A tecnologia avançada mudou inúmeras facetas da vida cotidiana, dos processos internos das empresas às atividades do consumidor. Até mesmo o design, o gerenciamento e o suporte para cidades grandes e pequenas mudaram graças aos sistemas inovadores de cidades inteligentes.
Embora componentes avançados para suportar utilitários, infraestrutura crítica, tráfego e muito mais possam trazer inúmeros benefícios, essas soluções também abrem, tanto áreas urbanas, quanto rurais, para novos riscos e ameaças cibernéticas.
Estamos analisando mais de perto as infraestruturas – incluindo os serviços de energia e água e os sistemas de transporte rodoviário –, as mudanças que estão sendo feitas nessas áreas e como as novas tecnologias devem ser equilibradas com a avaliação adequada dos riscos.
Melhoria da infraestrutura de água e energia
Não há dúvida de que o acesso a recursos hídricos e energéticos é um dos elementos mais importantes para os residentes. Em muitas áreas, os gestores municipais e as autoridades estão procurando atualizar seus sistemas existentes – alguns dos quais são consideravelmente antigos, em vigor há décadas – com tecnologia inteligente e atualizada.
Esses sistemas são capazes de funcionar em segundo plano, ajudando a gerenciar e manter infraestruturas de água e energia com pouca interação humana. Isso, por sua vez, aumenta a eficiência e, em teoria, ajuda a reduzir as chances de interrupções de longo prazo que resultam de condições climáticas adversas ou outros problemas críticos de infraestrutura.
Ao mesmo tempo, porém, a atualização de sistemas de água e energia com tecnologias inteligentes poderia “ter um custo”. Colocar plataformas inteligentes no lugar onde antes não existiam poderia criar riscos significativos que devem ser considerados e mitigados antes do tempo.
Usando o Shodan e outras ferramentas, pesquisadores da Trend Micro analisaram as possíveis deficiências dos sistemas de controle industrial (ICS) expostos nas indústrias de energia e água”, explicaram. “Os resultados dão uma ideia das lacunas de segurança encontradas nas interfaces ICS e homem-máquina (IHMs) que podem levar a problemas maiores devido à natureza interdependente dos setores de infraestrutura crítica e, mais importante, à dependência natural das pessoas nessas infraestruturas.”
Em muitos casos, os riscos de segurança que poderiam impactar as concessionárias de água se sobrepõem aos que ameaçam o acesso a recursos energéticos:
Sem surpresa, uma das principais preocupações aqui é a possibilidade de ataques cibernéticos que podem impedir o acesso a esses recursos ou criar situações de inatividade prolongada. Uma interrupção de energia a longo prazo ou a incapacidade de acessar a água corrente podem ter consequências graves para as cidades pequenas e grandes, criando pânico e possíveis impactos na saúde pública entre os residentes. As maneiras pelas quais os invasores podem obter uma intrusão bem-sucedida e um ataque cibernético diferem e são investigadas mais profundamente abaixo, mas o potencial para esse risco é claro em todos os setores de serviços públicos.
Uma estação de tratamento de água, por exemplo, poderia ser atacada por meio de controles de interface homem-máquina expostos com métodos públicos. Controles que não estão devidamente protegidos e, portanto, expostos na internet, podem fornecer a abertura ideal para um ataque que interrompa as operações e evite que a usina forneça água potável.
Ataques à infraestrutura rodoviária
Ataques bem-sucedidos em sistemas de transporte podem ter várias consequências maliciosas, incluindo acidentes veiculares; engarrafamentos que impactam a entrega de serviços, o movimento de cargas e os deslocamentos diários; efeitos adicionais que criam perdas financeiras para empresas, pessoas individuais ou cidades.
Os sistemas inteligentes que podem ser afetados aqui incluem veículos autônomos, assim como veículos conectados equipados com conexões LAN ou Wifi. Os sistemas de relatórios de vias, incluindo elementos como câmeras de pista, estações meteorológicas de estrada e outras plataformas, estão sob esse guarda-chuva de risco; assim como os controles de fluxo de tráfego, como sinais de trânsito, sinais de mensagem e sistemas de cobrança de pedágio.
O risco potencial de ataque aqui difere dependendo do cenário, mas vários ataques do mundo real já ocorreram. Em um exemplo, um indivíduo sequestrou um sinal de tráfego dinâmico e mudou sua mensagem para “Dirija Louco”, como uma brincadeira. Surpreendentemente, esse ataque foi possível por meio de credenciais de login padrão que eram fáceis de adivinhar.
Em um exemplo mais prejudicial, a agência de Transporte Municipal de São Francisco foi atacada em 2016 por um ransomware que desativou os sistemas internos e de transporte. As máquinas de pagamento de tarifas ficaram inacessíveis, exibindo mensagens “Fora de Serviço” em todas as telas e impedindo que os passageiros pagassem as tarifas. Em resposta, a agência de transporte teve que permitir passeios gratuitos em seu metrô até que a questão fosse resolvida.
Como esse cenário mostra, um ataque à infraestrutura de transporte pode ser consideravelmente impactante e ter repercussões financeiras significativas. Outros casos podem afetar os serviços de emergência ou outras necessidades cruciais dependentes do transporte.
Para saber mais e ler sobre outros cenários de ataque potenciais e reais envolvendo infraestruturas críticas, confira os relatórios da Trend Micro, “Infraestrutura crítica exposta e vulnerável: indústrias de água e energia” e “Ciberataques contra sistemas de transporte inteligentes“.
Sobre o autor
Miguel Macedo é diretor Latam de Canais e Marketing da Trend Micro