Os sistemas de controlo industrial (ICS) fazem parte da nossa vida quotidiana: são utilizados nas indústrias de eletricidade, água potável, rede de esgotos, gás natural e petróleo, transportes, farmacêuticas, alimentação e produção industrial (automóveis, aeroespaciais). O crescimento da internet faz dos ICS uma presa fácil para os cibercriminosos, segundo o relatório da Kaspersky Lab.
As exigências empresariais do século XXI requerem a integração dos ICS com redes e sistemas externos. Desde discos duros ou dispositivos USB afetados, até conexões não autorizadas; desde redes de ICS na Internet através de telemóveis pessoais ou modems, e desde discos de distribuição afetados e obtidos por parte dos fabricantes até um colaborador infiltrado, todos estes métodos estão acessíveis para os hackers peritos nestas áreas que pretendam lançar um ataque contra uma rede física de ICS e logicamente isolada.
Com o objetivo de reduzir a possibilidade de sofrer um ciberataque, os sistemas de controlo industrial (ICS) executam-se num ambiente fisicamente isolado. No entanto, nem sempre é assim. Segundo o relatório sobre as ciberameaças aos ICS da Kaspersky Lab, existem 13.698 redes de ICS expostas na Internet que provavelmente pertencem a grandes empresas. Cerca de 91,1% destas redes de ICS tinham vulnerabilidades que podiam ser exploradas remotamente. Mas para piorar este cenário, cerca de 3,3% dessas redes de ICS das empresas contêm vulnerabilidades críticas e executáveis de forma remota.
A exposição dos componentes dos ICS na Internet oferece muitas oportunidades, mas também muitas preocupações em torno da segurança das TI. Por um lado, os sistemas conectados são mais flexíveis para obter uma reação rápida a situações críticas ou à aplicação de atualizações. Mas, por outro lado, o crescimento da Internet oferece aos hackers a oportunidade de controlar de forma remota os componentes críticos dos ICS, o que pode levar a danos físicos das equipas, bem como a um potencial perigo para toda a infraestrutura critica.
Os ataques aos sistemas ICS não são novos. Em 2015, um grupo de hackers chamado BlackEnergy APT atacou uma companhia de energia na Ucrânia. No mesmo ano sucederam-se outros incidentes, supostamente relacionados com ciber-ataques, na Europa: numa fábrica de aço na Alemanha e no aeroporto Frederic Chopin em Varsovia.
No futuro surgirão mais ataques deste tipo. As tais 13.698 redes localizadas em 104 países são apenas uma pequena parte do total de componentes dos ICS acessíveis através da Internet.
Para ajudar as organizações que trabalham com Sistemas de Controlo Industrial a identificar os seus possíveis pontos fracos, os peritos da Kaspersky Lab elaboraram um relatório sobre as ameaças aos ICS. A análise baseou-se na OSINT (Open Source de Inteligência) e em informação de fontes públicas como os ICS CERT.
As principais conclusões do relatório são:
- No total foram identificadas 188.019 redes com componentes dos ICS acessíveis através da Internet em 170 países.
- A maioria dos hosts com componentes dos ICS acessíveis remotamente encontram-se nos EUA (30,5% - 57.417) e na Europa. Na Europa, a Alemanha lidera (13,9% - 26.142 hosts), seguida da Espanha (5,9% - 11.264 hosts) e da França (5,6% - 10.578 hosts).
- Cerca de 92% (172.982) dos hosts dos ICS acessíveis de forma remota têm vulnerabilidades. 87% destes hosts contêm vulnerabilidades de risco médio e 7% contêm vulnerabilidades críticas.
- O número de vulnerabilidades nos componentes ICS multiplicaram-se por dez nos últimos cinco anos: de 19 em 2010 para 189 em 2015. Os componentes dos ICS mais vulneráveis eram os HMI (Interface Homem Máquina), dispositivos elétricos e sistemas SCADA.
- Nem todas as vulnerabilidades detetadas em 2015 foram reparadas. Para cerca das 85% das que foram divulgadas há reparações e novos firmware acessíveis: as restantes não foram reparadas ou foram mas apenas de forma parcial, por distintas razões. A maioria das vulnerabilidades sem reparação (14 de 19) são de alto risco.
- 91,6% (172.338 redes diferentes) de todos os dispositivos ICS acessíveis de forma externa utilizam protocolos débeis de conexão à Internet, o que abre a porta para que os hackers levem a cabo ataques man-in-the-middle.
“A nossa análise mostra que quanto maior for a infraestrutura dos ICS, maior é a oportunidade dos hackers encontrarem falhas de segurança graves. Não é culpa de nenhum fornecedor de software ou hardware. Pela sua natureza, os ICS são uma mistura de diferentes componentes interconectados e muitos estão ligados à Internet. Não há garantia de que 100% de uma instalação concreta dos ICS não terá pelo menos um componente vulnerável em algum momento. No entanto, isto não significa que não haja forma de proteger uma fábrica, uma central de energia, ou inclusive um edifício numa cidade inteligente, dos ciber-ataques. Tomar consciência das vulnerabilidades dos componentes utilizados no interior de uma instalação industrial em particular é o requisito básico para a gestão de segurança da instalação. Esse foi um dos objetivos do nosso relatório: consciencializar os interessados”, afirma Andrey Suvorov, chefe de segurança de infraestruturas críticas da Kaspersky Lab.
Com o objetivo de proteger o ecossistema dos ICS de possíveis ataques, os peritos em segurança da Kaspersky Lab aconselham o seguinte:
- Realizar uma auditoria de segurança: convidar os peritos especializados em segurança industrial para identificar e eliminar as falhas de segurança descritas no relatório.
- Contar com ciber inteligência externa: hoje em dia a segurança baseia-se no conhecimento dos potenciais vetores de ataque. A obtenção deste tipo de inteligência por parte de fornecedores de confiança ajuda a prever futuros ataques contra a infraestrutura industrial de uma empresa.
- Proteção dentro e fora do perímetro. Os erros sucedem-se e uma estratégia de segurança adequada tem que dedicar um recurso importante para deter, responder e bloquear um ataque antes que este alcance os objetos de importância crítica.
- Avaliar os métodos avançados de proteção: denegação predeterminada de cenários para os sistemas SCADA, controlos periódicos de integridade para os controladores, supervisão da rede especializada para aumentar a segurança geral de uma empresa e reduzir as possibilidades de um ataque bem-sucedido, incluindo se alguns nodos inerentemente vulneráveis não possam ser reparados ou eliminados.
Relatório completo sobre os Sistemas de Controlo Industrial na Securelist.com.
