Nossos sistemas de água, saúde e energia estão cada vez mais vulneráveis a ciberataques.
Agora, quando as tensões aumentam — como quando os EUA bombardearam instalações nucleares no Irã este mês — a segurança desses sistemas se torna uma preocupação primordial. Se o conflito eclodir, podemos esperar que seja uma batalha “híbrida”, diz Joshua Corman, executivo em residência para segurança pública e resiliência no Instituto de Segurança e Tecnologia (IST), ao The Verge.
“Com grande conectividade vem grande responsabilidade.”
Os campos de batalha agora se estendem ao mundo digital, o que, por sua vez, torna a infraestrutura crítica no mundo real um alvo. Entrei em contato com o IST para obter sua expertise sobre este assunto em 2021, quando um ataque de ransomware forçou o Colonial Pipeline — uma artéria majoritária que transporta quase metade do suprimento de combustível da costa leste — a ficar offline por quase uma semana. Desde então, o The Verge também cobriu um aumento nos ciberataques contra sistemas de água comunitários nos EUA, e as tentativas da América de frustrar ataques apoiados por outros governos.
Não é hora de entrar em pânico, Corman me tranquiliza. Mas é importante reavaliar como protegemos hospitais, suprimentos de água e outras linhas de vida contra ciberataques. Existem soluções analógicas que dependem mais da engenharia física do que de erguer firewalls cibernéticos.
Esta entrevista foi editada para comprimento e clareza.
Como alguém que trabalha em cibersegurança para água e esgoto, saúde, cadeias de suprimento de alimentos e sistemas de energia — o que te mantém acordado à noite?
Oh, rapaz. Quando você olha para o que designamos como funções críticas de linha de vida, as necessidades humanas básicas — água, abrigo, segurança — essas estão entre as mais expostas e despreparadas. Com grande conectividade vem grande responsabilidade. E enquanto estamos lutando para proteger cartões de crédito ou sites ou dados, continuamos a adicionar software e conectividade à infraestrutura de linha de vida como água e energia e hospitais.
Sempre fomos presas. Estávamos apenas sobrevivendo à vontade de nossos predadores, e eles estão se tornando mais agressivos.
Quão vulneráveis são esses sistemas nos EUA?
Você pode ter visto o aumento do ransomware a partir de 2016. Os hospitais rapidamente se tornaram o alvo preferido número um de ransomware porque são o que eu chamo de “ricos em alvos, mas pobres em cibersegurança”. A indisponibilidade de seu serviço é bastante grave, então a indisponibilidade pode ser monetizada muito facilmente.
Você tem esse tipo de assimetria e uma frenesi não mitigada, onde é atraente e fácil atacar essas funções de linha de vida. Mas é incrivelmente difícil conseguir pessoal, recursos, treinamento, orçamento, para defender essas funções de linha de vida.
Se você é uma pequena instalação de água rural, não tem orçamento para cibersegurança. Muitas vezes, oferecemos platitudes de ‘apenas faça as melhores práticas, apenas siga a estrutura do NIST.’ Mas eles não conseguem nem parar de usar tecnologia obsoleta, não suportada, com senhas hard-coded.
“Você tem esse tipo de assimetria e uma frenesi não mitigada.”
Cerca de 85% dos proprietários e operadores dessas entidades de infraestrutura crítica de linha de vida são ricos em alvos e pobres em cibersegurança.
Pegue os sistemas de água, por exemplo. O Volt Typhoon foi encontrado comprometendo com sucesso instalações de água dos EUA e outras funções de serviço de linha de vida, e está lá, esperando, preposicionado. [Nota do editor: Volt Typhoon é um grupo cibernético patrocinado pelo estado da República Popular da China]
A China especificamente tem intenções em relação a Taiwan já em 2027. Eles basicamente gostariam que os EUA ficassem fora de suas intenções em relação a Taiwan. E se não o fizermos, eles estão dispostos a interromper e destruir partes dessas instalações muito expostas e propensas. A grande maioria não tem uma única pessoa de cibersegurança, nunca ouviu falar do Volt Typhoon, muito menos sabe se e como devem se defender. Nem têm o orçamento para fazê-lo.
Voltando às notícias recentes e à escalada com o Irã, há algo que está mais vulnerável neste momento? Existem riscos únicos que o Irã representa para os EUA?
Seja Rússia ou Irã ou China, todos eles mostraram que estão dispostos e são capazes de atingir instalações de água, redes elétricas, hospitais, etc. Estou mais preocupado com a água. Sem água, não há hospital em cerca de quatro horas. Qualquer perda de pressão na zona de pressão do hospital significa sem supressão de incêndio, sem lavagem cirúrgica, sem saneamento, sem hidratação.
O que temos é uma exposição crescente que nos oferecemos com infraestrutura inteligente e conectada. Queremos o benefício, mas ainda não pagamos a conta. E isso estava bem quando isso era principalmente atividade criminosa. Mas agora que esses pontos de acesso podem ser usados como armas de guerra, você pode ver uma interrupção bastante severa na infraestrutura civil.
Agora, só porque você pode atingi-lo, não significa que você irá atingi-lo, certo? Não estou encorajando o pânico no momento em relação ao Irã. Acho que eles estão bastante ocupados, e se forem usar essas capacidades cibernéticas, é uma suposição mais segura que primeiro as usariam em Israel.
Diferentes predadores têm diferentes apetites, e presas, e motivos.
Às vezes é chamado de intermediação de acesso, onde eles estão procurando um compromisso e ficam à espera por anos. Como na infraestrutura crítica, as pessoas não atualizam seu equipamento, usam coisas muito antigas. Se você acredita que terá esse acesso por muito tempo, pode sentar-se nele e esperar pacientemente até o momento e o lugar de sua escolha.
Pense nisso um pouco como Star Wars. O porto de exaustão térmica na Estrela da Morte é a parte fraca. Se você atingi-lo, você causa muito dano. Temos muitos portos de exaustão térmica por toda parte, especialmente em água e saúde.
O que precisa ser feito agora para mitigar essas vulnerabilidades?
Estamos incentivando algo chamado engenharia cibernética informada.
O que descobrimos é que se uma instalação de água for comprometida, mudanças abruptas na pressão da água podem levar a uma surto muito forçado e danoso de pressão da água que poderia estourar canos. Se você estourar a tubulação de água de um hospital, não haveria pressão de água para o hospital. Então, se você quisesse dizer: ‘vamos garantir que o exército chinês não possa comprometer a instalação de água’, você teria que fazer bastante cibersegurança ou desconectá-la.
O que estamos incentivando em vez disso é algo muito mais familiar, prático. Assim como em sua casa, você tem um disjuntor, então se houver muita voltagem você desliga um interruptor em vez de queimar a casa. Temos o equivalente a disjuntores para água, que custam talvez $2.000, talvez menos de $10.000. Eles podem detectar um aumento de pressão e desligar as bombas para evitar danos físicos. Estamos procurando mitigações de engenharia analógicas e físicas.
“Pense nisso um pouco como Star Wars.”
Se você quiser reduzir a probabilidade de compromisso, você adiciona cibersegurança. Mas se você quiser reduzir as consequências do compromisso, você adiciona engenharia.
Se as piores consequências seriam um ataque fisicamente danoso, queremos tomar medidas práticas que sejam acessíveis e familiares. As instalações de água não conhecem cibersegurança, mas conhecem engenharia. E se pudermos encontrá-los em seu território e ajudá-los a explicar as consequências e, em seguida, co-criar mitigações acessíveis, realistas e temporárias, podemos sobreviver tempo suficiente para investir adequadamente em cibersegurança mais tarde.
Agências federais sob a administração Trump enfrentaram cortes orçamentários e de pessoal, isso leva a maiores vulnerabilidades também? Como isso afeta a segurança de nossa infraestrutura crítica?
Independentemente da política individual das pessoas, houve uma ordem executiva da Casa Branca em março que transfere mais do equilíbrio de poder e responsabilidade para os estados se protegerem, para a resiliência cibernética. E é um momento de tempo muito infeliz, dada a situação em que estamos e que levaria tempo para fazer isso de forma segura e eficaz.
Acho que, sem malícia, houve uma confluência de outros fatores que contribuíram para piorar a situação. Alguns dos cortes orçamentários na CISA, que é o coordenador nacional em todos esses setores, não são bons. O Centro de Análise e Compartilhamento de Informações Multi-Estaduais é um recurso chave para ajudar os estados a se servirem, e isso também perdeu seu financiamento. E até agora, o Senado não confirmou um diretor da CISA.
Deveríamos estar aumentando nossas parcerias público-privadas, nossas parcerias em nível federal e estadual e parece haver um acordo bipartidário sobre isso. E ainda assim, em toda parte, a EPA, os Serviços de Saúde e Humanos, o Departamento de Energia e a CISA sofreram reduções significativas no orçamento e no pessoal e na liderança. Ainda há tempo para corrigir isso, mas estamos queimando o dia em que vejo como um tempo muito pequeno para formar o plano, comunicar o plano e executar o plano.
Quer queiramos ou não, mais responsabilidade pela resiliência cibernética e defesa e funções críticas está caindo sobre os estados, os condados, as cidades, os indivíduos. Agora é a hora de se educar e há uma constelação de esforços de organizações sem fins lucrativos e da sociedade civil — um deles é o bom trabalho que estamos fazendo com este Undisruptable27.org, mas também participamos de um grupo maior chamado Defesa Civil Cibernética. E recentemente lançamos um grupo chamado Corpo de Resiliência Cibernética, que é uma plataforma para qualquer um que queira se voluntariar para ajudar com cibersegurança para serviços pequenos, médios, rurais ou de linha de vida. Também é um lugar para as pessoas encontrarem e solicitarem esses voluntários. Estamos tentando reduzir a fricção de pedir ajuda e encontrar ajuda.
Acho que este é um daqueles momentos na história em que queremos e precisamos de mais dos governos, mas a cavalaria não está vindo. Vai depender de nós.