Em 7 de maio, foi relatado o ciberataque de ransomware que parou a empresa de transporte de combustível Colonial Pipeline. Até o momento, este é considerado o ataque à infraestrutura crítica mais importante nos Estados Unidos. O evento deixou várias lições sobre cibersegurança para setores de todos os tipos, principalmente petróleo e gás.
O ataque iniciou com um ransomware, um código malicioso que assumiu o controle dos computadores do ambiente de tecnologia da informação (TI) da empresa americana. De acordo com o especialista Grant Geyer, diretor de Produtos da Claroty, empresa líder em cibersegurança industrial e parceiro digital da Rockwell Automation, quando a Colonial Pipeline contratou especialistas para ajudar a entender o ataque e seu possível impacto, eles também interromperam partes de seu ambiente de tecnologia operacional (TO), o que atrasou o transporte de combustível para toda a costa leste dos Estados Unidos.
"Presenciei muitos ataques ao ambiente no setor de TI. No entanto, se bem me lembro, esse foi um dos ataques mais impactantes no mundo cibernético e que afetou o mundo físico. Isso fez com que os oleodutos fossem fechados, causando uma escassez de combustível. Como resultado, os postos ficaram cheios de pessoas tentando acumular gasolina e os preços dispararam", explica Geyer em uma conversa com Theresa Houck, editora executiva do The Journal da Rockwell Automation e da PartnerNetwork.
Ou seja, o ataque afetou a empresa e, ao mesmo tempo, afetou outros negócios da cadeia de fornecimento de combustíveis, os consumidores e o governo dos Estados Unidos. É por isso que esse não foi um ataque qualquer, teve um objetivo definido. O grupo DarkSide, que se declarou autor dos danos, é descrito por Geyer como uma gangue criminosa que, ao ter seu alvo identificado, o intimida, coloca ransomware em suas máquinas e, antes de bloquear os sistemas, rouba os dados.
Porém, esse não foi o único caso. Em fevereiro deste ano, houve outro ataque na estação de tratamento de água de Oldsmar, na Flórida, por meio da ferramenta TeamViewer. Um operador de ativos observou que os níveis de água subiram de 100 para mais de 11.000 partes por milhão. Primeiro, ele pensou ser um erro, então o consertou. Entretanto, o problema voltou a aparecer. Geyer destaca uma primeira lição: a importância de utilizar os operadores como a primeira linha de defesa.
Outra lição que ele aponta é que “tendemos a acreditar que os ciberataques entrarão pela TI da rede e, em seguida, passarão pela ponte entre TI e TO para tentar colocar os ativos de TO em risco, mas existem outros pontos de acesso para os ciberataques”. Nesse caso, foi a mesma necessidade de conectividade remota devido à pandemia que deu acesso à ameaça.
E a convergência entre TI e TO? Tradicionalmente, diz Geyer, havia uma "parede de ar" que separava os dois ambientes. Nesse sentido, ele acha que será importante ter zonas virtuais, ambientes microssegmentados e arquiteturas de rede de confiança zero. Tudo isso permite que os usuários acessem os ativos de que precisam, mas oferece a capacidade de verificar a identidade dos usuários e se eles têm permissões para acessar esses ativos. Especificamente, nas condições atuais, a parede de ar não é a solução.
Mais lições
Outra lição que esses e outros ataques nos deixam é que você deve conhecer o inventário dos ativos das empresas e saber quais ativos estão expostos. Para o especialista na área, é um longo processo reduzir os riscos inerentes a esses ativos. Do mesmo modo, é importante garantir que o acesso remoto seja seguro e que os autores das ameaças não possam roubar as credenciais que os usuários usam para acessar o ambiente.
Assim, é importante que as empresas façam exercícios de simulação e se perguntem o que teriam feito se tivesse acontecido com elas o mesmo que aconteceu com a Colonial Pipeline.
Na mesma linha, Geyer acredita que os responsáveis pela automação devem ter em mente que o denominador comum entre as duas equipes (TI e TO) é a gestão de riscos.
"É aí que a mágica acontece: quando você entende que essa não é uma luta política entre a segurança da TI e a equipe de TO, mas que elas devem trabalhar juntas e se perguntar: como vamos gerenciar e reduzir riscos junto com o conhecimento desse ambiente de ameaças letais que devemos enfrentar?”, destaca o especialista na conversa.
