Nossos sistemas de água, saúde e energia são cada vez mais vulneráveis ao ataque cibernético.
Agora, quando as tensões aumentam – como quando os EUA bombardearam as instalações nucleares no Irã este mês – a segurança desses sistemas se torna de grande preocupação. Se o conflito entra em erupção, podemos esperar que seja uma batalha “híbrida”, Joshua Corman, executiva em residência de segurança pública e resiliência no Instituto de Segurança e Tecnologia (IST), diz A beira.
“Com grande conectividade vem uma grande responsabilidade.”
Os campos de batalha agora se estendem ao mundo digital, o que, por sua vez, torna a infraestrutura crítica no mundo real um alvo. Entrei em contato com a experiência deles sobre esse assunto em 2021, quando um ataque de ransomware forçou o oleoduto colonial – uma grande artéria que transporta quase metade do suprimento de combustível da costa leste – offline por quase uma semana. Desde então, A beira também cobriu um aumento nos ataques cibernéticos contra os sistemas de água comunitária nos EUA, e as tentativas da América de impedir assaltos apoiados por outros governos.
Não é hora de entrar em pânico, Corman me tranquiliza. Mas é importante reavaliar como protegermos hospitais, suprimentos de água e outras linhas de vida do Cyberattack. Acontece que existem soluções analógicas que dependem mais da engenharia física do que de colocar firewalls cibernéticos.
Esta entrevista foi editada por comprimento e clareza.
Como alguém que trabalha em segurança cibernética para água e águas residuais, assistência médica, cadeias de suprimentos de alimentos e sistemas de energia – o que o mantém acordado à noite?
Oh, garoto. Quando você analisa o que designamos como funções críticas da linha de vida, as necessidades humanas básicas – água, abrigo, segurança – essas estão entre alguns dos nossos mais expostos e mal preparados. Com grande conectividade vem uma grande responsabilidade. E enquanto lutamos para proteger cartões de crédito, sites ou dados, continuamos a adicionar software e conectividade à infraestrutura da linha de vida, como água, energia e hospitais.
Nós sempre fomos presas. Ficamos apenas sobrevivendo com o apetite de nossos predadores e eles estão ficando mais agressivos.
Quão vulneráveis são esses sistemas nos EUA?
Você pode ter visto o aumento no ransomware a partir de 2016. Os hospitais rapidamente se tornaram o alvo preferido número um do ransomware, porque eles são o que eu chamo de “alvo rico, mas pobre cibernético”. A indisponibilidade de seu serviço é bastante terrível, portanto a indisponibilidade pode ser monetizada com muita facilidade.
Você tem esse tipo de assimetria e alimentação não mitigada, onde é atraente e fácil de atacar essas funções da linha de vida. Mas é incrivelmente difícil conseguir funcionários, recursos, treinamento, orçamento, defender essas funções da Lifeline.
Se você é uma pequena instalação de água rural, não tem nenhum orçamento de segurança cibernética. Muitas vezes, inauguramos as banalidades de ‘apenas fazer práticas recomendadas, basta fazer a estrutura do NIST’. Mas eles nem conseguem parar de usar a tecnologia final da vida, não suportadas com senhas codificadas.
“Você tem esse tipo de assimetria e alimentação não mitigada”
São cerca de 85 % dos proprietários e operadores dessas entidades críticas de infraestrutura crítica que são ricas em metas e cibernéticas.
Veja os sistemas de água, por exemplo. O Volt Typhoon foi encontrado comprometendo -se com sucesso instalações de água dos EUA e outras funções de serviço da linha de vida, e está sentado ali à espera, preposicionando. (Nota do editor: Volt Typhoon é um grupo cibernético patrocinado pela República Popular da China)
A China tem especificamente as intenções em relação a Taiwan já em 2027. Eles basicamente gostariam que os EUA ficassem fora de suas intenções em relação a Taiwan. E se não o fizermos, eles estão dispostos a atrapalhar e destruir partes dessas instalações muito expostas e muito propensas. A esmagadora maioria não tem uma única pessoa de segurança cibernética, não ouviu falar de Volt Typhoon, muito menos saber se e como eles deveriam se defender. Nem eles têm o orçamento para isso.
Voltando às notícias recentes e à escalada com o Irã, há algo mais vulnerável neste momento? Existem riscos únicos que o Irã representa para os EUA?
Seja na Rússia, no Irã ou na China, todos eles mostraram que estão dispostos e capazes de alcançar instalações para água, grades de energia, hospitais etc. Estou mais preocupado com a água. Sem água significa nenhum hospital em cerca de quatro horas. Qualquer perda de pressão para a zona de pressão do hospital significa supressão de incêndio, lavagem cirúrgica, saneamento ou hidratação.
O que temos é aumentar a exposição em que oferecemos com infraestrutura inteligente e conectada. Queremos o benefício, mas ainda não pagamos o preço. E tudo bem quando isso era principalmente uma atividade criminosa. Mas agora que esses pontos de acesso podem ser usados em armas de guerra, você pode ver uma ruptura bastante severa na infraestrutura civil.
Agora, só porque você pode acertar isso não significa que você vai acertar, certo? Não estou encorajando o pânico no momento sobre o Irã. Eu acho que eles estão bastante ocupados e, se eles usarem essas capacidades cibernéticas, é uma suposição mais segura de que eles primeiro os usariam em Israel.
Diferentes predadores têm apetites diferentes, presas e motivos.
Às vezes, é chamado de intermediação de acesso, onde eles estão procurando um compromisso e esperam por anos. Como na infraestrutura crítica, as pessoas não atualizam seus equipamentos, elas usam coisas muito antigas. Se você acredita que terá esse acesso por um longo tempo, poderá sentar -se e esperar pacientemente até o tempo e o local de sua escolha.
Pense nisso um pouco como Guerra nas Estrelas. A porta de escape térmica na Estrela da Morte é a parte fraca. Se você acertar, você causa muitos danos. Temos muitas portas de escape térmicas em toda a água e saúde especificamente.
O que precisa ser feito agora para mitigar essas vulnerabilidades?
Estamos incentivando algo chamado engenharia cibernética.
O que descobrimos é que, se uma instalação de água estiver comprometida, mudanças abruptas na pressão da água podem levar a uma onda muito forte e prejudicial da pressão da água que pode estourar os tubos. Se você explodisse o principal da água para um hospital, não haveria pressão da água no hospital. Então, se você quisesse dizer: ‘Vamos garantir que os militares chineses não possam comprometer a instalação da água’, você teria que fazer um pouco de segurança cibernética ou desconectá -la.
O que estamos encorajadores é algo muito mais familiar, prático. Assim como em sua casa, você tem um disjuntor; portanto, se houver muita tensão, você vira um interruptor em vez de queimar a casa. Temos o equivalente a disjuntores para a água, que são talvez US $ 2.000, talvez menos de US $ 10.000. Eles podem detectar um aumento na pressão e desligar as bombas para evitar danos físicos. Estamos à procura de mitigação analógica de engenharia física.
“Pense nisso um pouco como Guerra nas Estrelas. ”
Se você deseja reduzir a probabilidade de compromisso, adiciona segurança cibernética. Mas se você quiser reduzir o consequências de compromisso, você adiciona engenharia.
Se as piores consequências seriam um ataque fisicamente prejudicial, queremos tomar medidas práticas acessíveis e familiares. As plantas de água não conhecem cibernético, mas conhecem a engenharia. E se pudermos encontrá-los em seu território e ajudar a explicar a eles as consequências e, em seguida, co-criar mitigações acessíveis, realistas e temporárias, podemos sobreviver o suficiente para investir adequadamente na segurança cibernética mais tarde.
As agências federais do governo Trump enfrentaram cortes de orçamento e pessoal, isso também leva a maiores vulnerabilidades? Como isso afeta a segurança de nossa infraestrutura crítica?
Independente da política individual das pessoas, havia uma ordem executiva da Casa Branca em março que muda mais do equilíbrio de poder e responsabilidade para os estados para se proteger, para a resiliência da segurança cibernética. E é um momento muito infeliz, dado o contexto em que estamos e que levaria tempo para fazer isso com segurança e eficácia.
Eu acho que, sem malícia, houve uma confluência de outros fatores que contribuem para piorar a situação. Alguns dos cortes no orçamento da CISA, que é o coordenador nacional nesses setores, não são ótimos. O centro de compartilhamento e análise de informações de vários estados é um recurso essencial para ajudar os estados a servir a si mesmos, e isso também perdeu seu financiamento. E até o momento, o Senado não confirmou um diretor da CISA.
Deveríamos aumentar nossas parcerias privadas, nossas parcerias federais e estaduais e parece haver um acordo bipartidário sobre isso. E, no entanto, em geral, a EPA, a saúde e os serviços humanos, o Departamento de Energia e a CISA sofreram uma redução significativa no orçamento e na equipe e na liderança. Ainda há tempo para corrigir isso, mas estamos queimando a luz do dia sobre o que vejo como uma quantidade muito pequena de tempo para formar o plano, comunicar o plano e executar o plano.
Quer que queira isso ou não, mais responsabilidade pela resiliência cibernética e funções críticas e de defesa está caindo para os estados, para os municípios, para as cidades, para os indivíduos. Agora é a hora de ser educado e há uma constelação de esforços sem fins lucrativos e da sociedade civil – um deles é o bom trabalho que estamos fazendo com esse indiscelável27.org, mas também participamos de um grupo maior chamado Cyber Civil Defense. E lançamos recentemente um grupo chamado Cyber Resilience Corps, que é uma plataforma para quem deseja se voluntariar para ajudar na segurança cibernética para serviços pequenos, médios, rurais ou salva -vidas. É também um lugar para as pessoas encontrarem e solicitarem esses voluntários. Estamos tentando reduzir o atrito de pedir ajuda e encontrar ajuda.
Eu acho que este é um daqueles momentos da história em que queremos e precisamos de mais dos governos, mas a cavalaria não está chegando. Vai cair para nós.
