Profissionais de segurança cibernética encaram desafios importantes na segurança de TO: Ponemon Report

Sessenta e dois por cento (62%) das organizações em setores que dependem de tecnologia operacional sofreram dois ou mais ataques cibernéticos com interrupção dos negócios nos últimos 24 meses, segundo um relatório do Ponemon Institute e da Tenable.

Se você acompanha as novidades de segurança cibernética com o mesmo entusiasmo que nós, já sabe que os sistemas de controle industrial por trás da infraestrutura crítica são vulneráveis e estão sob ataque. Mas qual é a gravidade da situação? A Tenable contratou o Ponemon Institute para responder a esta pergunta e fornecer informações sobre eventos passados, preparação e prioridades futuras. The data from 701 respondents in industries that have OT infrastructure is presented in the report, "Cybersecurity in Operational Technology: 7 Insights You Need to Know". Alguns dos pontos principais são discutidos a seguir.

A OT não está bem protegida, e as vulnerabilidades são muitas

A visibilidade da superfície de ataque é insuficiente. Somente 20% dos participantes concordaram ou concordaram plenamente que têm visibilidade suficiente da superfície de ataque da sua organização. Isso é muito preocupante, já que todos os controles e os processos de segurança dependem da visibilidade fornecida por levantamentos abrangentes de ativos. Você provavelmente não vai gerenciar nem proteger ativos se não souber que eles existem.

A insuficiência de pessoal e os processos manuais limitam o gerenciamento de vulnerabilidades. A falta de profissionais de segurança cibernética tem sido bem documentada. Em 2017, a Forbes citou a previsão da IS Audit and Control Association (ISACA) de que faltariam 2 milhões de profissionais de segurança cibernética em todo o mundo até 2019. Estamos em 2019, e ainda não vi nenhum dado que refute a previsão da ISACA. A conhecida falta de competências de segurança cibernética é acentuada pela dependência de processos manuais para avaliar e corrigir vulnerabilidades.

Principais obstáculos ao gerenciamento eficaz das vulnerabilidades

Usando uma escala de cinco pontos, de concordo plenamente a discordo plenamente, a percentagem seguinte de participantes concordou ou concordou plenamente com as afirmações abaixo.

Source: title="Cybersecurity in Operational Technology: 7 Insights You Need To Know Ponemon Institute">Cybersecurity in Operational Technology: sete perspectivas que você precisa conhecer, Ponemon Institute e Tenable, abril de 2019.

As vulnerabilidades continuam a se proliferar. A capacidade de avaliar e de corrigir vulnerabilidades em tempo hábil é extremamente importante. Nos primeiros 45 dias de 2019, a equipe da Industrial Control System-Computer Emergency Response Team (ICS-CERT) emitiu 45 alertas descrevendo vulnerabilidades em sistemas de controle industrial¹. As vulnerabilidades foram encontradas em produtos dos principais fabricantes de sistemas de controle, incluindo ABB, AVEVA, Mitsubishi, Omron, Rockwell, Schneider Electric, Siemens e Yokogawa. Essa quantidade é pequena quando comparada às 405 vulnerabilidades de TI descobertas no mesmo período. Entretanto, o pessoal responsável pela segurança de tecnologia operacional não pode fechar os olhos e concentrar-se somente em vulnerabilidades de OT, porque a convergência de TI/OT significa que as vulnerabilidades de ICS e de TI poderão ser exploradas para atacar infraestrutura crítica. Avaliar e corrigir um total de 450 vulnerabilidades de OT e de TI em 45 dias é um grande desafio para muitas organizações. Esse ritmo pode ou não continuar ao longo do ano, porém, mesmo que seja reduzido pela metade, será difícil administrar esse número sem um processo automatizado.

A OT está sob ataque

De acordo com o relatório de Informações de Segurança Cibernética na Tecnologia Operacional, os processos manuais de gerenciamento de vulnerabilidades resultam em proteção inadequada contra os ataques cibernéticos. O relatório revela que a maioria das organizações em setores com infraestrutura de OT sofreu vários ataques cibernéticos, causando violações de dados e interrupção/tempo de inatividade significativo para as operações comerciais, os equipamentos de fábrica e operacionais. Nos últimos 24 meses:

• 90% sofreram pelo menos um ataque cibernético prejudicial, e 60% sofreram dois ou mais. Os dados referem-se a todos os ataques prejudiciais, não apenas a ataques contra a infraestrutura de OT. Os ataques de TI foram incluídos porque alguns deles podem resultar em invasores atacando a OT através da TI.
• 50% sofreram um ataque contra a infraestrutura de OT que resultou em tempo de inatividade na fábrica e/ou em equipamentos operacionais.
• 23% sofreram um ataque nacional. Quase um quarto puderam atribuir um ataque a um país. Trata-se de uma preocupação grave, devido ao alto nível de experiência e de financiamento que os países podem oferecer. Os invasores de estados-nação não são amadores.

Como você pode avançar?

A pesquisa revela que 70% dos participantes consideram “aumentar a frequência de comunicação com o nível de chefia e o conselho de diretores sobre as ameaças cibernéticas enfrentadas pela nossa organização” como uma de suas prioridades de governança para 2019. Se for o seu caso, mencione os dados da pesquisa em discussões com a liderança executiva ao tratar da postura de segurança da sua organização em relação aos ataques de OT.

Sobre este estudo

O relatório é baseado em uma pesquisa com 710 responsáveis por decisões de TI e de segurança de TI, nos seguintes setores: energia, serviços públicos, saúde, medicamentos, indústria, manufatura e transporte.Os participantes atuam nos Estados Unidos, Reino Unido, Alemanha, Austrália, México e Japão, e todos estão envolvidos na avaliação e/ou no gerenciamento dos investimentos em soluções de segurança cibernética em suas organizações. As conclusões globais consolidadas são apresentadas neste relatório.

¹A Tenable Research descobriu uma vulnerabilidade de Execução de Código Remoto no InduSoft Web Studio, uma ferramenta de automação para interfaces homem-máquina e sistemas SCADA.