Cibersegurança: por que ela é importante para infraestruturas críticas
Em décadas passadas, antes da virada do milênio, havia uma crença de que serviços "críticos" para a sociedade não deveriam estar conectados à internet. Contudo, esse pensamento não resistiu aos avanços tecnológicos dos últimos anos e a própria internet é hoje uma infraestrutura crítica da qual muitas empresas e serviços dependem todos os dias.
Analisando a realidade atual, é preciso concordar que o tema da cibersegurança não pode mais ser evitado pelas organizações, nem resumido à noção de que "os sistemas mais críticos não estão conectados e nenhum invasor chegará até eles."
Mesmo quando um incidente não prejudica diretamente uma fábrica ou serviço público, temos que nos lembrar da existência de serviços de cobrança, acompanhamento de contratos e serviços financeiros – processos que estão conectados à rede e podem ser interrompidos por um ataque cibernético.
Inclusive, já existem casos reais disso. Em 2021, um oleoduto nos Estados Unidos paralisou suas operações após um malware de resgate (ransomware) interferir no funcionamento do sistema de contabilidade e cobrança. O bombeamento de petróleo ainda funcionava, mas não era viável continuar operando sem restaurar o sistema de cobrança.
No setor de logística e transporte, um incidente cibernético pode até não afetar os guindastes, caminhões, trens ou ônibus, mas com certeza pode prejudicar os sistemas de informação que guardam listas de passageiros, documentos fiscais e planos de carga. Um exemplo disso ocorreu em 2023, quando um porto no Japão foi paralisado, também por um ransomware, já que não havia possibilidade de registrar as cargas recebidas.
No caso do setor elétrico, há incidentes confirmados de blecautes provocados por ataques cibernéticos e danos físicos em usinas de enriquecimento de urânio. Acredita-se que esses eventos, que ocorreram na Ucrânia e no Irã, respectivamente, estejam ligados a tensões geopolíticas e foram causados por ataques virtuais.
Um setor diverso
O termo "infraestrutura crítica" pode nos levar a pensar que estamos falando de um grupo seleto de empresas, mas o fato é que diversas organizações e ramos de atuação são considerados críticos.
Assim, a lista de setores classificados dessa maneira pode ser mais longa do que imaginamos. Nesse contexto, podemos considerar os seguintes ramos: transporte, saúde, governo, telecomunicação, energia, alimentação e água, serviços de emergência, fábricas e até mesmo serviços financeiros. Todos esses setores estão interligados e são serviços essenciais para a nossa sociedade.
Alguns deles também estão bastante vinculados às redes de comunicação, como é o caso dos serviços financeiros. Nesse cenário, os malotes bancários deram lugar às redes bancárias internacionais e às "maquininhas" que funcionam através das mesmas redes que usamos para falar com amigos e familiares pelo celular.
Dessa forma, percebemos que as organizações críticas dependem, inclusive, umas das outras.
O fator humano na defesa da infraestrutura crítica
Como em muitas outras empresas, os profissionais que atuam em organizações ligadas a setores críticos têm muito a contribuir com a segurança cibernética. Esse é o caso das equipes de tecnologia que podem evitar a exposição de sistemas vulneráveis. Entretanto, não são apenas eles que podem contribuir: os criminosos sabem que podem tentar enganar os operadores dos sistemas com mensagens ou tentativas de contato maliciosas, seja por e-mail, telefone ou até mesmo pessoalmente.
Dessa forma, um único clique ou a utilização de um dispositivo não autorizado, como por exemplo, um teclado, pen drive ou até um mouse, pode ser suficiente para prejudicar um sistema inteiro e iniciar um efeito dominó. Nas situações mais graves, um golpista pode até tentar subornar ou ameaçar a integridade física de um colaborador para convencê-lo a realizar alguma ação que pode colocar a organização em risco.
Por isso, além de conhecer as normas de segurança, é importante que os funcionários e colaboradores saibam identificar as ameaças mais comuns que podem atingir organizações – como o phishing e o malware – para que se mantenham atentos aos riscos e não cliquem em sites suspeitos, nem abram arquivos, links e anexos desconhecidos.
A relação com fornecedores também merece cautela, já que alguns incidentes ocorrem quando senhas usadas por terceiros não são canceladas após a finalização de um contrato de trabalho.
Por fim, é importante ressaltar que ninguém precisa ser um especialista em segurança cibernética para conhecer as boas práticas de cibersegurança. São as pequenas tarefas do dia a dia que, feitas com consciência e responsabilidade, tornam-se uma verdadeira barreira capaz de proteger a segurança da empresa.