Ataques cibernéticos mirando os setores de água, industrial e governo podem expor vulnerabilidades em infraestruturas críticas com consequências graves, desde interrupções no fornecimento de serviços, impacto operacional até riscos à segurança pública
Grant Geyer, Diretor de Estratégias da Claroty, empresa de proteção de sistemas ciberfísicos (CPS), revela suas previsões para 2025, destacando a intensificação das ameaças cibernéticas contra setores críticos, como o de água, industrial e governo. De acordo com o especialista da Claroty:
Setor de água e governo: há um claro entendimento de que os cibercriminosos estão mirando o setor de água para projetar, poder e criar lacunas na confiança da capacidade dos governos de proteger a população. O cenário de ameaças está se tornando mais perigoso, com ataques cibernéticos da Rússia, China e Irã expondo vulnerabilidades críticas em sistemas de água. Em 2025, esperamos que os ataques cibernéticos direcionados a concessionárias de água aumentem tanto em frequência quanto em sofisticação, facilitados pelo envelhecimento da infraestrutura e pelo investimento inadequado em segurança cibernética. A menos que o impasse atual seja quebrado, as consequências podem ser severas – desde lacunas na confiança pública, até interrupções no fornecimento de água e riscos à segurança pública.
Organizações vão operacionalizar a segmentação para reduzir riscos cibernéticos, visando a segurança de sistemas ciberfísicos: embora muitos projetos de segurança de sistemas ciberfísicos (CPS) comecem com o estabelecimento de um inventário de ativos, as organizações passarão a operacionalizar estratégias de redução de riscos. Mesmo que toda organização requeira um programa de gerenciamento de vulnerabilidades, em 2025 um número maior de organizações perceberá que seus objetivos de redução de riscos não irão se materializar. As organizações que levam a sério a redução de riscos irão reconhecer a necessidade de operacionalizar a segmentação de rede em seus ambientes CPS, para retirar classes inteiras do cenário de riscos. Esta seria uma mudança significativa na maioria das organizações, pois as equipes de engenharia frequentemente rejeitam programas que podem causar impactos operacionais na produção. A forma como esse choque de culturas e as decisões resultantes se desenrolam, determinará os resultados da redução de riscos, por isso, é essencial que os CISOs se preparem e se envolvam adequadamente nessa iniciativa crítica.
Mudança nas perspectivas das organizações industriais em relação à nuvem: embora historicamente tenha havido uma reticência por parte das empresas em conectar suas instalações industriais de produção à nuvem, espera-se ver uma mudança drástica em 2025. À medida que as organizações reconhecem que podem obter vantagens competitivas e eficiências alavancando a nuvem pública para vários serviços, a abertura para adotar ofertas de segurança cibernética fornecidas pela nuvem seguirá o exemplo. Diante da resistência histórica para conectar ambientes de OT à TI ou à nuvem, acredita-se que o setor atingirá a velocidade de escape em 2025. Como as mesmas vantagens para ofertas de TI baseadas em SaaS se aplicam à OT, esse sentimento mudará em todo o setor. As exceções a essa mudança dependerão apenas da soberania de dados, restrições legislativas e regulatórias. No final das contas, acreditamos que isso produzirá melhores resultados às equipes de engenharia de OT e segurança cibernética.
Iniciativas Secure-by-Design forçarão a ação de fabricantes de sistemas ciberfísicos para produzir dispositivos mais seguros: em outubro de 2023, a A CISA (Cybersecurity and Infrastructure Security Agency) e muitos parceiros internacionais anunciaram uma nova iniciativa Secure-by-Design para fabricantes de software. Embora este não seja um conceito novo, os riscos não poderiam ser maiores, dada a série de ativos altamente vulneráveis e exploráveis que levaram a grandes comprometimentos nos últimos dois anos. A CISA se baseou neste trabalho, anunciando o compromisso Secure-by-Design que tem mais de 200 signatários, incluindo a Claroty. No entanto, notavelmente ausentes dos signatários estão os fabricantes de dispositivos de sistemas ciberfísicos (CPS). Desde então, a CISA emitiu uma iniciativa Secure-by-Demand sobre as expectativas recomendadas que as organizações devem esperar de seus fabricantes de software antes, durante e depois do processo de aquisição. Completando este conjunto de trabalho de “o que fazer”, há um conjunto de “o que não fazer” no Bad Product Practices Paper. Prevê-se que esse conjunto de iniciativas será ainda mais refinado e focado em Tecnologia Operacional, criando iniciativas que pressionarão os fabricantes de dispositivos CPS a impulsionar melhorias focadas em suas tecnologias. Os fabricantes de dispositivos CPS precisam reconhecer que a expectativa está crescendo e aproveitar a oportunidade para serem vistos como adotantes ansiosos dessa linha de trabalho.
“Em 2025, a cibersegurança não será apenas uma necessidade tecnológica, mas uma prioridade estratégica às organizações, especialmente na América Latina. Aquelas que não se prepararem adequadamente para enfrentar as ameaças cibernéticas em constante evolução, correrão o risco de perdas significativas, tanto em termos financeiros quanto de reputação”, destaca Italo Calvano, Vice-Presidente da Claroty para a América Latina.
