Só nos EUA, setor de água foi alvo de 25 ataques em 2015; criminosos chegam a controlar o nível de cloro na água
SÃO PAULO – Com a expansão da internet das coisas e o uso de sistemas cada vez mais conectados e integrados para gerir a infraestrutura urbana, cresce a preocupação em torno de possíveis ataques virtuais a esses sistemas. Em fevereiro, durante a RSA Conference de São Francisco, uma das maiores feiras de segurança digital do mundo, a vulnerabilidade de sistemas como esses dominou as mesas de discussão. No primeiro dia do evento, o Georgia Institute of Technology simulou um ataque a uma estação de tratamento e distribuição de água fictícia, montada para replicar, virtualmente, a estrutura de uma estação real. Em poucos minutos, válvulas foram abertas e fechadas, níveis de cloro na água foram alterados, e os sistemas monitoramento do recurso modificados – tudo remotamente.
Segundo dados do Departamento de Segurança Interna dos Estados Unidos, em 2015, foram registrados 295 ciberataques a sistemas de infraestrutura crítica do país. O setor de tratamento e distribuição de água foi o quarto mais visado e concentrou 25 ataques, o equivalente a 8,5% do total. A indústria em geral foi a mais atacada, com 97 instâncias (33%), seguida do setor de energia, com 46 (16%).
Realidade
Muitos ataques não vêm a público. Recentemente, porém, detalhes de uma ofensiva conduzida em 2016 por criminosos eletrônicos (ainda desconhecidos) a uma estação de tratamento de água também nos EUA vieram à luz. As informações, contidas no relatório “Data Breach Digest” da Verizon Risk Unit, revelaram que os criminosos controlaram parte da infraestrutura de uma estação por cerca de 60 dias. Os primeiros sinais de algo estava errado foram percebidos quando válvulas operadas eletronicamente por controladores lógicos programáveis (CLP) começaram a abrir e fechar de forma errática. Inicialmente, suspeitou-se de um problema mecânico. Mas uma manutenção de segurança de rotina nos computadores da estação revelou que os servidores tinham sido violados.
O acesso remoto usou o sistema de pagamento digital de contas de água, hospedado no site da prestadora de serviço, para chegar aos CLPs que regulavam o funcionamento de válvulas e outros mecanismos da estação. O erro, segundo os especialistas, foi ligar a rede que controla o funcionamento da estação de tratamento à rede comercial e administrativa da distribuidora.
CLPs vulneráveis
Controladores lógicos programáveis são frequentemente usados na indústria para comandar a execução de tarefas no processo produtivo. Programados, eles comandam a abertura de válvulas, o fechamento de comportas, a aceleração centrífugas e outras diversas funções. Boa parte desses equipamentos não foi programada para funcionar ligada à internet, logo, eles não possuem mecanismos de proteção que aparelhos criados para operar na web têm.
Durante décadas, isso não foi problema já que poucos conheciam a linguagem de programação usada nos CLPs e quase nenhum desses aparelhos podia ser acessado remotamente. Hoje, porém, com cada vez mais dispositivos ligados à Web e manuais de programação de modelos populares de CLPs disponíveis na internet, a situação mudou. E o setor de infraestrutura, mais do que qualquer outro, precisa se adaptar.
