“O que aprendemos com a Colonial Pipeline – prognósticos e estratégias para proteger contra ciberataques”

Infraestruturas críticas

A disponibilidade de energia é verdadeiramente essencial para o correto funcionamento de qualquer país ou sociedade, pela implicação que tem na definição da qualidade de vida dos cidadãos e no desenvolvimento do tecido empresarial e, por consequência, na sua economia global.

Olhando especificamente para o fornecimento de gás, a sua distribuição até ao consumidor final implica um conjunto de infra-estruturas e sistemas ligados entre si, desde os terminais de GNL (Gás Natural Liquefeito), as instalações de armazenamento subterrâneo, a rede nacional de transporte, as Unidades Autónomas de Gás (UAG), as redes primárias, secundárias e os ramais.

É assim evidente que o corte no fornecimento de energia pode originar impactos graves à escala nacional, pelo que é essencial proteger os meios, sistemas e infra-estruturas necessárias para a sua produção, armazenamento e distribuição, nomeadamente contra ciberataques.

Uma das ações de proteção é a publicação recente do Decreto-Lei n.º 20/2022, cujo intuito é formalizar os procedimentos de identificação, proteção e criação de resiliência das infraestruturas críticas nacionais.

Ciberataques no sector da energia

Enquanto o sector da energia já possui um nível de maturidade considerável de proteção contra ameaças físicas (ex. fogo), nas últimas décadas surgiu a necessidade de lidar com ataques vindos do mundo digital.

A automação de válvulas de corte, a digitalização de sondas de medição de pressão e temperatura, e a recolha de dados analíticos em vários processos produtivos e de fornecimento, tem permitido vários benefícios. No entanto já não é suficiente proteger fisicamente estas instalações, uma vez que já é possível aceder aos sistemas através de vulnerabilidades informáticas, trazendo consequências críticas.

Os primeiros ciberataques no sector da energia foram identificados em 2008, no ataque à central nuclear Natanz, no Irão, por injeção do Worm STUXNET. Nos anos seguintes tem havido ciberataques a redes de distribuição de gás (EUA, 2011 e 2020) e de eletricidade (Ucrânia, 2015 - 2016).

Em 2021 o Colonial Pipeline, um dos maiores pipelines de combustíveis dos EUA, foi alvo de um ciberataque por injeção de ransomware, deixando os seus processos inoperacionais durante uma semana e provocando impactos sérios na economia nacional, incluindo cancelamento de voos, por falta de jet fuel e um aumento significativo nos preços de combustíveis nas gasolineiras deste país.

Prognósticos

Com a evolução da digitalização dos processos no sector de energia, também continuaremos a assistir à exploração de vulnerabilidades por organizações criminosas, “ciber-terroristas” e “ciber-ativistas”. De acordo com a Gartner, Inc. 30% das empresas que gerem infraestruturas críticas irão sofrer até 2025 um ciberataque, provocando a interrupção de um processo crítico. Exemplo concreto deste prognóstico é a realidade atual da Darknet, que alimenta uma verdadeira “indústria”, que se encontra em franco crescimento, onde se comercializam vulnerabilidades identificadas, algoritmos para quebrar sistemas e credenciais de acesso.

A sucessiva integração informática de sistemas e organizações, como o nascimento de smart grids, leva a um aumento da complexidade e uma diversidade de soluções que comunicam entre si, aumentando desta forma o potencial de perímetro de ataque e a probabilidade da existência de vulnerabilidades.

Consequentemente, observa-se um aumento continuo de esforço, consumo de recursos e tempo necessário para a gestão destas vulnerabilidades e proteção do perímetro de defesa. Este aumento poderá ser incomportável para muitas organizações nacionais, considerando os investimentos necessários e a escassez de recursos especializados.

Semelhante à organização dos atacantes na Darknet, também o sector de energia precisa de criar uma aliança, com participação do Estado e outros parceiros relevantes, nomeadamente os fornecedores de soluções de tecnologia e operadores de telecomunicações. Desta forma, seria possível concentrar esforço e recursos, definir uma estratégia consolidada, acelerar o desenvolvimento de soluções de resiliência e minimizar o tempo de reação a ciberataques. Além de aumentar a probabilidade de uma defesa bem- -sucedida, permitiria ainda rentabilizar recursos escassos e investimentos.

Generais e treinadores - preparar o confronto

Como os generais se preparam antes de uma batalha e os treinadores se preparam antes de um jogo, também é possível preparar a organização perante futuros ciberataques:

1. Antecipar – Os ataques informáticos são frequentemente o resultado de anos de preparação. É fundamental que as organizações atuem de forma continua e não apenas quando o ataque acontece, desenvolvendo antecipadamente estratégias de defesa e planos de resiliência;
2. Conhecer o adversário – A “anatomia” de um ataque informático apresenta um conjunto de padrões, que se repetem. Estudar ataques ocorridos noutras organizações no passado permite conhecer as táticas utilizadas e desta forma averiguar se teriam sucesso na própria organização. Confirmando a existência de vulnerabilidades é possível implementar proactivamente ações mitigatórias, antes que um ataque ocorra;
3. Formar e Sensibilizar – O ataque a uma organização começa frequentemente pelo “elo mais fraco”, que são os seus colaboradores. Técnicas de phishing e o pouco cuidado na utilização de meios digitais, p. ex. as redes sociais, permitem acesso a dados reservados, incluindo credenciais de acesso e a impersonalização. Ações de formação e sensibilização, como simulacros de ataques de phishing, permitem educar os colaboradores e consequentemente tornar num “elo mais forte”;
4. Colaborar – “União faz a força”. Como os atacantes se organizam na Darknet, partilhando credenciais e algoritmos, também o sector da energia precisa de se unir, adicionando o Estado e outros parceiros. Permite a troca de informação e soluções, bem como a elaboração de estratégias conjuntas, reduzindo desta forma o tempo de reação a ataques, otimizando o consumo de recursos escassos e aumentando a qualidade das ações de defesa e resiliência;
5. Plano B – Não existe uma solução perfeita, pelo que é importante estar preparado para responder a um ataque bem-sucedido. A existência de soluções alternativas que permitem assegurar a continuação do serviço, mesmo com limitações, poderá evitar uma crise nacional de fornecimento de energia.