Grande parte da sociedade moderna depende de uma infraestrutura essencial estável e segura, mas as ameaças à segurança cibernética desafiam constantemente nossos sistemas complexos e conectados, colocando em risco a segurança nacional, a estabilidade econômica e a segurança pública.
Este mês, um relatório do GAO examinou 16 setores de infraestrutura essencial e seu progresso na implementação da estrutura do National Institute of Standards and Technology (NIST) para melhorar a segurança cibernética da infraestrutura essencial. A água e as águas residuais, um espaço diversificado e com poucos recursos, é um dos três únicos (juntamente com as instalações governamentais e a base industrial de defesa) identificados no relatório como tendo determinado a taxa de adoção da estrutura pelas entidades de seu setor.
Outros setores de infraestrutura crítica não foram tão progressivos em termos de implementação da estrutura. Alguns setores - como energia, alimentos e agricultura, tecnologia da informação e sistemas de transporte - tomaram medidas para a adoção, enquanto os nove restantes - incluindo manufatura crítica, represas e instalações nucleares - não o fizeram, disse o GAO em seu relatório.
Aumenta o uso de controles de segurança cibernética em água e esgoto
De acordo com o relatório, avaliações técnicas voluntárias de 146 instalações de serviços públicos de água conduzidas pela Agência de Proteção Ambiental (EPA) identificaram um aumento de 32% no uso dos controles de segurança cibernética recomendados no relatório.
"Os dados sobre melhorias e progressos realizados incluíram o crescimento que as entidades fizeram coletivamente em cada uma das cinco áreas funcionais das estruturas do NIST (identificar, proteger, detectar, responder e recuperar)", disse o relatório sobre os resultados da água.
Além disso, uma avaliação inicial mostrou que as entidades haviam implementado 38% das atividades que cobriam as cinco áreas funcionais; duas avaliações de acompanhamento depois, esse número subiu para 50%. Algumas dessas atividades específicas incluem o desenvolvimento de uma lista de práticas recomendadas específicas do setor e a implementação de programas de treinamento e conscientização. O relatório também compartilha exemplos de organizações de água e esgoto que usam a estrutura para melhorar a segurança cibernética, incluindo a avaliação da abrangência dos programas de segurança.
A estrutura do NIST é considerada o padrão para o gerenciamento de riscos em todos os setores e pode ser usada para gerenciar riscos em todos os setores e tecnologias, desde tecnologia da informação (TI), sistemas de controle industrial (ICS), sistemas ciberfísicos (CPS) e a Internet das Coisas Estendida (XIoT). A estrutura, no entanto, não é uma abordagem única para gerenciar o risco de segurança cibernética, pois cada espaço tem ameaças, vulnerabilidades e tolerâncias a riscos exclusivas. Cada um varia na forma como personaliza as práticas, mas ter uma estratégia abrangente é um componente essencial do gerenciamento geral de riscos.
Água e águas residuais em uma corrida de 100 dias
A água tem sido um alvo oportunista para atacantes avançados, o que levou a EPA a publicar um plano de ação de segurança cibernética de quatro pontos no mês passado e a dar início a uma iniciativa de 100 dias semelhante a outras exigidas no ano passado pelo governo Biden em sua Iniciativa de Segurança Cibernética de Sistemas de Controle Industrial. Como muitos dos 16 setores de infraestrutura crítica identificados pela CISA, a água e as águas residuais têm seus desafios. Por exemplo, embora existam várias grandes empresas de água e esgoto, a maioria é formada por entidades menores que operam em escala de condado, município ou cidade.
A EPA disse em um comunicado que os 52.000 sistemas comunitários de água e os 16.000 sistemas de águas residuais do país devem criar estratégias para melhorar a detecção precoce de ameaças à segurança cibernética e compartilhar indicadores de ameaças e outras informações para agilizar a ação do governo federal.
Proteção de sistemas ciberfísicos conectados
É fundamental investir em tecnologias que possam identificar com precisão os ativos conectados e as vulnerabilidades, além de fornecer estratégias de correção. Uma solução de acesso seguro pode ajudar as instalações a se conectarem com confiança e fornecer controles de acesso baseados em funções e políticas, alertas e a capacidade de auditar, investigar e encerrar atividades mal-intencionadas.
Além de reduzir os riscos e gerenciar melhor as ameaças à segurança cibernética, uma solução para a XIoT também pode ajudar a alinhar e priorizar as atividades de segurança cibernética para empresas convergentes. Ao identificar e priorizar oportunidades de melhoria contínua e repetível, as organizações podem aplicar princípios de gerenciamento de riscos e práticas recomendadas para melhorar a segurança e a resiliência, independentemente do tamanho, do grau de risco de segurança cibernética ou da sofisticação da segurança cibernética.
O risco de segurança cibernética afeta o resultado final. Ele pode aumentar os custos, afetar a receita e prejudicar a capacidade de inovar e obter e reter clientes. As soluções de segurança ciberfísica permitem que a gerência se concentre nos fatores de negócios para orientar as atividades de segurança cibernética e considerar os processos de gerenciamento de riscos. Essas ferramentas podem ajudar as organizações a determinar as ações necessárias para a prestação de serviços essenciais e a priorizar os investimentos em ROI.
