.
Todas as infraestruturas de informações críticas (CIIs) em Cingapura devem se transformar continuamente para acompanhar o cenário de ameaças em constante mudança e isso significa ir além das práticas “genéricas” de segurança cibernética. Requer um forte foco na segurança da tecnologia operacional (OT), abrangendo os conjuntos de habilidades corretos e práticas de segurança cibernética específicas da OT para operadores de CII.
No ano passado, Cingapura aprimorou sua estratégia de segurança cibernética para enfatizar o OT e forneceu diretrizes sobre as habilidades e competências técnicas necessárias para as organizações de OT. O país define os sistemas OT para incluir controle industrial, gerenciamento predial e sistemas de controle de semáforos que monitoram ou alteram o estado físico de um sistema, como sistemas ferroviários.
A Agência de Segurança Cibernética de Cingapura (CSA) pressionou a necessidade dos operadores de CII de reforçar a segurança cibernética dos sistemas OT, onde os ataques podem representar riscos físicos e econômicos.
A necessidade de eficiências e funcionalidades alimentou a convergência de sistemas de TI e OT, estes últimos tradicionalmente concebidos como infraestruturas autônomas e não conectados a redes externas ou à internet.
Não operando mais em tais ambientes com lacunas de ar, os sistemas OT agora são executados em uma superfície de ataque mais ampla e estão abertos a possíveis ataques cibernéticos que podem ter impacto no mundo real.
Questionado sobre quais setores de CII mais precisavam de transformação de segurança cibernética, a CSA observou que, como o cenário de ameaças estava em constante evolução, cada setor de CII deveria “adaptar e transformar” continuamente seus processos para combater ameaças existentes e emergentes.
As indústrias de CII variam em tamanho, função e dependência de tecnologia, e todas moldam suas respectivas estratégias de segurança cibernética, disse o porta-voz da CSA ao Strong The One.
Ele acrescentou que alguns setores aproveitaram OT e TI juntamente com IoT (Internet das Coisas), e isso não apenas introduziu desafios adicionais específicos do setor, mas também aumentou ainda mais a área de superfície que precisava ser protegida contra ameaças cibernéticas.
De acordo com Keith Lunden, gerente de análise da Mandiant Intelligence do Google, em comparação com os ativos de TI, os ativos OT experimentaram uma quantidade muito limitada de atividades de ameaças, principalmente devido a lacunas de ar tradicionais e segmentação de rede interna que minimizou os principais incidentes de malware.
“No entanto, isso também serviu para minimizar os drivers de esforços de segurança cibernética OT, [so] em vez de atividades de ameaças, os requisitos regulamentares têm sido o principal impulsionador dos esforços de segurança OT”, observou Lunden. “Correspondentemente, setores não regulamentados, como água e águas residuais, são os que mais precisam de transformação”.
Ele acrescentou que essas indústrias devem desenvolver contramedidas de segurança cibernética baseadas em riscos com base nos padrões da indústria.
O fundador e CEO do Group-IB, Dmitry Volkov, também destacou a necessidade de todos os setores de CII melhorarem constantemente sua postura de segurança cibernética, pois sua capacidade de operar sem interrupções é fundamental para a segurança nacional.
Ele disse que setores como saúde, transporte e governo eram alvos frequentes, apontando como um ataque de ransomware levou o governo da Costa Rica a declarar estado de emergência pela primeira vez em abril. Os hackers haviam exfiltrado mais de um terabyte de dados, violando 27 ministérios no ataque.
Os setores de automação predial e de petróleo e gás também veem altas porcentagens de computadores ICS (sistema de controle industrial) onde objetos maliciosos são bloqueados, de acordo com Vitaly Kamluk, diretor da Kaspersky Ásia-Pacífico para pesquisa e análise global.
As taxas de bloqueio para essas indústrias continuaram acima da média global, disse Kamluk, observando que um maior uso de recursos online e e-mail entre as empresas de automação predial pode ter resultado no setor liderando outros na variedade de ataques de malware bloqueados.
Lunden disse que os cibercriminosos fizeram avanços significativos no comércio operacional nos últimos anos, com o ransomware emergindo como um modelo de negócios eficaz e resultando em um grande número de incidentes de segurança que afetam infraestruturas críticas, geralmente incluindo ambientes OT.
Apontando para ataques patrocinados pelo estado, ele disse que a Mandiant continuou a ver adversários ansiosos para explorar recursos inseguros de OT.
“[These] destinado a alavancar maliciosamente a funcionalidade nativa de dispositivos OT, em vez de explorar vulnerabilidades nesses sistemas”, observou ele. é muito mais difícil redesenhar esses dispositivos, em vez de simplesmente corrigir as vulnerabilidades neles.”
As cadeias de suprimentos aumentam a ameaça potencial de OT
Além disso, as cadeias de suprimentos em alguns setores de OT, como manufatura e marítimo, geralmente são expansivas e envolvem várias partes.
E pode ser um desafio proteger as cadeias de suprimentos, disse a CSA, observando que as organizações assumem riscos cibernéticos desconhecidos de fornecedores terceirizados, uma vez que não têm visibilidade total de sua cadeia de suprimentos. “As organizações só podem ser tão fortes quanto seu elo mais fraco”, disse o porta-voz.
Ele apontou para o programa CII Supply Chain da CSA, que descreve cinco iniciativas fundamentais para ajudar esses setores a enfrentar os desafios da cadeia de suprimentos cibernéticos em diferentes camadas, incluindo organizacional, setorial, nacional e internacional. O programa inclui um kit de ferramentas, manual, esquema de certificação e centro de aprendizagem.
Em particular, todos os setores CII e OT devem melhorar sua visibilidade, uma vez que as organizações não seriam capazes de proteger e defender ativos que não sabiam que existiam, disse Fabio Fratucello, CTO da CrowdStrike Asia-Pacific Japan.
Sem visibilidade, eles também não tinham detecção de ameaças ou proteção contra adversários que trabalhariam para localizar pontos cegos, disse Fratucello. Para enfrentar esses desafios, ele disse que a CrowdStrike apresentou seu Falcon Discovery para IoT para ajudar os clientes a entender os relacionamentos interconectados entre seus ativos de TI, OT e IoT e mitigar riscos potenciais nesses ambientes.
“Uma vez que as organizações tenham uma compreensão mais profunda de sua superfície de ataque, elas estarão mais bem equipadas para tomar decisões mais informadas e baseadas em riscos, preenchendo a lacuna entre os ambientes OT e as operações de TI”, observou ele. “É importante que as organizações olhem externamente e internamente para entender as vulnerabilidades de segurança. Isso inclui riscos por meio da cadeia de suprimentos, que em alguns setores pode ser uma cadeia incrivelmente complexa e longa.”
Citando a pesquisa da CrowdStrike, ele disse que 48% das organizações da Ásia-Pacífico sofreram pelo menos um ataque à cadeia de suprimentos nos últimos anos, enquanto 60% não conseguiram afirmar que todos os seus fornecedores de software foram examinados.
Para gerenciar melhor seus ecossistemas de terceiros e proteger suas infraestruturas, Volkov sugeriu que os setores de TO adotassem isolamento e segregação de TI, TO e processos humanos e garantissem a integridade de seus componentes de infraestrutura.
Uma plataforma de inteligência de ameaças também identificaria invasores em potencial e como eles estavam atacando as infraestruturas de OT, disse ele, acrescentando que indicaria áreas de comprometimento para que pudessem ser bloqueadas e a postura de segurança melhorada.
Os setores de OT devem avaliar a superfície de ataque externa de seus fornecedores e trabalhar em estreita colaboração com seus fornecedores terceirizados para garantir que tenham todas as medidas de segurança necessárias, como uma equipe de resposta a incidentes.
Preenchendo lacunas na segurança OT
Com a demanda por funções que exigem competências em TI e OT em meio ao aumento da conectividade entre os dois domínios, a CSA disse que desenvolveu o OT Cybersecurity Competency Framework para oferecer diretrizes sobre a identificação de habilidades e treinamento para seus engenheiros. Também mapeia as carreiras desses engenheiros, disse o porta-voz.
O porta-voz acrescentou que a CSA estabeleceu o código de práticas de segurança cibernética para estabelecer práticas obrigatórias de segurança cibernética específicas de OT para operadores de CII.
“Eles se concentram na segmentação de rede, gerenciamento de patches, detecção e monitoramento contínuo com o objetivo de reduzir a probabilidade de agentes de ameaças explorarem vulnerabilidades de software e obterem uma posição segura nos sistemas OT”, disse ele. “Ele equipa os proprietários de sistemas OT com o know-how para mitigar as ameaças cibernéticas emergentes de forma mais eficaz.”
Questionado sobre o papel dos regulamentos na OT, ele disse que a Lei de Segurança Cibernética de Cingapura forneceu uma estrutura para a designação de 11 setores de CII, enquanto o código de prática estipulava padrões básicos de segurança cibernética e medidas que esses proprietários de CII deveriam implementar para garantir sua resiliência.
Ele observou que o código de prática foi aprimorado recentemente para ajudar os CIIs a fortalecer ainda mais sua resiliência e defesas cibernéticas contra ameaças cibernéticas sofisticadas e a serem mais ágeis na resposta aos riscos emergentes de segurança cibernética.
A revisão do código também melhorou a coordenação entre o governo de Cingapura e os setores privados, para que as ameaças cibernéticas pudessem ser descobertas e a resposta iniciada em tempo hábil, disse o porta-voz da CSA.
“Todo setor CII enfrenta riscos de segurança cibernética específicos de seus terrenos digitais, como migração para a nuvem ou uso de tecnologias 5G”, observou ele, enfatizando a importância da segurança OT. “Práticas de higiene cibernética genéricas em setores críticos não seriam capazes de lidar com esses riscos específicos”.
Kamluk disse que era importante definir os padrões da indústria exigindo que as empresas construíssem bases de segurança em seus sistemas. Embora essenciais, no entanto, os regulamentos são apenas um componente de uma abordagem holística para a segurança OT.
A colaboração também é fundamental na integração de todos os elementos da segurança, disse ele, instando as organizações a se unirem e adotarem uma abordagem concertada para a segurança como um setor. Um roteiro claro fornece um plano orientador para o qual todos podem trabalhar e isso pode aliviar o atrito no setor, acrescentou.
Com um plano e sistemas em vigor, deve haver reuniões regulares específicas do setor e manutenção de rotina. Esses “exames de saúde” garantirão que possíveis armadilhas e ameaças sejam levantadas no início e os participantes do setor possam se recalibrar e permanecer resilientes, disse Kamluk.
Volkov observou que novas leis ou emendas às existentes devem ser “orientadas por dados” e visam abordar as fraquezas identificadas durante exercícios de segurança cibernética envolvendo várias partes.
Lunden disse: “Os regulamentos precisam ser baseados em desempenho, em vez de prescritivos. Isso pode dar flexibilidade aos proprietários de sistemas OT ao implementar contramedidas de segurança cibernética. Eles também precisam ser adaptados para se aplicar apenas aos ativos OT mais críticos de uma organização, pois nem todos OT deve ser considerado igual.
“Os reguladores devem aprender com as experiências de outros órgãos reguladores que melhoraram a eficácia de seus regulamentos ao longo do tempo”, acrescentou.
Em julho, Cingapura expandiu seu programa de rotulagem de segurança cibernética para incluir dispositivos médicos, especificamente aqueles que lidam com dados confidenciais e podem se comunicar com outros sistemas.
Questionado se o esquema de rotulagem poderia ser expandido para incluir sistemas e aplicativos OT, o porta-voz da CSA disse que atualmente não há planos para fazê-lo.
Ele observou que a iniciativa visava fornecer maior transparência para produtos IoT voltados para o consumidor, o que os dispositivos OT não eram. Este último geralmente executa funções mais críticas, como garantir a entrega de serviços essenciais, disse ele, acrescentando que a CSA oferece outros esquemas de certificação, como o Esquema de Critérios Comuns para facilitar a avaliação de segurança de produtos de TI.
COBERTURA RELACIONADA
.
