Embora os especialistas em segurança cibernética venham alertando há muito tempo sobre as ameaças à infraestrutura crítica dos países, os incidentes recentes estão abrindo os olhos de líderes políticos e empresariais para os riscos do ecossistema das redes de serviços públicos, redes de energia e outros serviços essenciais. Eliminar essas brechas de segurança exigirá estratégias colaborativas entre empresas, governos e o setor de tecnologia, para tentar corrigir os pontos fracos do ecossistema que podem causar grandes interrupções, danos financeiros ou perda de vidas.
Apesar de o setor e os governos terem investido fortemente em segurança cibernética, definindo diretrizes de segurança nacional para os setores nacionais — menos atenção é dada aos riscos gerados pela rede de infraestrutura interconectada crescente. Muitos operadores de infraestrutura adotaram a inovação para gerenciar melhor as operações e reduzir custos, incluindo a capacidade de operação remota, para que o ativo de produção de uma empresa possa ser gerenciado de um local central ou mesmo remoto (a qualquer hora, em qualquer lugar.
Essa inovação e mobilidade de acesso podem trazer benefícios significativos. No entanto, isso muitas vezes desafiou as equipes de tecnologia de operações que estavam focadas na proteção física dos ativos, e não nos riscos cibernéticos externos emergentes.
Embora muitos sistemas de negócios sejam vigilantes contra ameaças cibernéticas, os sistemas operativos nem sempre tiveram o mesmo escrutínio de segurança. Ademais, com o aumento da interconectividade entre uma empresa com clientes, fornecedores e até mesmo parceiros governamentais, as ameaças cibernéticas podem chegar de muitas fontes, gerando consequências inesperadas, próximas e distantes.
Apesar dos esforços das empresas líderes para proteger sistemas, ainda há muito trabalho a ser feito. Diversos ataques de ransomware (programa criado para bloquear o acesso a um sistema de computador até que seja pago um valor em dinheiro como resgate) conhecidos poderiam ter sido evitados ou pelo menos reduzidos. E muitas organizações ainda não atingiram um nível mínimo de segurança cibernética para evitá-los.
Também devemos perguntar se as empresas estão investindo o suficiente para manter ambientes operativos atualizados e enfrentar os custos de substituição de sistemas legados; se o fato de evitar paradas de manutenção programadas que poderiam afetar a produção gerou problemas; ou se as organizações deveriam fazer mais para pressionar fornecedores de tecnologia a fornecer atualizações adequadas para sistemas industriais antigos.
Seja qual for a resposta a estas perguntas, aparentemente muitos sistemas operativos definham com funcionalidades desatualizadas e não contam com as atualizações de segurança necessárias.
Além disso, uma cultura inadequada de pessoas em muitas organizações pode paralisar os esforços de segurança cibernética. Embora as equipes de operações possam não ter conhecimento cibernético ou ao menos conhecer algo, o problema pode ter origem no nível de supervisão e da gestão, em que os gestores desse ambiente não estão familiarizados com os próprios ativos operativos, nem entendem as dependências do ecossistema. Essa cultura pode se estender aos profissionais da linha de frente que não são adequadamente treinados nas práticas básicas de segurança cibernética, nem são incentivados a comunicar problemas operacionais ou falhas que criam vulnerabilidades para possíveis ataques cibernéticos.
Além de conscientização e controles internos, há necessidade de um planejamento mais abrangente para enfrentar a fragilidade do ecossistema. Ainda que os governos nacionais ou regionais possam fornecer essa supervisão e coordenação de estratégias de segurança cibernética para setores críticos, poucos governos abraçaram essa tarefa.
Diante desse cenário, o papel fundamental da proteção do ecossistema pode depender da colaboração do setor, com liderança fornecida pelas maiores empresas de infraestrutura e tecnologia, que podem trazer contrapartes à mesa para definir princípios e práticas comuns. Esse consenso poderia, em última análise, estimular a atividade regulatória correspondente.
Atualmente, a maioria das empresas pode desligar rapidamente os próprios ambientes operativos, se um problema ocorrer, e reverter para processos alternativos. Essa mentalidade de “posso fazer” deve ser estendida no nível do ecossistema, de modo que os riscos relacionados ao labirinto de dependências de um setor sejam identificados, soluções alternativas sejam desenvolvidas e planos de backup sejam testados e praticados em conjunto por empresas, setores, tecnologias e reguladores. Embora demande tempo e comprometimento para que as partes interessadas desenvolvam abordagens eficazes para gerenciar os riscos incorporados nos seus ecossistemas, é encorajador observar que os participantes do setor estão hoje dando os primeiros passos.
Como qualquer grande desafio, isso deve começar com a conscientização, e os ataques cibernéticos recentes estão levando os líderes da empresa e os chefes de Estado a perguntarem o seguinte: “Quais são os nossos ativos?”, “Qual é o nosso nível de maturidade em tecnologia operacional?” e “Como o ecossistema pode afetar nossa capacidade de operar?” A próxima etapa é a colaboração do setor, do governo e da tecnologia (fornecedores e prestadores) para pensar de maneira inovadora e proteger a infraestrutura crítica da qual todos nós dependemos.
Rodrigo Milo é sócio de segurança cibernética da KPMG.
