Post do TI INSIDE Online, publicado em 31 de julho de 2012. Clique para acessar o post original.

O desafio das empresas e operadores de infraestruturas críticas e do setor energético no mundo é proteger de forma eficaz seus sistemas de controle dentro das áreas técnica e de governança em um ambiente ativo e capaz de produzir ameaças avançadas persistentes (APTs). Essa é uma das conclusões do relatório “Avaliação de Segurança Tecnológica para Recursos e Aplicabilidade em Sistemas de Controle Industrial do Setor de Energia: Controle de Aplicações, Controle de Mudanças, Controle de Integridade da McAfee”, produzido pelo Laboratório Nacional do Noroeste do Pacífico (Pacific Northwest National Laboratory, PNNL), órgão federal do Departamento de Energia dos EUA (DOE), em parceria com a McAfee.

O estudo examina os atuais problemas enfrentados por infraestruturas críticas e recursos essenciais, além de identificar riscos e vulnerabilidades específicas no cenário de ameaças em evolução. O material também analisa o valor e a eficácia das soluções de segurança integradas que são necessárias para apoiar a missão de proteção nacional e defender os ambientes de sistemas de controle industrial.

“Quando os primeiros sistemas de infraestruturas críticas foram criados, nem a segurança, nem o uso indevido da rede interligada foram levados em conta”, afirma Philip A. Craig Jr., cientista sênior de Pesquisas de Segurança Tecnológica da Direção de Segurança Nacional do PNNL. “Atualmente, ainda nos dedicamos a melhorar a segurança dos sistemas de controle. Métodos de segurança desatualizados que usam diversas ferramentas de segurança diferentes, de vários fornecedores, apenas atrasam um ataque, criando inúmeras oportunidades para adversários cibernéticos mais avançados e modernos atacarem toda a infraestrutura crítica”, reforça Craig.

No relatório, o PNNL e o DOE identificaram as seguintes vulnerabilidades dos ambientes de sistemas de controle:

• Maior exposição: as redes de comunicação que ligam dispositivos e sistemas das redes inteligentes criarão muito mais pontos de acesso para esses equipamentos, o que aumentará a exposição a potenciais ataques.

• Interconectividade: as redes de comunicação ficarão mais interligadas, expondo ainda mais o sistema a possíveis falhas e ataques.

• Complexidade: o sistema elétrico ficará consideravelmente mais complexo, à medida que mais subsistemas forem ligados entre si.

• Tecnologias comuns de informática: os sistemas de rede elétrica inteligente usarão cada vez mais tecnologias de informática comuns e disponíveis no mercado, e ficarão sujeitos aos seus pontos fracos.

• Aumento da automação: as redes de comunicações gerarão, coletarão e usarão dados de maneiras novas e inovadoras, pois as tecnologias de rede elétrica inteligente automatizarão muitas funções. O uso indevido desses dados representa novos riscos à segurança nacional e à nossa economia.

O relatório também examina como as vulnerabilidades emergentes dos sistemas de controle continuam a ganhar impulso, já que os ataques evoluíram e tornaram-se uma arma digital sofisticada e cuidadosamente projetada, encarregada de uma tarefa específica, como o Stuxnet e o vírus Duqu.

“Vemos a adoção cada vez maior de infraestruturas relacionadas a sistemas que afetam nossa vida cotidiana, tais como as redes elétricas inteligentes. Entretanto, esses sistemas ainda não contam com a segurança adequada necessária para impedir ataques sofisticados”, comenta o Dr. Phyllis Scheck, vice-presidente e diretor de tecnologia da área de Setor Público Global da McAfee. “Incorporar a proteção desde o início do projeto é essencial para proteger as infraestruturas críticas. A segurança deve ser incorporada aos sistemas e às redes logo no início do processo de projeto, para que ela se torne parte integrante do funcionamento dos sistemas.”

Além dos sistemas de controle, o relatório também examina o impacto das novas tecnologias que afetam o setor de Energia. À medida que os avanços na tecnologia da informação e comunicação se integram às funções de operações e planejamento dos sistemas de energia, são criadas as redes elétricas inteligentes, que permitem visualizar o estado do sistema e os avanços no controle para aumentar a eficiência do sistema. Apesar dos benefícios significativos da natureza dinâmica da rede elétrica inteligente, a mesma não foi projetada levando em conta a segurança da informação.

A pesquisa cita as seguintes soluções, em um esforço para evitar a vulnerabilidade e mitigar os ataques aos sistemas de controle:

• Criação dinâmica de whitelists (listas brancas): permite negar aplicativos e códigos não autorizados em servidores, desktops corporativos e dispositivos de função fixa.

• Proteção da memória: a execução não autorizada é negada e as vulnerabilidades são bloqueadas e comunicadas

• Monitoramento da integridade de arquivos: qualquer atividade que altere, inclua, exclua, renomeie, modifique atributos, ACLs e o proprietário em relação a arquivos é comunicada, incluindo compartilhamento de rede.

• Proteção contra gravação: a gravação em discos rígidos é autorizada apenas em arquivos do sistema operacional, configuração de aplicativos e arquivos de log. Todas as demais são negadas.

• Proteção contra leitura: a leitura só é autorizada em arquivos, diretórios, volumes e scripts específicos; todas as outras são negadas.

O objetivo principal do Departamento de Energia dos EUA é proteger as infraestruturas críticas e os recursos mais importantes, incluindo recursos de geração, transmissão e distribuição de energia elétrica, além de recursos essenciais de petróleo e gás natural. O Laboratório Nacional do Noroeste do Pacífico (PNNL) continuará a aumentar o valor das tecnologias de segurança, à medida que forem implementadas em infraestruturas críticas e áreas de recursos.

Sobre o Pacific Northwest National Laboratory – PNNL
As equipes interdisciplinares do Pacific Northwest National Laboratory solucionam muitos dos problemas prementes dos EUA em termos de energia, meio ambiente e segurança nacional, por meio de avanços nas ciências básica e aplicada. O PNNL emprega 4.700 funcionários, tem um orçamento anual próximo a US$ 1,1 bilhão e é administra do para o Departamento de Energia dos EUA pela Battelle, de Ohio, desde a fundação do laboratório em 1965.