Desenvolvimento sustentável na era da digitalização: e onde fica a segurança?

Embora as organizações estejam a trabalhar arduamente no sentido de reduzir a sua pegada de carbono através da implementação de políticas amigas do ambiente e da melhoria das métricas ambientais, sociais e de governança (ESG), mantendo simultaneamente níveis de produção rentáveis, um importante fator de sustentabilidade parece ter escapado ao foco: a cibersegurança.

Porque é a resiliência de uma empresa a ciberataques tão importante para a sustentabilidade?

O panorama global das ameaças tem vindo a expandir-se rapidamente, o que se confirma tanto pelo número de ataques detetados, como pelas táticas utilizadas para os perpetrar.

Além disso, numa espécie de caça à "recompensa", os cibercriminosos têm atacado cada vez mais as organizações de infraestruturas críticas, que são estratégicas para as economias e as sociedades, tal como é sobejamente reconhecido em todo o mundo. De acordo com números do Kaspersky ICS CERT, em 2022 foi registada a mais elevada percentagem de computadores ICS onde ocorreu o bloqueio de objetos maliciosos (40.6%).

Embora os ciberataques bem-sucedidos tenham consequências desastrosas para as entidades atacadas, incluindo perdas financeiras potencialmente significativas, danos à reputação e contestação pública, o impacto não se limita aos interesses de uma organização. Quando falamos de infraestruturas críticas, há consequências negativas em muitos outros campos, como o ambiente e a saúde pública, para além dos riscos operacionais e financeiros.

É importante compreender que as infraestruturas críticas - estações de tratamento de água, geradores de energia, comunicações - e outras instalações públicas - são parte integrante de um conjunto de serviços comunitários vitais controlados por redes informáticas interligadas, muitas delas geridas através de equipamentos com sistemas operativos obsoletos e software desatualizado ou com vulnerabilidades por corrigir. Isto significa que podem ser vulneráveis a uma série de ameaças de cibersegurança por parte de hackers externos ou intrusos internos. 

A somar a esta realidade, há ainda o crescimento exponencial do mercado da Internet das coisas industrial (IIoT), que deverá atingir os 142 mil milhões de dólares em 2023. As soluções IIoT inovadoras são, também elas, amplamente usadas para a melhoria da monitorização e elaboração de relatórios ESG em geral, mas também vistas como uma oportunidade de intrusão por parte dos cibercriminosos. No entanto, uma falha na rede de controlo poderia levar à rutura de instalações ou unidades fabris inteiras. Desta forma, o encerramento de uma instalação de produção química ou de uma central nuclear pode levar à libertação de substâncias perigosas para o ambiente e ter consequências fatais para a saúde pública.

E não é preciso procurar muito para encontrar exemplos disto mesmo. Em fevereiro de 2021, cibercriminosos invadiram uma estação de tratamento de águas e tentaram envenenar a água fornecida aos residentes da Flórida (EUA), o que poderia ter sido consequências catastróficas para a saúde pública.

O panorama português também ficou marcado por este tipo de incidentes, com um dos de maior impacto a ocorrer em maio e a visar a EDA – Eletricidade dos Açores, embora aparentemente sem consequências de maior, apesar da tentativa de intrusão.

De acordo com um estudo elaborado por peritos ambientais, indústrias como as da energia, transportes e fabrico foram as que mais poluíram o ambiente em 2022. Ao mesmo tempo, tal como previsto por peritos de cibersegurança, as mesmas indústrias – fabrico e energia – irão sofrer cada vez mais ataques ao longo deste ano de 2023, o que pode também ter consequências ambientais preocupantes. 
Esta tendência pode não ser encorajadora para os gestores empresariais, pelo que, para evitar potenciais consequências ambientais negativas, os proprietários de infraestruturas críticas devem preocupar-se seriamente em proteger os seus sistemas de controlo automatizados contra ataques maliciosos.

Como minimizar um possível impacto ambiental?

Em primeiro lugar, as empresas de importância estratégica para a economia e a sociedade devem usar os novos desafios cibernéticos como uma oportunidade para ajustar a sua estratégia de desenvolvimento sustentável e reconsiderar o seu impacto ambiental à luz dos riscos ecológicos causados por incidentes cibernéticos. Convém lembrar que um ataque direcionado, sofisticado, bem preparado e bem-sucedido a sistemas de energia e refinarias de petróleo, por exemplo, pode resultar em derrames de petróleo, libertação de produtos químicos ou interrupções de energia, todos com graves consequências ambientais e de saúde pública. Ou seja, o impacto ambiental de um ciberataque pode ser devastador, podendo afetar desde a qualidade do ar que respiramos e da água que bebemos, às infraestruturas críticas que as mantêm com níveis de qualidade adequados à vida humana, assim como aos próprios sistemas de transporte e energia.

Devem também lembrar-se que as medidas preventivas são muito menos dispendiosas do que ter que lidar com as consequências de incidentes cibernéticos, assumindo ainda que a implementação de uma cibersegurança abrangente, que inclua a formação de pessoal, deve ser a sua principal prioridade.

Em segundo lugar, os grupos industriais precisam de unir os seus esforços no sentido de melhorar as medidas preventivas, incluindo a cooperação com fornecedores de cibersegurança, reguladores e organizações internacionais. Por exemplo, após alguns ataques mediáticos a sistemas hídricos, a Agência de Proteção Ambiental (EPA) instruiu recentemente alguns estados americanos a fazerem uma avaliação profunda à cibersegurança das suas instalações públicas de fornecimento de água.

Por último, as estratégias de digitalização - incluindo uma maior integração da IIoT – sairiam mais beneficiadas se fossem aplicados princípios de cibersegurança e uma abordagem de Imunidade Cibernética, um elemento-chave dos futuros sistemas tecnológicos inteligentes. A sua implementação, que significa desenvolvimento de sistemas TI com proteção "inata" contra ciberataques, ajudará a minimizar os riscos, ao mesmo tempo que integra novos sistemas de controlo em infraestruturas industriais.