Desafios e boas práticas de cibersegurança em infraestruturas críticas
Fernando Ortega Ferasoli, CISO da Paschoalotto
A cibersegurança tem se tornado um tema central no mundo digital, especialmente quando falamos sobre infraestruturas críticas. Essas infraestruturas são compostas por sistemas e ativos essenciais que, se forem comprometidos, podem causar sérios problemas em setores como energia, água, telecomunicações e transporte. Como estamos cada vez mais dependentes dessas redes e sistemas digitais, isso também as torna mais vulneráveis a ameaças cibernéticas, o que exige uma abordagem mais forte e ativa em termos de segurança.
Quando falamos em infraestruturas críticas, não estamos apenas nos referindo a redes de computadores tradicionais, mas também a sistemas mais complexos, como os de controle industrial, frequentemente gerenciados por tecnologias como o SCADA – Supervisory Control and Data Acquisition. Estes sistemas são responsáveis por operações essenciais, como o controle de redes elétricas e o fornecimento de água.
Um dos maiores desafios é que muitas dessas tecnologias foram projetadas em uma época em que a cibersegurança não era uma preocupação central, o que significa que grande parte delas não tem defesas cibernéticas integradas. Com a crescente integração entre TI – tecnologias da informação e TO – tecnologias operacionais, surgem novos pontos de vulnerabilidade, já que a TI tradicionalmente evoluiu, enquanto a TO sempre priorizou a operação contínua.
Os desafios em proteger essas infraestruturas são muitos. Um dos principais é o fato de que os ataques cibernéticos estão se tornando cada vez mais sofisticados. Para se ter uma ideia, o governo dos EUA já estabeleceu que todas as instituições ligadas ao estado adotem Criptografia Pós-Quântica (PQC) até 2030, em vista a evolução da computação quântica e ataques hackers mais sofisticados.
Não são mais apenas hackers isolados que representam uma ameaça, mas também grupos organizados e até mesmo agentes estatais, que usam recursos avançados, como a inteligência artificial, para orquestrar ataques complexos. Um exemplo clássico foi o Stuxnet, um malware que conseguiu atingir profundamente sistemas industriais e causar grandes danos.
Outro desafio é a falta de regulamentação adequada. Embora muitos países estejam avançando na criação de normas de segurança cibernética, ainda existe uma lacuna considerável, especialmente quando se trata de infraestruturas críticas. A falta de padronização e a dificuldade em equilibrar inovação e segurança também contribuem para essa vulnerabilidade. Além disso, muitas organizações enfrentam problemas na visibilidade de suas redes, ou seja, elas não têm as ferramentas adequadas para monitorar o que está acontecendo em tempo real e identificar potenciais ameaças antes que elas se tornem crises.
Um dos problemas mais urgentes, no entanto, é a falta de profissionais qualificados para trabalhar com cibersegurança em infraestruturas críticas. Há uma escassez global de talentos com conhecimento profundo tanto em TI quanto em TO, o que torna ainda mais difícil a implementação de medidas de proteção adequadas. Somente no Brasil, a demanda atual é de aproximadamente 750 mil especialistas na área, segundo o levantamento da Fortinet. seriam necessários 4 milhões de profissionais de cibersegurança, globalmente, para mitigar os riscos e lidar com as diferentes ameaças digitais. Em 2023, 87% das empresas sofreram algum tipo de violação em seus sistemas, atribuída à falta de pessoas com habilidades para tratar desses problemas.
Para lidar com esses desafios, algumas boas práticas são essenciais. Uma das principais é a segmentação das redes. Isso significa separar fisicamente e logicamente as redes de TI e TO, além de criar barreiras de segurança que dificultem a movimentação de ameaças entre diferentes sistemas. Ferramentas como firewalls e sistemas de detecção de intrusões são fundamentais nesse processo.
Outro ponto importante é a gestão de identidades e acessos. Modelos de segurança como o Zero Trust, onde nenhum usuário ou dispositivo é confiável por padrão, podem ser cruciais para evitar que agentes maliciosos ganhem acesso a áreas sensíveis das infraestruturas. Isso inclui, por exemplo, o uso de MFA – autenticação multifator e a garantia de que os colaboradores só tenham acesso ao que realmente precisam para fazer o seu trabalho.
Além disso, o monitoramento contínuo das redes é indispensável. Ferramentas de detecção de ameaças que utilizam inteligência artificial e aprendizado de máquina podem ajudar a identificar comportamentos anômalos e, assim, responder rapidamente a potenciais ataques. Trabalhar em conjunto com centros de inteligência cibernética também é uma boa prática para se manter atualizado sobre novas ameaças que podem estar surgindo.
Educação também é fundamental. As organizações precisam investir em treinamentos regulares de cibersegurança, adaptados às particularidades das infraestruturas críticas. Simulações de ataques cibernéticos, como os exercícios de red team e blue team, onde equipes simulam ataques e defesas, são uma ótima maneira de testar e aprimorar os sistemas de segurança.
Por fim, a resiliência é uma chave essencial. As infraestruturas críticas precisam estar preparadas para continuar funcionando mesmo sob ataque. Isso significa ter redundâncias em seus sistemas, backups adequados e planos bem documentados para resposta a incidentes. Esses planos devem ser testados regularmente, para que, em caso de uma invasão, a organização possa minimizar o tempo de inatividade e os danos causados.
