A vulnerabilidade aos Ciberataques da Indústria Nuclear

A Chatham House – organização não governamental e sem fins lucrativos que analisa o conhecimento e promove a compreensão dos principais temas políticos internacionais, divulgou um relatório afirmando que a indústria nuclear é um alvo fácil para ciberataques, uma vez que ela está atrasada na prevenção de ameaças, enquanto essas são cada vez mais sofisticadas.

Entendendo os Riscos

O relatório é o resultado de 18 meses de estudos, liderados pelos pesquisadores Caroline Baylon, David Livingstone e Roger Brunt. Ele foi divulgado no dia 5 de outubro e batizado como “Cyber Security at Civil Nuclear Facilities: Understanding the Risks” ou “Segurança Cibernética em Instalações Nucleares Civis: Entendendo os Riscos” em tradução livre.

As Principais Constatações

• A crença de que todas as instalações nucleares são “air gapped” (isoladas da internet pública) é um mito. Boa parte das instalações nucleares conta com conexão VPN, devido aos benefícios comerciais que a conectividade oferece;
• Motores de busca podem identificar componentes de infraestrutura com tais conexões;
• Mesmo quando é “air gapped”, a estrutura de segurança pode ser violada com um simples pen drive;
• A vulnerabilidade na cadeia de suprimentos significa que um equipamento utilizado em uma instalação nuclear pode ser comprometido;
• A falta de treinamento, somada às falhas de comunicação entre engenheiros e equipe de segurança, indica que os trabalhadores das centrais nucleares, muitas vezes, não compreendem os processos-chave de segurança cibernética;
• Abordagens reativas ao invés de proativas à segurança cibernética contribuem para que um ataque cibernético ocorra e só seja descoberto depois de estar em curso.

As Recomendações

1. Desenvolver diretrizes para medir o risco de segurança cibernética na indústria nuclear;
2. Engajar-se em um diálogo com os engenheiros e empreiteiros, para aumentar a conscientização sobre os riscos de segurança, incluindo os perigos da criação de conexões de internet não autorizadas;
3. Proteger os dados utilizando, no mínimo, um bom e gratuito software de segurança;
4. Implementar regras para promover a segurança de TI como, por exemplo, proibir dispositivos pessoais;
5. Promover a comunicação, encorajando o compartilhamento anônimo de informações e o estabelecimento de um CERTs (Computer Emergency Response Team);
6. Encorajar a adoção universal de normas regulamentadoras.

Para conferir o relatório na íntegra e ter acesso a informações mais detalhadas, clique aqui.

Imagens: Shoebat e Huffington Post