Caso de uso

Serviços públicos

Adotar Zero Trust para evitar riscos de infraestrutura crítica

As empresas de serviços públicos são altamente vulneráveis a ataques cibernéticos, mas uma abordagem estruturada de Zero Trust pode reduzir riscos e impactos nesse cenário

O problema

O risco de um ataque cibernético contra um serviço público, como fornecedores de energia, água e gás, é imediato. Preocupa as autoridades governamentais devido ao seu forte impacto.

2021 mostrou um crescimento exponencial nos ataques de ransomware, visando empresas e governos em todo o mundo, causando perdas e incertezas significativas. No entanto, quando um ataque cibernético afeta um provedor de infraestrutura crítica, o potencial de interrupção é maior. A mídia está cheia de histórias sobre como os ataques cibernéticos impactaram as indústrias em todo o mundo. Isso continua aumentando, levando as organizações a adotarem soluções de defesa.

Dois outros casos em novembro de 2021 não tiveram o mesmo final. A empresa norte-americana Delta-Montrose Electric Association (DMEA), do Colorado, perdeu 25 anos de dados após um ataque cibernético. O ataque derrubou a maioria de seus serviços de rede interna, afetando o suporte técnico, processamento de pagamentos, sistemas de cobrança e outras ferramentas.

Em novembro de 2021, a empresa australiana CS Energy foi atingida por um ataque cibernético que seu CEO descreveu como uma tendência crescente e preocupante. De acordo com o Daily Telegraph, o ataque foi interrompido no último minuto, pouco antes de atingir duas grandes usinas de carvão. Se bem sucedido, o ataque teria cortado o fornecimento de energia de 1,4 para 3 milhões de residências.

Em maio de 2021, o caso mais famoso foi o Colonial Pipeline, offline após um ataque de ransomware. O oleoduto de 5.500 milhas fornece combustível para refinarias em toda a Costa do Golfo até Nova Jersey. Fornece quase metade da gasolina e do diesel consumidos na costa leste dos EUA. Uma porcentagem significativa dos postos de gasolina da Virgínia, Geórgia, Carolina do Norte e Carolina do Sul estava sem combustível, de acordo com o GasBuddy. O ataque foi interrompido após um pagamento de recompensa de US$ 4,5 milhões aos hackers.

O risco está aqui, agora

Embora a maioria das empresas de serviços públicos esteja ciente dos riscos de segurança cibernética, existem inconsistências de investimento para proteger seus ativos. O risco cibernético pode aumentar à medida que a transformação digital se acelera, e um exemplo é uma demanda crescente e complexa para implementar medidores inteligentes. As organizações devem abordar os riscos imediatamente.

Vários fornecedores de energia têm muitas unidades de negócios para gerar e distribuir seus recursos. Algumas políticas permitem que o OT utilize a tecnologia IoT (Internet of Things), pois as soluções de gestão não são bem comprovadas – do ponto de vista da segurança – para monitorar operações, que podem conter vulnerabilidades graves. Somado a uma força de trabalho grande e distribuída, empreiteiros que precisam de acesso a sistemas críticos em concessionárias, a falta de uma política de acesso aumenta a fragilidade dessas organizações. Os ataques à cadeia de suprimentos podem vir desses pontos fracos.

O design organizacional funciona melhor quando a equipe de segurança cibernética tem visibilidade nas redes de TO e TI. Permite que os líderes pensem em arquitetura para evitar ataques cibernéticos aos ativos da empresa. Uma infraestrutura elementar exige conectividade com uma cadeia de suprimentos da Internet. Além disso, os sistemas OT podem exigir conexão com a rede de TI para coleta e manutenção de dados, para citar alguns.

Como você lida com todos esses riscos?

Zero Trust:
Mais do que uma solução

Não existe uma solução única que se adapte a todos os tamanhos e resolva todos os problemas, mas o Zero Trust reduz significativamente os riscos. Zero Trust está deixando o estágio de ‘tendência’ para se tornar uma estratégia de segurança cibernética para qualquer negócio. 80% das organizações, de acordo com a pesquisa do App Gate, adotarão o Zero Trust em 2022 e 96% acreditam que implementá-lo neutralizará os ataques cibernéticos.

Liderança é levar a Zero Trust a sério.

Na contramão do pensamento usual, uma fornecedora de energia da América Latina adotou recentemente uma visão inovadora sobre segurança, utilizando o conceito Zero Trust. E mais organizações do mercado de serviços públicos estão indo na mesma direção, para sempre.

A pesquisa da Symmetry Systems e da Osterman Research divulgou um relatório de 125 tomadores de decisão de TI e segurança de organizações de médio e grande porte detalhando como implementarão o Zero Trust. 53% disseram que o ransomware era seu pior problema e motivador, esperando que a arquitetura melhorasse a proteção de segurança cibernética e bloqueasse violações de dados em 144%.

A arquitetura Zero Trust muda a forma como as organizações concebem suas redes de TI e OT. No modelo antigo, todos os equipamentos e dispositivos estavam na mesma rede e confiavam uns nos outros. A premissa do conceito Zero Trust não depende de nada: redes, máquinas ou usuários, exigindo autenticação em tempo real de quem ou quais dados acessam.

Dispositivos móveis, serviços em nuvem e crescimento exponencial do trabalho em casa representam um desafio para o modelo Zero Trust. Aumenta a complexidade da adoção. No entanto, mesmo em um espaço de negócios conservador como fornecimento de energia, focar nos pontos mais fracos e críticos elimina os geradores de vulnerabilidades.

De acordo com pesquisas de várias empresas de consultoria nos últimos anos, as principais vulnerabilidades são:

  • Roubo de credenciais
  • Falta de gerenciamento adequado de dispositivos e sistemas
  • Sem criptografia de dados

Por meio de uma plataforma integrada, a empresa Latin American Power Supply adotou – como parte de sua estratégia Zero Trust – uma estratégia sem senha para garantir o não repúdio do usuário, evitando o roubo de credenciais, técnica usual para phishing e malware.

Depois que o usuário se autentica no gerenciamento de ativos de TI críticos (servidores, sites, bancos de dados, serviços em nuvem, certificados e muito mais), ele é gerenciado a partir de um ponto único. Os usuários acessam seus recursos – apenas aqueles de que precisam para suas tarefas, os menos privilegiados – sem conhecer as credenciais. Essa abordagem adiciona uma camada de segurança, orientando os usuários a acessar recursos apenas por meio da plataforma Critical Asset Management. Em uma configuração mais robusta, os gerentes podem configurar recursos para serem acessíveis apenas dentro da solução, evitando o acesso direto da internet. Essa camada extra evita ataques cibernéticos como DDoS – Distributed Denial of Service.

Todo o acesso do usuário aos sistemas, local ou remoto, ocorre por meio de um túnel seguro e auditado. Este método de acesso elimina o risco de VPN (Virtual Private Network), que passa a ser um vetor de ataque em vários cenários recentes. As VPNs também geram gerenciamento de TI ouvido devido à criação e distribuição de certificados, senhas, instalação de software cliente, para citar alguns.

A solução adotada permite o gerenciamento da rede OT, principalmente os novos dispositivos que demandam conexão com a internet. A plataforma trata os elementos de TI e OT com a mesma abordagem, em conformidade com Zero Trust. Esses dois mundos tendem a viver no mesmo ambiente para satisfazer a transformação digital em andamento, gerenciada a partir de um console exclusivo para facilitar a administração.

A arquitetura Zero Trust não se limita à força de trabalho, mas é essencial para contratados e fornecedores que acessam sistemas internos de TI e OT. As organizações devem prestar atenção à cadeia de suprimentos como uma superfície de ataque de segurança cibernética. Gerenciá-lo é uma questão crítica, e a Zero Trust pode ajudar.

O evento mais notável da cadeia de suprimentos de segurança cibernética ocorreu no início de 2020. Quando os hackers entraram silenciosamente na rede da SolarWind para injetar código malicioso em seu software, tudo começou. Na época, várias organizações em todo o mundo usavam o sistema Orion para gerenciar suas redes. A SolarWind tinha 33.000 clientes usando Orion, de acordo com documentos da SEC; e relatou que 18.000 foram afetados pelo código malicioso. Como a SolarWind tem muitos clientes de alto nível, incluindo empresas da Fortune 500 e agências governamentais dos EUA, as violações tiveram um impacto significativo.

David Kennedy, um ex-fuzileiro naval que liderou missões militares de segurança cibernética dos EUA e a NSA (Agência de Segurança Nacional), disse à CNBC que uma ameaça à cadeia de suprimentos é algo que o mantém acordado à noite. Segundo ele, esse tipo de ataque tem o potencial de congelar as operações mundiais.

Todas as táticas anteriores visam as operações da organização, proteção de dados confidenciais. Também visa atender às regulamentações de privacidade de dados (como a LGPD brasileira e as recentes regulamentações de IoT do Reino Unido e dos EUA), além das melhores práticas de segurança cibernética do mercado.

O que vem a seguir?

Estratégias de segurança cibernética, como Zero Trust, são um trabalho contínuo, que nunca deve parar. Continue pesquisando e aprimorando as melhores práticas de segurança, pois os cibercriminosos estão sempre pressionando e explorando vulnerabilidades.

A conformidade com os regulamentos de proteção de dados também é um requisito constante. Ele permite que as organizações executem seus negócios principais, alinhados com a legislação internacional, ao mesmo tempo em que aumentam o nível para dificultar a exploração de criminosos da Internet.

Além da resiliência da segurança cibernética, a implementação da arquitetura Zero Trust pela empresa latino-americana de fornecimento de energia atendeu aos requisitos de conformidade da LGPD (Lei Geral de Proteção de Dados) brasileira. A plataforma pode auditar, registrar, registrar sessões de recursos e muito mais. O próximo passo é proteger os dispositivos IoT e OT legados, usando a mesma estratégia.

Retorno do investimento com confiança zero

Reduzindo o risco de violação de dados

Reduzir o risco de violação de dados pode chegar a até 50%

Economia

Em empresas de médio e grande porte, a economia pode chegar a US$ 20 por funcionário por mês. A Auditoria Avançada pode reduzir em até 25%.

Eficiência

As chamadas de suporte técnico podem ser reduzidas em até 50%. A agilidade para entregar nova infraestrutura pode ser reduzida em até 80%.

GDPR – Visão geral de multas e penalidades

2019

Gaseluce

€ 8.500.000

Base legal insuficiente para o processamento de dados

2021

Enel

€ 8.500.000

Base legal insuficiente para o processamento de dados

2021

RAPT

€ 8.500.000

Não conformidade com os princípios gerais de processamento de dados

Como funciona?

Como funciona?