Instalações de energia – incluindo operações do setor elétrico e de petróleo e gás – estão cada vez mais vulneráveis a ataques cibernéticos que podem levar a interrupções dos serviços ou perda das informações. Desastres custosos, com potencial ainda de causar danos ambientais, falta de alimentação de energia por semanas ou meses, e até mesmo a perda da vida humana.

Além do aumento na frequência de incidentes, os ataques em empresas de energia estão ficando cada vez mais sofisticados, tornando-os mais difíceis de detectar, combater e de se defender. A espionagem cibernética vem sendo realizada por agências de inteligência e defesa estrangeiras, crime organizado e até mesmo hackers independentes.

Apesar da “guerra cibernética” estar em maior evidencia no setor internacional e com maior foco nos países de primeiro mundo, o Brasil – como país emergente e com o crescimento do setor energético – já vem sofrendo com as consequências. Companhias brasileiras estão longe de estarem imunes e são grandes alvos para tais ataques. Vide o recém caso na Petrobras.

Empresas brasileiras estão começando somente agora a investir em segurança cibernética, enquanto, por exemplo, as americanas já o fizeram há uma década. Operadores de infraestrutura crítica e utilities energéticas precisam tornar-se conscientes e se preparar – já que a tendência é só aumentar.

Assim, o evento Cyber Security Brazil - Energy/Oil & Gas, que acontece nos dias 2 e 3 de março, em São Paulo, faz-se cada vez mais necessário para discutir os principais desafios para medidas de segurança cibernética do setor e garantir a segurança das informações, comunicações e patrimônio das infraestruturas críticas do setor energético brasileiro.

Com esse intuito, o executivo Bob Booth, especialista em segurança e diretor de vendas para a América Latina da Codenomicon, fornecedora de soluções de segurança, concedeu uma entrevista exclusiva à TN Petróleo:

TN - O ex-técnico da da Agência Nacional de Segurança dos EUA (NSA), Edward Snowden, alertou o mundo sobre o esquema de espionagem de Washington, que montou um sistema de vigilância mundial para rastrear secretamente governos e pessoas. Em sua denúncia, Snowden revelou que a NSA invadira a infraestrutura cibernética da Petrobras para coletar dados geológicos. Como isso poderia ter sido evitado? De que forma a falta de segurança na rede pode ameaçar a soberania de uma nação, a privacidade das pessoas e a confidencialidade das informações?

Bob Booth - Embora nenhum sistema seja 100% seguro e livre de falhas, a gestão e o investimento em segurança da informação pode ajudar muito a mitigar o risco. Embora o investimento em segurança tenha aumentado, as empresas ainda se perdem ao definir as melhores práticas e têm dificuldade de identificar e priorizar dados sensíveis que precisam ser resguardados. A segurança da informação nesta indústria é item de prioridade máxima.  Em 2009, o presidente Barack Obama declarou que a criação de uma unidade de defesa e guerra cibernética era uma de suas prioridades. Na oportunidade, o presidente afirmou que criminosos tentavam invadir computadores de empresas responsáveis pela distribuição de energia nos EUA – e que invasões desse tipo já teriam deixado alguns países na escuridão. O líder norte-americano não citou qual país foi alvo desses ataques, porém, fontes confiáveis na área militar e inteligência dos Estados Unidos disseram que o presidente se referia a um apagão que aconteceu no Brasil e no Paraguai nos anos de 2005 e 2007.

Por que as instalações de energia – incluindo operações do setor elétrico e de petróleo e gás – estão cada vez mais vulneráveis a ataques cibernéticos? Há algum caso emblemático de crime cibernético que tenha acontecido no setor de energia e que valha a pena ser comentado?

As falhas e ameaças sempre existiram nesta indústria, mas isso constantemente foi tratado de forma obscura. As pesquisas em segurança para identificar estas ameaças aumentaram muito nos últimos anos. Um dos principais motivos para este aumento foi a movimentação de muitos países em iniciar a criação de novos batalhões do exército com foco em um tipo de armamento que, se em um primeiro momento não assusta, tem grande potencial para causar grandes danos e até comprometer a infraestrutura de um país.Um caso bastante conhecido foi o blackout que aconteceu no Brasil e no Paraguai em novembro de 2009 e que afetou mais de 60 milhões de pessoas. Comunidades de segurança da informação atribuíram o blackout em questão a um batalhão de soldados virtuais, que trabalhava durante o exercício de uma guerra cibernética em uma espécie de teste. O governo brasileiro se manifestou sobre o assunto e disse que o acontecimento foi motivado por condições climáticas.

Em caso de invasão cibernética, quais são as soluções tecnológicas no âmbito da T.I que podem dificultar ou até evitar esse tipo de ação criminosa? O que o Sr. definiria como uma boa Governança em T.I nesses casos?

As empresas precisam investir mais em tecnologias proativas. Atualmente, a grande preocupação das corporações é de identificar algum tipo de ataque conhecido que tenha sua rede como destino, além de encontrar serviços vulneráveis.
As boas práticas em segurança, principalmente em ambientes críticos, extrapolam a utilização de ferramentas que lidam com ataques conhecidos. A necessidade de descobrir as ameaças antes que os crackers (criminosos da internet) é real, e a única maneira de executar esta difícil tarefa é efetuar testes de segurança e robustez nos sistemas adquiridos e desenvolvidos internamente. As empresas devem usar as mesmas ferramentas que os hackers utilizam para descobrir novas ameaças.

De que forma a brecha 'Heartbleed' permitiu que sites seguros 'vazassem' informação? Como ela foi descoberta, qual a razão da sua vulnerabilidade e como foi resolvida?

O Heartbleed permite que qualquer pessoa na internet possa ler a memória dos sistemas protegidos pelas versões vulneráveis do software OpenSSL. Isso compromete informações sensíveis como chaves de criptografia ou nomes e senhas dos usuários, o que pode permitir que atacantes possam espionar comunicações ou roubar dados, por exemplo. Este bug foi descoberto por uma equipe de engenheiros de segurança (Riku, Antti e Matti) da Codenomicon, e por Neel Mehta, da equipe de segurança do Google, que primeiro relatou a falha para o time responsável pelo OpenSSL. A equipe da Codenomicon encontrou este bug enquanto testava melhorias implementadas em uma funcionalidade de nossa ferramenta de testes de segurança chamada Defensics. A Codenomicon emitiu um comunicado sobre este este bug para o NCSC-FI afim de garantir uma divulgação responsável e coordenada à equipe do OpenSSL.

Qual a importância do evento Cyber Security Brazil - Energy/Oil & Gas, que acontece nos dias 2 e 3 de março, em São Paulo? Alguma empresa apresentará novidades no que concerne à produtos e serviços? O que se espera do evento?

O evento Cyber Security Brazil é de extrema importância para nós assim como para as empresas deste setor. O principal objetivo deste evento é proporcionar a discussão e o compartilhamento de informações relevantes sobre o tema. Por trabalharmos neste mercado e termos expertise neste assunto, acreditamos que podemos ajudar estas empresas a elevar o seu grau de maturidade em segurança, principalmente em ambientes críticos.