É hora de tornar obrigatória a segurança cibernética rigorosa para empresas de infraestrutura

É hora de tornar obrigatória a segurança cibernética rigorosa para empresas de infraestrutura

Ataques cibernéticos podem desligar a infraestrutura crítica. Ficar ocioso com segurança fraca não é mais uma opção.

Em 7 de maio, um sistema de oleoduto transportando quase metade do combustível usado na costa leste dos Estados Unidos foi danificado por um grande ataque cibernético . A paralisação de cinco dias do Oleoduto Colonial resultou em uma ampla escassez de combustível e na compra do pânico, pois a Virgínia, a Carolina do Norte e a Flórida declararam estado de emergência.

O ataque destaca a vulnerabilidade da infraestrutura crítica, como pipelines de combustível, em uma era de crescentes ameaças à segurança cibernética. Na Austrália, acreditamos que chegou a hora de tornar obrigatório para empresas de infraestrutura crítica a implementação de medidas sérias de segurança cibernética.

Dano colateral

O risco de ataques cibernéticos a infraestruturas críticas não é novo. Na esteira dos eventos de 11 de setembro de 2001, a pesquisa demonstrou a necessidade de abordar os riscos de segurança global enquanto analisávamos as questões de vulnerabilidade e proteção da infraestrutura crítica. Também propusemos sistemas para garantir a segurança na infraestrutura crítica da cadeia de suprimentos, como portos marítimos e práticas, incluindo gerenciamento de transporte de contêineres.

O aumento dos ataques de “ransomware”, nos quais os invasores apreendem dados importantes dos sistemas de uma organização e exigem um resgate pela sua devolução, aumentou o risco. Esses ataques podem ter consequências indesejadas.

As evidências sugerem que a paralisação colonial foi o resultado de tal ataque, visando seus dados. Parece que a empresa desligou a rede de pipeline e algumas outras operações para evitar que o software malicioso se espalhe. Isso resultou em uma cascata de efeitos indesejados em toda a sociedade e danos colaterais.

Na verdade, os invasores podem ter ficado surpresos com a extensão dos danos que causaram e agora parecem ter encerrado suas próprias operações .

Vimos como a infraestrutura crítica da cadeia de suprimentos pode ser gravemente interrompida como dano colateral. Devemos considerar o quão severo pode ser a precipitação de um ataque direto.

Os eventos nos EUA também levantam outra questão importante: quão vulnerável é nossa infraestrutura crítica da cadeia de suprimentos na Austrália?

A infraestrutura crítica é um alvo atraente

A sociedade australiana depende de muitas cadeias de abastecimento nacionais e internacionais. Eles são sustentados por uma infraestrutura crítica da cadeia de suprimentos que geralmente é gerenciada por sistemas de comunicação e informação avançados e interligados. Isso os torna alvos atraentes para atacantes cibernéticos.

As estruturas de risco cibernético são freqüentemente derivadas de abordagens tradicionais de gerenciamento de risco, abordando questões de um ataque cibernético potencial como risco convencional de rotina . Essas abordagens de gerenciamento de risco avaliam os custos de prevenção de um ataque cibernético em relação aos custos e à probabilidade de uma violação.

Em alguns setores, essa avaliação levará em consideração o custo de uma base de clientes perdida que pode nunca mais retornar. No entanto, os provedores de serviços essenciais, como transporte, assistência médica, eletricidade, água e alimentos, têm pouco risco de perder clientes.

Após o incidente colonial, os clientes voltaram aos postos de gasolina assim que puderam e continuaram comprando combustível. Assim, setores críticos podem perceber menos custos de uma violação do que empresas de outros setores porque seus clientes retornarão.

Tempo para conformidade

Os esforços nacionais da Austrália em segurança cibernética são coordenados pelo Australian Cyber ​​Security Centre (ACSC) sob os auspícios do Australian Signals Directorate. A ACSC trabalha com organizações dos setores público e privado para compartilhar informações sobre ameaças e orientações sobre as melhores práticas de segurança.

Documentos ACSC, como o Essential Eight, fornecem orientação para as organizações sobre as medidas básicas de segurança. Estes são complementados por recursos mais abrangentes, incluindo o Manual de segurança de informações do governo australiano .

No entanto, nossa pesquisa mostrou que as melhores práticas não são seguidas universalmente, mesmo pelos próprios sites do governo australiano .

A falta de conhecimento não é o problema. As melhores práticas de segurança são geralmente bem compreendidas e documentadas pela ACSC. A ACSC também fornece orientação específica para setores e indústrias críticas, como uma estrutura de segurança desenvolvida para o setor de energia .

O desafio aqui é que essas são apenas diretrizes. As empresas podem optar por segui-los ou não.

O que a Austrália precisa é de um programa de conformidade de segurança cibernética. Isso significaria tornar obrigatório para as empresas que gerenciam infraestrutura crítica, como portos ou dutos, seguir algum tipo de regra.

Um primeiro passo pode ser exigir que essas empresas cumpram as diretrizes existentes e exigir a certificação de uma linha de base de segurança cibernética.

Lições dos Estados Unidos

O governo dos EUA respondeu ao ataque cibernético colonial com uma ordem executiva para melhorar a segurança cibernética e as redes do governo federal. O pedido propõe uma série de medidas para modernizar os padrões e melhorar o compartilhamento de informações e os requisitos de relatórios. Estas são medidas valiosas, muitas das quais já estão dentro do escopo das funções existentes da ACSC da Austrália.

Outra medida na ordem dos EUA é o estabelecimento de um Conselho de Revisão de Segurança Cibernética independente. A Austrália também poderia estabelecer uma parceria entre o governo e a indústria para supervisionar a segurança cibernética. Um órgão semelhante já regulamenta a aviação: a Autoridade para a Segurança da Aviação Civil .

Essa organização forneceria análises e relatórios robustos de incidentes cibernéticos. Também compartilharia informações com gerentes de tecnologia da informação, desenvolvedores de software e hardware, administradores públicos, gerentes de crise e outros.

As ameaças à segurança cibernética criam altos níveis de incerteza para os setores público e privado. Ataques que interrompem a infraestrutura crítica da cadeia de abastecimento têm impactos generalizados na sociedade e no comércio.

Um programa de conformidade de segurança cibernética pode ser financeiramente caro, mas valeria a pena, dado o impacto social de um ataque cibernético bem-sucedido.