Mundo físico e ciberespaço devem se integrar para garantir segurança

Originalmente publicado na Revista BPM Brasil em 24 de abril de 2013

Por: André Mazeron

Nunca gostei do termo “virtual” para adjetivar que acontece nas redes de computadores. Ele gera uma percepção enganosa de que o que acontece nas redes tem pouco impacto no mundo real. Basta lembrar de lojas “virtuais” como a Amazon e a ruptura que geraram no varejo. Ou então que os relacionamentos “virtuais” do Facebook já são citados em 30% dos divórcios no Reino Unido. O termo “ciberespaço” é mais elegante e estabelece paralelo com o mundo físico.

Também vemos com frequência no mundo corporativo este distanciamento entre as áreas de produção ou desenvolvimento de produtos e a TI, como se a proteção de sistemas informatizados fosse responsabilidade somente desta última.

Stuxnet: Malware gerando dano físico em equipamentos industriais

Recentemente vemos no mundo da segurança da informação a conexão entre as ameaças do ciberespaço e danos reais no mundo físico. O exemplo mais marcante vem de 2010, através do malware Stuxnet, desenvolvido para retardar o programa nuclear iraniano. O Stuxnet atacava sistemas SCADA (Supervisory Control And Data Acquisition) das centrífugas de enriquecimento de urânio, alterando a velocidade de rotação dos motores até provocar a queima dos equipamentos. Foi o primeiro caso amplamente divulgado de software projetado para provocar um ataque cinético (ou seja, danos no mundo físico).

Após isso, a preocupação com a proteção de sistemas SCADA só vem crescendo. Além de serem encontrados em processos industriais, sistemas SCADA estão presentes na infraestrutura de energia e água, por exemplo. Esses sistemas muitas vezes não estão sujeitos aos mesmos controles de segurança dos demais sistemas de informação da organização, especialmente em empresas em que a TI e a área industrial não trabalham fortemente integradas.

“Internet of Things”: Maior superfície de ataque

Conforme avançamos na direção da “internet das coisas”, na qual o número e a variedade de dispositivos conectados na internet só aumenta, a possibilidade de sistemas vulneráveis estarem expostos também vem crescendo. Uma rápida pesquisa em sites como o Shodan (www.shodanhq.com) permite localizar milhares de dispositivos acessíveis via internet.

Foi dado grande destaque para a notícia recente de que um pesquisador teria descoberto vulnerabilidades no sistema de troca de mensagens com aeronaves comerciais (o ACARS). O pesquisador demonstrou a capacidade de, em ambiente simulado, assumir o controle de uma aeronave. Ainda que existam fatores mitigantes para a exploração disso sem ser em ambiente de laboratório, não se pode descartar a possibilidade.

E o que dizer então de dispositivos médicos como marca-passos ou bombas de insulina que permitem gerenciamento remoto?

Vários destes sistemas e aplicações vulneráveis tem origem em épocas anteriores à disseminação da internet e quando a segurança dos sistemas de informação se encontrava na sua infância. Hoje já não se pode desconsiderar os riscos a qualquer sistema, seja um produto de desenvolvimento da empresa ou uma solução de terceiros utilizada internamente.

A segurança precisa ser considerada na fase de planejamento e desenvolvimento dos sistemas e dos processos. E isso requer uma maior proximidade da TI e da Segurança da Informação com as áreas industriais e de desenvolvimento de produtos.