A agência nacional de segurança cibernética do Canadá emitiu um alerta às organizações responsáveis pela infraestrutura vital, instando-as a adotar medidas de segurança adicionais, incluindo autenticação obrigatória de dois fatores, após uma série de incidentes envolvendo sistemas de controle industrial acessíveis pela Internet. O Centro Canadense de Segurança Cibernética (Cyber Centre) e a Real Polícia Montada do Canadá (RCMP) receberam recentemente relatos de acesso não autorizado em várias instalações, incluindo uma estação de tratamento de água, uma empresa de petróleo e gás e um local agrícola.
Em um caso, uma instalação de água experimentou valores de pressão adulterados, resultando em serviço degradado. Outro incidente envolveu uma empresa de petróleo e gás onde a manipulação de um medidor de tanque automatizado acionou alarmes falsos. Um terceiro caso viu hackers interferirem nos controles de temperatura e umidade em um silo de secagem de grãos, o que poderia ter apresentado condições inseguras se não fosse detectado imediatamente. Esses eventos ressaltam o fato de que, mesmo quando a infraestrutura crítica permanece operacional, os invasores ainda podem infligir riscos físicos ou danos à reputação.
O advisory divulgado pelo Centro Canadense de Segurança Cibernética destaca que os invasores parecem contar com acesso oportunista a dispositivos diretamente visíveis na Internet, incluindo controladores lógicos programáveis (PLCs), unidades terminais remotas (RTUs), interfaces homem-máquina (IHMs), controle de supervisão e aquisição de dados (SCADA) sistemas e sistemas de gerenciamento de edifícios. O documento enfatiza que, embora nenhum ator específico patrocinado pelo Estado tenha sido identificado, essas campanhas hacktivistas estão cada vez mais visando a infraestrutura física para criar interrupções, alarme social ou danos à reputação.
Como os sistemas de controle industrial agora estão comumente conectados à Internet para fornecer acesso remoto, monitoramento ou suporte ao fornecedor, eles apresentam um alvo tentador para os agentes de ameaças. O Cyber Center alerta que o design e a implantação de muitos desses sistemas não priorizaram originalmente a segurança cibernética, o que significa que credenciais padrão ou fracas, serviços expostos e falta de segmentação de rede permanecem predominantes. Uma vez acessados, esses sistemas podem ser manipulados ou usados como um ponto de pivô para outras redes operacionais.
Em resposta a esses incidentes, a agência está recomendando que os proprietários de infraestrutura tomem medidas imediatas. Isso inclui a realização de um inventário completo de todos os dispositivos ICS acessíveis pela Internet e a avaliação se eles devem permanecer expostos. Onde a exposição direta não pode ser eliminada, as organizações são aconselhadas a implementar uma rede privada virtual com autenticação de dois fatores para acesso remoto, implantar ferramentas de prevenção e detecção de intrusão, realizar testes regulares de penetração e manter o gerenciamento contínuo de vulnerabilidades. Municípios e concessionárias menores que podem não ter supervisão formal da segurança cibernética são instados a coordenar com os provedores de serviços e confirmar que os dispositivos gerenciados pelo fornecedor são configurados com segurança e mantidos durante todo o ciclo de vida.
Uma das recomendações específicas enfatiza o papel da autenticação de dois fatores, ou 2FA, para acesso remoto e administrativo a sistemas de infraestrutura. Ao exigir um segundo método de verificação além de uma senha, as organizações podem reduzir significativamente o risco de acesso não autorizado resultante de roubo de credenciais ou phishing. O alerta do Cyber Center coloca o 2FA na frente e no centro como um controle básico, mas vital, na proteção de redes de infraestrutura crítica.
As organizações que lidam com serviços vitais agora enfrentam maior exposição porque os componentes da infraestrutura estão cada vez mais interconectados e a combinação de tecnologia da informação e redes de tecnologia operacional cresceu. O comprometimento de um dispositivo pode resultar em um acesso mais amplo ao sistema, possível interrupção do serviço ou incidentes críticos de segurança. Especialistas dizem que a segurança física se entrelaça com a segurança cibernética quando a pressão da água, os níveis de combustível ou as condições ambientais são manipulados por invasores.
O alerta também enfatiza que os hacktivistas podem não apenas buscar ganhos financeiros, mas também buscar visibilidade, minar a confiança ou criar alarme público. Ao atacar dispositivos conectados à Internet em energia, agricultura ou gestão de água, os adversários podem fazer uma declaração enquanto evitam a destruição em larga escala, o que, por sua vez, pode diminuir a detecção imediata. Essas táticas enfatizam a necessidade de monitoramento vigilante de eventos técnicos incomuns e comportamento físico anormal da planta.
Como resultado desse aviso, os operadores de infraestrutura e organizações municipais do Canadá estão sendo solicitados a revisar sua postura de segurança, verificar os registros de acesso remoto, garantir que as contas administrativas sejam bloqueadas e aplicar a autenticação multifator sempre que possível. O Cyber Center enfatiza que os controles e o monitoramento de acesso só são eficazes quando apoiados por governança, planejamento de resposta a incidentes e coordenação clara entre as equipes de TI e tecnologia operacional.
Embora o alerta não atribua os incidentes a nenhuma nação ou grupo em particular, ele reflete a tendência global mais ampla de campanhas direcionadas à infraestrutura por atores que buscam explorar sistemas operacionais expostos. Esses desenvolvimentos desencadearam uma atenção renovada em todos os setores, incluindo água, alimentos, manufatura e energia. O governo canadense está usando este momento para pressionar as organizações a tratar a segurança cibernética para infraestrutura como uma questão de segurança pública e resiliência nacional.
Em resumo, o aviso do Cyber Center deve ser tomado pelos provedores de infraestrutura como um apelo à ação. Com vários incidentes já relatados e a crescente conectividade dos sistemas industriais, o quadro de risco nunca foi tão urgente. Autenticação de dois fatores, controles de acesso remoto, inventário de dispositivos expostos e supervisão integrada de fornecedores representam etapas fundamentais para proteger a segurança nacional e a continuidade do serviço dos setores críticos do Canadá.