrial (ICS-CERT) do Departamento de Segurança Interna dos Estados Unidos. Nos últimos quatro anos, atuou como CTO para tecnologia operacional e IoT da Tenable, empresa de cibersegurança na qual ficou até julho deste ano. “TO é minha vida”, brinca.

Segundo o especialista, uma das principais dificuldades para organizações implementarem uma estratégia ampla de segurança de TO ainda passa pela falta de compreensão das lideranças sobre o tema. “À medida que a responsabilidade pela segurança de TO tem se movido para os CISOs, muitos deles ainda não têm experiência com o tema. Eles realmente não sabem por onde começar. Então, parte disso é apenas falta de informação ou de consciência”, avalia.

Também em entrevista ao IT Forum, Edison Fontes, consultor de segurança da informação, proteção da privacidade e continuidade operacional, ecoou o ponto levantado por Edwards. “A segurança da tecnologia da informação (TI) evolui muito em função de estar intimamente ligada ao negócio”, afirma. “A TI tem maturidade maior porque teve mais tempo de investimento. Já a tecnologia operacional tinha limitações.”

Na avaliação de Fontes, a maturidade menor da TO em relação ao tema de segurança se relaciona ainda à forma “desintegrada” com que o avanço tecnológico se deu no setor. Isso porque, conforme explica, até poucos anos, boa parte do maquinário industrial e equipamentos de infraestrutura e de tecnologia operacional ainda careciam de sistemas embarcados e tinham capacidades limitadas de comunicação, memória e processamento.

“O ambiente de TO foi crescendo de uma maneira não integrada. Uma máquina foi conectada aqui, uma solução foi adotada ali. Não foi estruturado como a TI, que tinha uma maturidade maior”, pontuou o consultor. Nesse cenário, planos críticos de segurança de TO demoraram mais tempo para serem desenvolvidos por organizações, argumenta Fontes.

Desde 2021, o tema da segurança de tecnologia operacional é uma das prioridades do orçamento de segurança da Cosan, conglomerado brasileiro que atua em setores de energia, combustível e logística, que soma empresas como Comgás, Moove, Raízen e Rumo, e soma mais de 40 mil funcionários.

“A Cosan atua não somente dentro da economia do país, mas tem um ecossistema ligado à própria sociedade. Nós temos casas, hospitais e fábricas que dependem do nosso fornecimento de gás. Temos operações de distribuição de combustível em postos de gasolina. Nosso ecossistema está inserido no dia a dia de vários negócios que podem impactar a população. É, de fato, uma infraestrutura crítica nas mãos”, disse Fernando Madureira, CISO global da Cosan, ao IT Forum.

Madureira assumiu a posição que ocupa hoje na organização em julho de 2020. Uma de suas prioridades foi a reestruturação da estratégia de cibersegurança do grupo, desenhando um plano de evolução de tecnologia e melhores práticas. O plano resultou em um framework com 16 capítulos, incluindo um capítulo dedicado ao tema de TO, que demanda sistemas e práticas específicos. “No data center, eu consigo corrigir uma vulnerabilidade de sistema, aplicar patch ou atualizar um sistema com muito mais velocidade. Na fábrica, eu não tenho isso. Não posso aplicar uma atualização com a mesma velocidade”, explicou Madureira.

Para o CISO da Cosan, apesar de exigir práticas específicas, o principal desafio na promoção da agenda de segurança de tecnologia operacional continua sendo muito similar ao desafio de segurança de TI: pessoas. “Tenho um desafio gigante com a mentalidade das pessoas que estão nesse mundo operacional. Os profissionais dessa área nunca foram focados em cibersegurança; o foco deles sempre foi em segurança física, em garantir a segurança da vida das pessoas.”

Veja mais: Blackhat 2024: 6 aprendizados do maior evento de segurança da informação do mundo

Exemplo disso, ele ressalta, é que o próprio Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos, tido como emissor de melhores práticas de segurança — incluindo cibersegurança — para a indústria ao redor do mundo, se debruçou sobre o tema de proteção digital de TO apenas em setembro de 2023, quando divulgou um guia próprio para segurança, confiabilidade e performance de tecnologia operacional.

Em sua estratégia de implementação de segurança de TO, o executivo da Cosan conta que foi preciso muito “jogo de cintura”, adaptando o argumento da tecnologia tradicional para o ambiente operacional. “Você tem que ser muito astuto para conseguir entrar na agenda do operacional, porque eles têm uma visão diferente. Se você for com o mindset de TI tradicional, pode encontrar muitas portas fechadas. Você tem que entender a rotina deles e mostrar o que vai fazer para ajudá-los”, explica.

Edwards reforça o ponto: “Departamentos de engenharia têm uma mentalidade diferente. Para eles, a cibersegurança não é importante. Manter tudo funcionando e a confiabilidade é o que importa”, anota. Na perspectiva do executivo, a cultura de segurança já é parte da TO, basta expandi-la com práticas que, hoje, são comuns na TI. “A cultura de TO é muito sobre segurança. Você nunca entraria em uma fábrica sem assistir a um vídeo de treinamento, sem usar capacete, óculos ou botas. Quando as pessoas de TO trabalham, elas têm essa disciplina. Mas nós podemos aprender algo com os amigos de TI”, avalia.

Para organizações que ainda estão desenhando ou iniciando suas estratégias de TO, a sugestão dos especialistas é direta: comece pelo básico. “As pessoas esquecem de fazer o básico bem-feito. Pensam em inovação, mas esquecem de controle de acesso, senhas fortes, autenticação multifator, aplicação de patch”, disse o CISO da Cosan, Fernando Madureira.

De acordo com Edison, o desafio volta à discussão de cultura. “O grande desafio é os profissionais de tecnologia entenderem que precisam implementar os mesmos controles, mas não da mesma forma”, anota Edison. “Em TO, por exemplo, também preciso de um controle de acesso à informação. Da mesma forma que você entra com sua identificação e senha para acessar o banco, tenho que garantir que um operador da indústria que vai operar uma máquina seja uma pessoa autorizada.”

Edwards finaliza, ressaltando que um passo fundamental é a visibilidade de sistemas — algo que nem sempre está presente em ambientes operacionais. “Você não pode proteger algo se não sabe o que está protegendo. Fico impressionado com quantas empresas nem sequer têm um inventário básico de ativos no lado de TO”, disse Edwards. “No lado de TI, elas sabem tudo que está conectado às redes, mas, quando se trata de uma fábrica, abrem as portas de um gabinete e perguntam: ‘O que é isso?’”