Estudo indica que controladores industriais de infraestruturas críticas têm vulnerabilidades graves não corrigidas

A Microsoft atualizou o Cyber Signals, a terceira edição do seu relatório de cibersegurança, onde, através dos insights de mais de 8.500 especialistas da Microsoft, e uma análise a 43 mil milhões de sinais de segurança, faz uma análise dos riscos que a convergência de sistemas de TI, Internet of Things (IoT) e tecnologia operacional (OT) representam para as infraestruturas críticas.

De acordo com o relatório, no ano passado, a Microsoft identificou ameaças em dispositivos de praticamente todas as áreas monitorizadas e visíveis de uma organização, incluindo equipamentos de TI tradicionais, controladores OT e dispositivos IoT, como routers e câmaras de vigilância. Os ataques nestes ambientes e redes têm sido, essencialmente, potenciados pela convergência de sistemas que muitas organizações adotaram nos últimos anos.

A IDC estima que haverá 41,6 mil milhões de dispositivos IoT conectados até 2025. Apesar da segurança dos equipamentos de TI ter sido reforçada nos últimos anos, os dispositivos IoT e OT não têm acompanhado o ritmo, permitindo aos atores das ameaças explorar estes dispositivos. O Cyber Signals registou que, em 2022, a China foi responsável pelo maior número de ameaças de malware em dispositivos IoT, cerca de 38% do total, seguida pelos Estados Unidos (19%) e Índia (10%). 

À medida que os sistemas OT subjacentes à energia, transportes e outras infraestruturas se tornam cada vez mais conectados aos sistemas de TI, o risco de ataques aumenta. A Microsoft identificou vulnerabilidades de elevada gravidade e não corrigidas em 75% dos controladores industriais mais comuns nas redes OT dos clientes, ilustrando o quão desafiante é para organizações, até mesmo para as que têm recursos, corrigir sistemas de controlo em ambientes exigentes e sensíveis ao tempo de inatividade. Além disso, as vulnerabilidades de elevada gravidade em equipamentos de controlo industrial de fabricantes reconhecidos cresceram 78% nos últimos dois anos.

A crescente implementação de dispositivos IoT em todos os ambientes empresariais e de consumo impulsiona o risco de ataques ao introduzir mais dispositivos não administrados nas organizações, sendo que mais de um milhão destes dispositivos estão a executar o Boa, um software desatualizado e sem suporte.

As empresas e operadores de infraestruturas em todas as indústrias estão a ter mais visibilidade sobre os sistemas conectados e a ponderar os riscos em evolução. Ao contrário do panorama dos sistemas operacionais comuns, aplicações e plataformas empresariais, os cenários das OT e IoT são mais fragmentados, apresentando protocolos, dispositivos que podem não ter normas de cibersegurança e outras realidades que afetam, por exemplo, a correção e gestão de vulnerabilidades.

À medida que os dispositivos OT e IoT oferecem um valor significativo às organizações que procuram modernizar os espaços de trabalho, para se tornarem data-driven e facilitar as necessidades das equipas através da gestão remota e automatização em redes de infraestruturas críticas, o risco de acesso não autorizado a bens e redes operacionais aumenta se não estiverem devidamente seguros.

Manuel Dias, NTO da Microsoft Portugal, destaca que “para abordar as ameaças a infraestruturas críticas de IT e OT, as organizações devem ter total visibilidade e controlo sobre os diversos tipos de dispositivos de TI, OT e IoT, que informação produzem e consomem, como são operados e como convergem todos os dados associados. Sem isso, colocam em risco tanto a divulgação de informação massiva, como o potencial controlo de sistemas ciberfísicos”.