Hackers derrubando a rede elétrica dos EUA podem soar como uma trama tirada de um filme de ação de Bruce Willis, mas o Departamento de Segurança Interna divulgou recentemente novos detalhes sobre até que ponto a Rússia se infiltrou em “infraestrutura crítica”, como usinas de energia americanas, instalações de água e gasodutos.
Esse hacking é semelhante aos ataques de 2015 e 2016 à rede elétrica da Ucrânia. Embora o DHS tenha aumentado o número de incidentes de hackers de serviços públicos russos detectados de dezenas para centenas, ele ainda afirma que essa infiltração não ultrapassou o modo de reconhecimento. A Rússia nega ter qualquer papel no hacking, mas o espectro da sabotagem russa nos EUA agora parece mais realista do que costumava ser.
Claramente, não há tempo a perder para reforçar a segurança da rede. No entanto, fazer isso não é fácil, como aprendi com minha pesquisa sobre os esforços para evitar interrupções na Flórida, propensa a furacões.
Um catch-22
Não há como proteger completamente a rede. Mesmo que isso fosse possível, as concessionárias tendem a adotar novos e melhores procedimentos de segurança após contratempos, aumentando a chance de que alguns ataques sejam bem-sucedidos.
A regulamentação nos níveis estadual e federal torna difícil para as concessionárias e reguladores trabalharem juntos para realizar esse trabalho.
As concessionárias podem cobrar de seus clientes apenas o necessário para cobrir despesas razoáveis. Os reguladores devem aprovar suas taxas por meio de um processo que precisa estar aberto ao escrutínio público.
Digamos, por exemplo, que uma empresa de energia esteja construindo uma subestação. A concessionária divulgaria o que gastou na construção, provaria que escolheu seus empreiteiros com responsabilidade e explicaria como essa nova capacidade está aprimorando seu serviço. O regulador então deve decidir quais aumentos de taxas, se houver, seriam razoáveis – depois de ouvir todos com algo em jogo.
Seguir essa rotina é mais difícil com os gastos com defesa cibernética. As preocupações com a segurança tornam difícil, senão impossível, para as concessionárias dizer o que estão fazendo com esse dinheiro. Os reguladores, portanto, têm dificuldade em descobrir se as concessionárias estão gastando muito ou pouco ou talvez até desperdiçando dinheiro em despesas desnecessárias.
Se os reguladores aprovarem cegamente esses aumentos de taxas, isso pode ser uma abdicação de seus deveres. Se eles os rejeitarem, as concessionárias serão penalizadas por reforçar sua segurança e, em seguida, perderão um incentivo para continuar fazendo a coisa certa.
Errar é humano
Embora as idiossincrasias da regulamentação de serviços públicos tornem a defesa cibernética uma questão mais complicada do que poderia ser, ferramentas para gerenciar esse risco estão disponíveis.
Mitigar os danos que o erro humano pode causar em resposta a ataques maliciosos, por exemplo, pode não exigir nenhum gasto além do que custa ensinar os trabalhadores das concessionárias e seus contratados a se absterem de abrir cegamente anexos de e-mail perigosos, o caminho para o sistema elétrico usado por hackers nos ataques de 2015 na Ucrânia e nas violações do sistema que o governo divulgou recentemente.
Eles também precisam se proteger contra os chamados ataques de poços de água. De acordo com as novas revelações do DHS, hackers russos montaram armadilhas em sites que os fornecedores de serviços públicos costumavam frequentar – muitos dos quais tinham medidas insuficientes de segurança cibernética. Eles então aproveitaram esse acesso para roubar as credenciais necessárias para se infiltrar nos sistemas das concessionárias.
De fato, os hackers entregaram quase 94% de todo o malware em 2016 por meio de sistemas de e-mail. Claramente, uma conscientização mais ampla sobre a necessidade de ficar atento a ataques de phishing ajudará a proteger a infraestrutura.
Os reguladores têm estudado estratégias que podem melhorar a segurança cibernética. Os padrões já estão em vigor nos EUA, Canadá e parte do México para que as concessionárias avaliem sua capacidade de prevenir ou detectar ataques cibernéticos.
As medidas preventivas podem incluir estados adotando novos regulamentos que protegem as informações confidenciais das concessionárias e fazendo mais para treinar os trabalhadores das concessionárias para detectar e enfrentar ameaças à segurança cibernética.
Também é importante que os reguladores reconheçam que proteger os sistemas é um processo contínuo. Isso nunca pode realmente acabar porque, à medida que as medidas de segurança do sistema mudam, os hackers criam novas maneiras de contorná-las.
Resiliência da rede
As estratégias de resiliência da rede podem ajudar a manter o serviço, independentemente da origem da interrupção. Por exemplo, muitas concessionárias investiram em sistemas de “autocorreção” que isolam falhas na rede e restauram rapidamente o serviço em meio a interrupções.
Aqui está um exemplo de como isso funciona. Durante o furacão Matthew na Flórida, em 2016, a Florida Power and Light identificou uma subestação ameaçada e a isolou do resto da rede. Essa medida protegeu seus clientes, garantindo que as interrupções naquela subestação não se espalhassem.
As concessionárias também podem criar microrredes, ou partes da rede que podem ser isoladas do resto do sistema em caso de ataque. A maioria desses sistemas foi projetada para melhorar a resiliência em caso de desastres naturais e tempestades. Mas eles também podem ajudar a defender a rede contra ataques cibernéticos.
As preocupações do público com a segurança da rede são mais justificadas do que nunca. Mas acredito que minimizar o risco de um ataque catastrófico à infraestrutura está ao nosso alcance. Tudo o que será necessário é que as concessionárias eduquem seus funcionários sobre a segurança do sistema enquanto o governo atualiza suas regras e práticas – e que todos os envolvidos continuem fazendo o que puderem para evitar interrupções de todos os tipos e restaurar a energia o mais rápido possível quando ocorrerem interrupções, apesar desses esforços.
Nota do editor: Este artigo foi atualizado em 24 de julho de 2018 para adicionar notícias sobre a escala do hacking e a descoberta de que os hackers usaram ataques de watering hole.
Este artigo foi publicado originalmente no The Conversation. Leia o artigo original.