Um ano após o WannaCry, o ataque de ransomware mais difundido até agora no mundo, pesquisa mostra que empresas de telecomunicações, transportes, energia, abastecimento de água e gás, as chamadas indústrias de infraestrutura crítica, não estão adequadas a recomendações internacionais de segurança cibernética.
O levantamento, apresentado hoje em Salvador durante a 3ª Conferência Latino-Americana de Segurança em SCADA, aponta que mais da metade das empresas industriais brasileiras entrevistadas (55,27%) não possuem controle contra malware – softwares maliciosos – ou possuem, mas não é realizada a atualização periódica da base de dados desta solução, o que torna a área de automação suscetível a ciberataques, inclusive os já conhecidos.
A negligência na atualização contra falhas e vulnerabilidades aumenta as chances de invasões cibernéticas e na pesquisa 42,11% das companhias afirmaram que não acompanham nem conseguiriam conter alterações não autorizadas nos dispositivos e nos sistemas de supervisão e controle da indústria. Quase 30% disseram que as interferências não autorizadas nos sistemas de automação são controladas de forma rudimentar.
“Dispositivos industriais não foram preparados para garantir confidencialidade e integridade, mas para operarem com alta disponibilidade e desempenho. O avanço da automação e a inserção de equipamentos conectados à internet interligados aos ambientes industriais têm tornado as infraestruturas críticas mais propensas a ataques, principalmente de hackitivistas e terroristas digitais, hackers que podem ser motivados por uma ideologia ou financiados por organizações criminosas”, explica Marcelo Branquinho, CEO da TI Safe, organizadora da conferência.
Ataques em empresas de utilidade pública podem afetar sinais de celular, provocar apagão, explosões e inundações, por exemplo, causando impacto social, econômico, político e ameaçando até a segurança nacional. Mesmo assim, 84,20% das empresas que participaram da pesquisa não possuem política de segurança para a área de automação ou a política não está implementada.
Uma das medidas que poderia tornar os sistemas de automação das indústrias mais seguros é a separação entre a rede de Tecnologia da Informação (TI) e Tecnologia da Automação (TA), evitando que ataques a uma rede interfira na outra. Porém, em 68,42% das empresas ouvidas as redes não são segregadas.
A pesquisa “O estado da cibersegurança nas infraestruturas críticas brasileiras” mostra que as empresas também não estão preparadas para agir em caso de emergência. Apenas 13% das companhias contam com plano de contingência, um documento que descreve as ações que devem ser desencadeadas e as responsabilidades de cada área em situações de adversidade ou acidente. Cerca de 66% responderam que não existe plano de contingência e 21% possui o documento parcialmente implementado e testado.
A pesquisa buscou identificar o nível de aderência de organizações responsáveis por infraestruturas críticas brasileiras que utilizam sistemas de controle industriais de acordo com as recomendações de segurança do National Institute of Standards Technology (NIST).
Foram ouvidas as principais empresas estatais brasileiras e principais empresas privadas do segmento de infraestruturas críticas no país.