É necessário proteger os ambientes, os dispositivos de TI e as tecnologias operacionais
A Tenable, Inc., empresa global que atua na área de cibersegurança, divulgou recentemente os resultados da pesquisa “The Rise of the Business-Aligned Security Executive”. De acordo com o estudo realizado pela Forrester Consulting a pedido da Tenable, a imensa maioria das organizações (94%) teve alguma experiência de ataques cibernéticos capazes de causar impactos nos negócios nos últimos 12 meses. O universo da pesquisa é de mais de 800 pessoas, incluindo empresários e executivos da área de segurança também do Brasil.
Para proteger as organizações, a Tenable está lançando globalmente uma solução que integra o Tenable.ot 3.7 e o Nessus Professional. A integração possibilita a proteção dos dispositivos de TI e tecnologias operacionais (OT) em ambientes convergentes. Pela primeira vez, os clientes podem usar uma única solução, o Tenable.ot, para visibilidade e controle, de modo a proteger os ativos de TI juntamente com os sistemas de OT e, com isso, reduzir o risco cibernético em ambientes convergentes.
Nessa entrevista, Marty Edwards (foto), vice-presidente de Segurança para Operational Technology (OT) da Tenable, fala sobre a pesquisa e também aborda o novo produto que chega ao mercado.
PORTAL IPESI – Nessa pesquisa realizada pela Forrester Consulting, sob demanda da Tenable, quais foram as constatações que mais surpreenderam os senhores?
MARTY EDWARDS – As descobertas validam o que estamos vendo e ouvindo no mercado – as organizações estão lutando contra um violento ataque de novas ameaças cibernéticas. Dentro desse contexto, a necessidade de comunicar o risco cibernético em termos de negócio está mais importante do que nunca.
Noventa e seis por cento das organizações brasileiras sofreram pelo menos um ataque cibernético com impacto sobre os negócios no ano passado, e muitos líderes de segurança lutam para quantificar o risco cibernético. Perdas de dados de funcionários, dados de clientes e produtividade foram os maiores impactos sofridos pelos entrevistados brasileiros.
Ao refletir sobre as perdas causadas por ataques cibernéticos, os líderes de segurança tendem a concentrar a maior parte da atenção nas questões técnicas, sem se aprofundar no impacto do ataque sobre os negócios. Essa desconexão na tradução do risco cibernético em termos de risco para o negócio tornou incrivelmente desafiador, para os líderes de segurança, quantificar e comunicar o risco cibernético ao C-Level e ao conselho.
O estudo destaca a importância dos líderes de segurança alinhados aos negócios. Esses profissionais têm oito vezes mais probabilidade do que seus colegas que seguem trabalhando de forma mais isolada de serem altamente confiantes em sua capacidade de responder à pergunta “Quão seguros ou em risco estamos?”
Para algumas organizações brasileiras, a pandemia acelerou a digitalização; isso trouxe grandes eficiências, mas também introduziu risco cibernético. É crucial que o movimento em direção à transformação digital e à Indústria 4.0 seja acompanhado por forte aderência a políticas de segurança e uso de soluções estratégicas para proteger a continuidade dos negócios e os processos industriais.
PORTAL IPESI – Há setores da indústria global que são mais conscientes do risco de ataques cibernéticos em suas plantas e dos possíveis prejuízos? Quais são eles?
EDWARDS – Todas as organizações do setor industrial devem priorizar a segurança cibernética, porque uma postura de segurança deficiente pode ameaçar diretamente a continuidade dos negócios. Isso é especialmente válido para organizações com infraestrutura crítica, o que os criminosos cibernéticos consideram um alvo de alto valor, devido ao potencial de danos generalizados após um ataque. Um ataque a uma linha de produção pode resultar em produtos abaixo do padrão ou danificados, provavelmente provocando, também, tempo de inatividade operacional e perdas financeiras.
Um ataque a uma infraestrutura crítica pode ser ainda mais prejudicial, como uma falta generalizada de energia, semelhante ao ataque à rede elétrica da Ucrânia em 2016, que resultou em seis horas de apagão para 230 mil ucranianos.
PORTAL IPESI – Por porte de indústria, o grau de conscientização das grandes empresas é muito maior que das empresas pequenas e médias?
EDWARDS – A consciência varia entre as organizações, mas não existe uma abordagem única para a segurança cibernética. Devido a cada organização ser singular, recomendamos que os líderes de segurança analisem as pessoas, os processos e a tecnologia da empresa para entender melhor as necessidades exclusivas da organização.
O mais crítico é entender onde a organização está exposta e em que medida. A partir disso, as equipes de segurança podem personalizar suas estratégias de segurança cibernética para proteger os sistemas, dados e ativos essenciais aos negócios.
PORTAL IPESI – Ainda que se fale muito em Indústria 4.0, Internet Industrial das Coisas e afins, os empresários estão conscientes que um ataque cibernético pode derrubar não só a produção de uma unidade fabril, como de toda a cadeia de fornecedores?
EDWARDS – A Indústria 4.0 acelerou a digitalização da economia brasileira, com dispositivos OT sendo colocados online e aumentando a interconectividade para aumentar a eficiência. Essa mudança convergiu os ambientes de TI e OT, trazendo grandes inovações, mas também aumentando o risco cibernético. Nos EUA, observamos uma maior conscientização acerca desses riscos e das ameaças que eles impõem à infraestrutura crítica, por meio de alertas da Cybersecurity and Infrastructure Security Agency (Cisa) e da National Security Agency (NSA).
No Brasil, as equipes de TI já começaram a abraçar o conceito de que a segurança é uma missão para todos os funcionários de todas as áreas de negócios de uma empresa, não apenas para as equipes de Segurança de TIC.
No mundo da OT, ainda há trabalho a ser feito para lidar de forma coordenada com a expansão da superfície de ataque em ambientes convergidos. Agora, os criminosos cibernéticos podem passar de ambientes de TI para ambientes de OT, o que pode impactar diretamente as operações industriais. Se um controlador lógico programável for comprometido, pode ocasionar um efeito cascata em toda a cadeia de suprimentos e fazer com que produtos inadequados ou até mesmo perigosos saiam de uma linha de produção.
Além de adotar soluções de segurança modernas, é essencial que os gerentes de OT entendam os novos riscos que surgem da convergência entre OT e TI, e a importância de manter uma postura de segurança forte.
PORTAL IPESI – Do ponto de vista dos mercados regionais, há diferenças notáveis na maneira como lidam com os ataques cibernéticos? Ou seja, o que se faz nos EUA é muito diferente do que se faz na Europa, China ou Japão?
EDWARDS – A maneira como os ataques cibernéticos são tratados pode diferir entre as organizações no mundo todo, dependendo da situação e do tamanho de cada organização e do tipo de ataque enfrentado. O estudo nos mostrou não haver diferenças significantes nas respostas de líderes globais de segurança e negócios em comparação com os do Brasil, ao examinarmos os números de ataques cibernéticos ou comprometimentos com impacto nos negócios ao longo dos últimos 1 a 2 anos. Isso sinaliza um forte consenso global entre os líderes da indústria, deixando claro que as ameaças à segurança cibernética são um desafio contínuo que precisa ser enfrentado.
No Brasil, no momento, muitas organizações estão buscando a conformidade com as regulamentações da Lei Geral de Proteção de Dados Pessoais (LGPD), trabalhando para assegurar uma eficaz proteção e privacidade dos dados de clientes e funcionários. A criticidade dos dados processados por empresas de OT reforça a importância da conformidade com a LGPD. A Indústria 4.0 oferece flexibilidade na linha de produção, com possibilidade de geração de produtos sob demanda, produtos personalizados e muito inovadores. Os dados sobre esses produtos são estratégicos e cobiçados por criminosos digitais. Para garantir a continuidade das operações industriais e as inovações na linha de produção, priorizar a segurança cibernética e a proteção de dados, além de evitar multas por não conformidade com a LGPD, é essencial para proteger ativos, dispositivos e informações confidenciais.
PORTAL IPESI – Aqui no Brasil, como os senhores descreveriam o grau de segurança cibernética nas plantas industriais tendo como base a pesquisa da Forrester Consulting?
EDWARDS – O estudo revelou que mais da metade (cinquenta e três por cento) dos entrevistados brasileiros de vários setores disseram que alguns dos ataques cibernéticos com impacto nos negócios envolveram sua tecnologia operacional (OT). Oitenta e três por cento dos entrevistados brasileiros declararam esperar um crescimento dos ataques cibernéticos com impacto nos negócios nos próximos dois anos. Isso deixa claro que ainda há trabalho a ser feito para reduzir o risco cibernético.
PORTAL IPESI – Quais são os dados mais notáveis com relação aos resultados da pesquisa sobre os executivos brasileiros no que tange à cibersegurança?
EDWARDS – Foi interessante ver que sessenta e sete por cento dos entrevistados brasileiros observaram um aumento dos ataques cibernéticos com impacto nos negócios nos últimos dois anos. Os ataques seguem a trajetória da inovação, particularmente nos ambientes de OT convergidos. A convergência trouxe consigo uma superfície de ataque expandida, apresentando desafios aos líderes de segurança que estão tentando quantificar o risco cibernético.
PORTAL IPESI – O senhor pode falar um pouco sobre o Tenable.ot 3.7, que está em fase de lançamento?
EDWARDS – A superfície de ataque em expansão e os novos vetores de ataque trazidos pela convergência exigem uma solução holística de segurança de OT, uma plataforma que seja capaz de identificar, avaliar e proteger a empresa contra ameaças específicas de TI e OT no ambiente operacional. Quase todos os ambientes industriais modernos contêm dispositivos “semelhantes aos de TI”, como estações de trabalho Windows. A integração do Tenable.ot 3.7 com o Nessus Professional ajuda as organizações a protegerem ambientes interconectados, além de cobrir 90% dos controladores lógicos programáveis e protocolos industriais do mercado. Pela primeira vez, os clientes podem usar uma única solução para conquistar visibilidade e controle para proteger ativos de TI juntamente com sistemas de OT. A meta é reduzir o risco cibernético de ambientes modernos, convergidos.
PORTAL IPESI – A que tipo de empresas esse produto é dirigido. Ele pode ser aplicado em empresas de quaisquer portes? Ele é modular, de forma que pode ser ampliado conforme a necessidade da companhia?
EDWARDS – O Tenable.ot pode ser proveitoso em empresas de qualquer tamanho e foi desenvolvido especificamente para organizações que utilizam OT e ambientes convergidos de TI/OT. Ele foi desenvolvido para escalabilidade e pode ser efetivamente proveitoso em diversos tamanhos de implementações.
PORTAL IPESI – Qual seria o investimento mínimo necessário para se ter o Tenable.ot 3.7, incluindo os custos de instalação e treinamentos?
EDWARDS – Os preços do Tenable.ot 3.7 variam conforme o número de ativos, locais e o rendimento desejados pelo cliente.
PORTAL IPESI – Quando o produto estará disponível no mercado nacional?
EDWARDS – Nossa solução já está disponível globalmente, incluindo o mercado brasileiro. Temos uma equipe local e parceiros em todos os estados do Brasil, com profissionais capacitados para demonstrar e conceber projetos customizados baseados no Tenable.ot 3.7. Muitos de nossos clientes no Brasil incluem empresas de setores como petróleo e gás, mineração, serviços públicos como abastecimento de água, energia elétrica e gás e manufatura, entre outros setores industriais. (texto: Franco Tanio/foto: Divulgação)
