Ataques cibernéticos se tornaram comuns mesmo nos círculos particulares, com golpes sendo aplicados em pessoas físicas através da internet. Mas quando estes ataques ocorrem em indústrias, os prejuízos podem ser ainda mais intensos e desastrosos. Com a maior digitalização das indústrias, os ciberataques também estão rapidamente evoluindo no setor.

Um relatório da empresa de cibersegurança Kasperksy com dados do 2º semestre de 2020 mostra que ataques contra sistemas de controle industriais (ICS) voltaram a crescer, após 12 meses de queda, principalmente nos segmentos de energia, petróleo & gás e engenharia & integração.

Esse crescimento liga um sinal de alerta entre gestores. Por isso, ter entendimento sobre como ocorrem os ataques cibernéticos e as melhores estratégias para evita-los passa a ser uma necessidade cada vez mais frequente.

Ataques cibernéticos: como ocorrem e quais as consequências?

Para os cibercriminosos, o setor secundário, como um todo, costuma representar um alvo altamente estratégico, já que indústrias podem ser vistas como mais propensas a ceder às demandas dos invasores e pagar centenas de milhares de dólares em bitcoins em troca de recuperar sua rede.

Dessa forma, para Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, os ciberataques são classificados em três tipos: crime comum, tais como os golpes financeiros, espionagem digital e sabotagem.

Rebouças explica que infelizmente a indústria é um setor alvo onde os três tipos são “comuns” e há diversas possíveis consequências. Um trojan financeiro no ambiente do escritório tem o mesmo impacto que em outros setores – isso é verdade. Mas um vírus para minerar criptomoeda, uma ameaça comum e disseminada massivamente, pode acidentalmente entrar na rede operacional de uma indústria, mesmo ela sendo “isolada”.

Em nossa experiência, vemos rotineiramente funcionários carregando os celulares utilizando as entradas USB dos equipamentos industriais. Caso este dispositivo esteja infectado, ele transmite o programa malicioso”.

Já a ciberespionagem e a sabotagem digital fazem parte de golpes avançados, chamados direcionados ou de persistentes (APT – advanced persistente threat). “Infelizmente, a indústria está acostumada com casos de espionagem industrial, pois essas informações têm grande diferenciais competitivos, e o fato de haver ataques online com este propósito não é surpresa”, explica Rebouças.

O online é apenas mais um meio explorado pelos criminosos para tentar obter os segredos das indústrias. “Aqui, a consequência é séria e pode gerar perdas grandiosas ao reduzir a competitividade de uma empresa”, diz. Já os casos de sabotagem são mais raros, mas caso ocorra, o impacto é ainda maior, pois pode gerar perda de reputação da empresa, multas regulatórias e indenizações – sem falar no prejuízo por uma possível paralização da operação.

 Para se ter uma ideia, em 2019, um ciberincidente custava, em média, US$ 1,23 milhão e, em 2020, esse valor passou para US$ 1,41 milhão. Isso porque o aumento deste valor é, parcialmente, o resultado dos investimentos das empresas em ações para suavizar o impacto na imagem e na reputação da empresa.

Aumento da cibersegurança: pauta essencial

Ambientes com sistemas legados e desatualizados (back level), associados à falta de soluções adequadas de proteção e controle, tornam o ambiente vulnerável e de fácil exploração por cibercriminosos.

Dessa forma, para Fernando Carbone, Líder de Serviços de Segurança da IBM Brasil, os impactos aos negócios dos ataques cibernéticos podem ser diversos e muitas vezes intangíveis, dependendo bastante do segmento da indústria e do tipo de ataque ocorrido.

Segundo ele, o financeiro é sem dúvidas o principal motivo de preocupação dentro do panorama de riscos de cibersegurança, devido a potenciais paralisações das operações do ambiente produtivo.

Por essa razão, Carbone explica que a discussão do tema segurança em ambiente industrial é algo recente nas agendas dos executivos, mas que começa a fazer parte da pauta de gestão de riscos corporativos das companhias.

Segundo o Líder de Serviços de Segurança da IBM Brasil considerar o ambiente industrial no plano estratégico de cibersegurança da organização é um passo fundamental para estabelecer os controles corretos e prioritários para a proteção do negócio.

A estratégia deve contemplar a nova estrutura organizacional responsável por segurança em tecnologia operacional, considerando que até recentemente era gerida por estruturas apartadas, como a área de Engenharia”, indica o líder da IBM Brasil.

Como saber se sua indústria está vulnerável aos ataques cibernéticos?

Mas, como saber se sua indústria está realmente vulnerável? Para responder, Roberto Rebouças explica que cabe à indústria ter conhecimento sobre sua estrutura. Para isso, ele sugere que o gestor tente responder algumas questões.

Você tem visibilidade sobre o nível de segurança da sua empresa e quais são as principais vulnerabilidades em sua rede corporativa?

Este é o ponto de partida para qualquer estratégia de defesa, pois esta análise irá mostrar se suas informações estratégicas estão com o nível de proteção adequado”, indica Rebouças.

Caso a resposta seja “ando me expondo demais aos riscos”, o segundo ponto a ser avaliado é tecnológico, portanto, cabe ao gestor responder a segunda questão:

Quais tecnologias podem diminuir os pontos fracos em minha rede corporativa e dificultar que uma ação maliciosa seja bem-sucedida?

Segundo o gerente-executivo da Kaspersky no Brasil, a análise e testes de conceitos dessas tecnologias permitirão encontrar o investimento que melhor se adeque à realidade da empresa. Ele inclusive cita um exemplo:

Uma organização pode aprimorar a segurança existente sem trocar o fornecedor – isto é possível integrando informações sobre novas ameaças via Threat Data Feud à estrutura de proteção instalada”.

Por fim, o terceiro ponto tem um caráter humano. Como citado anteriormente, os ciberataques podem ocorrem onde há situações que o vetor de infecção é um funcionário da própria empresa que carregou o celular na USB.

Neste contexto, a auditoria de segurança deve considerar a capacitação da equipe na prevenção e e reação a um possível incidente.

Aqui entra a necessidade de realizar treinamentos de conscientização periódicos para todos os funcionários sobre medidas essenciais de segurança (como gestão de senhas e contas, reconhecimento de mensagens falsa etc.) e treinamentos técnicos para a equipe de segurança”, finaliza Rebouças.

Além desses pontos, outras recomendações gerais, como manter os sistemas operacionais e os programas sempre atualizados, aplicando as correções de segurança assim que forem disponibilizados são essenciais para priorizar a cibersegurança industrial.