Por Brooke Lynn Weenig, gerente sênior de marketing de produtos da Microsoft Security, e Patrick C. Miller, CEO e proprietário da Ampere Industrial Security
A comunidade de segurança está continuamente mudando, crescendo e aprendendo uns com os outros para melhor posicionar o mundo contra ameaças cibernéticas. Na última postagem de nossa série do blog Community Voices, a gerente sênior de marketing de produtos da Microsoft Security, Brooke Lynn Weenig, conversa com Patrick C. Miller, CEO e proprietário da Ampere Industrial Security e fundador e ex-diretor do Consórcio de Segurança do Setor Energético (Energy Sector Security Consortium, em inglês). Os pensamentos abaixo refletem os pontos de vista de Patrick, não os pontos de vista do empregador de Patrick, e não são aconselhamentos jurídico. Nesta postagem do blog, Patrick fala sobre segurança e desafios de contratação no setor de segurança industrial.
Brooke: Como você entrou na área de segurança industrial?
Patrick: Meu pai trabalhava em telecomunicações, e eu cresci com um fio na mão e uma lanterna nos dentes, rastejando em espaços escuros cheios de amianto, poeira e fios soltos. Construí muitos sistemas telefônicos analógicos e tinha o equipamento para subir em postes, um conjunto de teste e um capacete. Já fiz de tudo, desde escalar postes para instalar cabos até fiação de quadros de distribuição principais (MDFs) do tamanho de um edifício. Eu era um técnico de telefonia que programava sistemas telefônicos durante a maior parte da minha juventude. Eu tinha feito muitos componentes de segurança no lado das telecomunicações. Naquela época, havia coisas como fraudes de longa distância e acesso ao correio de voz, que precisavam ser seguras.
Eu estava cursando biologia, com foco em botânica e microbiologia, quando tive contato com ambientes de controle supervisório e aquisição de dados (SCADA), tecnologia operacional (OT) e sistema de controle industrial (ICS) como um trabalho paralelo. Eu estava trabalhando como gerente de propagação para uma operação comercial de estufas de grande escala, usando minhas habilidades de biologia e fazendo coisas técnicas. Juntei-os e automatizei várias operações de armazém de horticultura, incluindo gerenciamento de luz, sombra, temperatura, água e fluxo de ar. Foi aí que entrei na área da programação e construção em ambientes industriais.
Brooke: Como você desenvolveu suas habilidades no mundo da segurança industrial?
Patrick: Não havia certificados de segurança ou cursos universitários no final dos anos 1980 e início dos anos 1990. Eu entrei na segurança operacional por causa da resposta a incidentes. Tínhamos coisas como bulletin board system (BBS na sigla em inglês, um sistema informático anterior à internet atual que permitia a conexão via telefone a um sistema de mensagens de texto). Eu tinha um dos primeiros modems dial-up e vasculhava a conta da universidade procurando como fazer as coisas. Aprendi muito com a revista de informática 2600: The Hacker Quarterly, que publicava conteúdo escrito pelos leitores de maneira colaborativa, e da tentativa e erro com os tutoriais disponíveis na época.
Hoje eu me especializei em ICS e OT. Seja água em um cano, energia em um fio, tráfego na rua, caixas em um cinto – tudo é controle de fluxo. É incrivelmente desafiador, mas também muito gratificante. No final do dia, você sabe que ajudou a manter as luzes acesas, manter a água fluindo, manter o gás em movimento, seja o que for. Essas são infraestruturas críticas.
Brooke: Por que os sistemas industriais são alvo de ataques cibernéticos?
Patrick: Gás, água, eletricidade, processamento de alimentos e transporte são todos muito necessários. A civilização depende desses serviços de infraestrutura. Se eu for um operador de ransomware ou um criminoso, posso manter seu sistema como refém e, como você sabe que há um impacto rápido e grave, há uma grande probabilidade de você me pagar. Eles são um alvo de alto valor do ponto de vista do criminoso, bem como de uma perspectiva geopolítica, pelas mesmas razões, mas com motivações diferentes.
A informação proprietária também é um alvo. Se você tem um produto, um processo de fabricação ou uma maneira melhor de fazer algo, não preciso fazer pesquisas para competir com você. Posso simplesmente roubar todos os seus dados e fazer o que você faz sem gastar dinheiro nem esforço em pesquisa e desenvolvimento. Por muitas razões, eles são alvos de alto valor.
Brooke: Quais são os maiores desafios na proteção de sistemas industriais?
Patrick: Com sistemas industriais, nossa maior preocupação são os ambientes legados, porque eles são antigos. Alguns dos componentes têm cerca de 40 a 50 anos. Eles são digitais e têm entradas analógicas, mas não foram projetados para serem conectados em rede. Eles foram projetados para estarem em um sistema fechado, onde você tinha que ter acesso físico a eles, mas nós os conectamos em rede de qualquer maneira. Eles são inseguros porque a ideia era de que esses ambientes nunca se conectassem a mais nada.
Estamos vendo uma tendência de não necessariamente desconectá-los, mas conectá-los de maneiras mais inteligentes. E se você precisar de acesso a esses ambientes, vai ter muito trabalho para obter uma conexão de entrada. Estamos buscando maneiras de isolar de forma inteligente esses ambientes para que eles possam operar sozinhos. Dessa forma, se você tiver um problema, ainda poderá executar as coisas importantes de forma isolada e desconectada e não perderá energia, água, gás ou o que for.
Se houver ransomware em seu ambiente corporativo, você pode pegar seu ambiente industrial e desligá-lo do mundo exterior para que ele possa operar isoladamente. No entanto, os custos aumentam. O isolamento é caro e a arquitetura extra é cara. Há muitos desafios, tanto financeiros quanto operacionais, para construir uma arquitetura mais robusta.
Brooke: O que mais as empresas podem fazer para se proteger desses riscos de segurança?
Patrick: Eu fiz várias apresentações sobre coisas básicas que devem ser feitas. Podem parecer simples, mas muitas vezes não são fáceis de fazer em ambientes industriais:
- Faça inventário de ativos. Se você não sabe o que tem, não sabe o que proteger.
- Livre-se de sistemas frágeis. Se você não pode substituir algo porque não sabe como, isso é um risco enorme. Encontre uma maneira de trocar por algo novo que você possa defender.
- Projete uma rede que você possa defender. Leve-a para um lugar onde você possa isolá-la sem dependências.
- Bloqueie o acesso remoto. Os ataques geralmente vêm do lado de TI.
- Tenha um gerenciamento de mudanças eficaz.
- Pratique a resposta a incidentes.
- Treine seu pessoal e dê ao time o que eles precisam para operar esse ambiente e o tempo para isso.
Brooke: Como os líderes de segurança industrial podem atrair mais talentos?
Patrick: Eu não acho que faltem talentos. Há muitas pessoas que podem fazer esse trabalho se ele for bem explicado. Você não precisa ser um programador ou um especialista em segurança cibernética para aprender essas coisas. O trabalho envolve sistemas, conectados de certas maneiras, e executar tarefas com métodos muito ordenados e previsíveis. Não é algo fora do comum para a maioria das mentes técnicas.
Normalmente, não vejo vagas de entrada que possam atrair as pessoas para o setor. Há vagas que pedem de 5 a 10 anos de experiência para alguém que seja júnior. Muitas dessas descrições de cargos são absurdas. Vejo anúncios que pedem mais experiência em uma plataforma do que o tempo que essa plataforma existe. Há muitas pessoas que têm habilidades básicas e que você pode treinar por uma semana ou duas. Eles vão querer mostrar o que podem fazer e podem crescer a partir daí.
Brooke: Quais habilidades os profissionais de segurança do setor precisam ter para crescer?
Patrick: A segurança industrial parece mais difícil do que realmente é. Quando eu treino pessoas, nós dividimos o treinamento em pequenos passos. No final do dia, as pessoas dizem: “Uau, isso foi muito mais simples do que eu pensava que era”. Existe uma atmosfera de mistério em torno da segurança cibernética, mas ela é apenas um conjunto de muitas partes pequenas. Você deve aprender quais são as partes e quais são as siglas. Quando elas aparecem no mundo real, a maioria das pessoas entende rapidamente.
O mais importante é que as pessoas sejam curiosas. Empatia também é importante para proteger um sistema, você deve ter alguma empatia pelo que está fazendo e por que que isso é importante. No mundo de TI e OT você tem times de engenharia e eles só querem que a coisa funcione. Se houver um alarme disparando na tela e eles precisarem reagir e clicar em algo, eles não querem que a tela fique bloqueada, o que poderia causar grandes problemas a sistemas e equipamentos. Você deve ter empatia pela situação e pelas necessidades deles e, como profissional de segurança, trabalhar com essas questões em mente. Se você for detalhista, curioso e empático, você pode ter sucesso nesse espaço.
Saiba mais
Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Marque o Security blog nos seus favoritos para acompanhar nossa cobertura especializada em questões de segurança. E siga o @MSFTSecurity para acompanhar as últimas notícias e atualizações sobre segurança cibernética.
