Guia para a segurança cibernética de serviços públicos

As infraestruturas de energia e de serviços de água eram antes dominadas por subestações, estações de tratamento de água, gasodutos e outros ativos físicos. Agora, medidores inteligentes, sensores, redes de dados complexas e outros sistemas digitais também são necessários para fornecer serviços com segurança e confiabilidade. Essa mudança ajudou as concessionárias de serviços públicos a melhorar a eficiência e o relacionamento com o cliente, mas também as tornou mais vulneráveis ​​a ameaças cibernéticas. Este artigo explorará os principais desafios e ameaças enfrentados pelas concessionárias de serviços públicos, bem como as melhores práticas para proteger seus dados e infraestrutura crítica.

O que é segurança cibernética para serviços públicos?

A segurança cibernética para serviços públicos é a tecnologia e as melhores práticas nas quais as empresas de energia e água confiam para proteger suas redes, sistemas de tubulação, sistemas de controle, aplicações corporativas e outros ativos digitais contra ataques cibernéticos.

Um forte programa de segurança cibernética ajuda as concessionárias a manter seus sistemas funcionando sem problemas, proteger a integridade dos sinais de controle, proteger os dados operacionais e do cliente e criar resiliência para que os sistemas possam se recuperar rapidamente após um incidente.

Principais conclusões

• As concessionárias de serviços públicos concentram seus esforços de segurança cibernética em várias frentes: aplicações para finanças, gerenciamento da cadeia de suprimentos, RH e gerenciamento de relacionamento com o cliente, além de sistemas operacionais que gerenciam usinas de energia, redes de transmissão e distribuição, instalações de tratamento de água e sistemas de tubulações.
• Ataques de ransomware e ataques por parte de nações-estado são as ameaças cibernéticas mais graves que as concessionárias de serviços públicos enfrentam. Um ataque bem-sucedido pode interromper serviços essenciais para toda uma região.
• Concessionárias de serviços públicos devem fornecer regularmente aos funcionários treinamento em segurança de dados adaptado às suas funções específicas e desenvolver planos de resposta a incidentes que sejam rotineiramente testados e atualizados.

Segurança cibernética para serviços públicos explicada

As concessionárias de serviços públicos se tornaram os principais alvos, tanto de cibercriminosos quanto de agentes estatais. Os grupos de ransomware buscam ganhos financeiros rápidos, enquanto governos hostis visam provocar impactos de longo prazo. Os pontos de entrada comuns para esses ataques incluem fornecedores terceirizados comprometidos, ativos vulneráveis acessíveis pela internet, táticas de engenharia social e uso indevido de privilégios de acesso por funcionários internos. A convergência das redes de TI e de tecnologia operacional (TO) introduziu novas vulnerabilidades, permitindo que os invasores migrem de sistemas financeiros, de cadeia de suprimentos e outros sistemas empresariais para sistemas de controle que gerenciam o fluxo de eletricidade, a segurança da água e as operações de sistemas de tubulação.

Se uma empresa de serviços públicos for vítima de um ataque cibernético, isso pode causar problemas para milhões de pessoas, como cortes de energia, escassez de água, danos ambientais e até contaminação da água. Os ataques cibernéticos, como ransomware, phishing e violações da cadeia de suprimentos, estão se tornando cada vez mais sofisticados. Mesmo organizações com defesas robustas precisam atualizar continuamente suas estratégias para se proteger, detectar e responder a essas ameaças em constante evolução. As concessionárias de serviços públicos estão começando a buscar sistemas operacionais e de negócios baseados em nuvem para aprimorar a segurança cibernética, aproveitando a capacidade de ampliar facilmente os recursos de monitoramento de segurança e backup durante picos de ataques. As plataformas de nuvem estão incorporando cada vez mais recursos de segurança orientados por IA que podem identificar rapidamente atividades incomuns, incluindo tentativas de login suspeitas ou ataques de malware, muito mais rápido do que os sistemas legados. Gerenciar a segurança local em vários locais pode levar a inconsistências, já que cada um deles pode lidar com atualizações e patches de maneira diferente. Por outro lado, a segurança baseada em nuvem oferece gerenciamento centralizado, permitindo que atualizações e patches sejam aplicados de forma uniforme e regular em todos os locais.

Por que a segurança cibernética para serviços públicos é importante?

As concessionárias de serviços públicos fornecem serviços essenciais, como eletricidade, água e gás, dos quais todos dependemos diariamente. Um ataque cibernético a esses sistemas não é apenas um problema técnico. A falta de serviços públicos pode comprometer a segurança pública, prejudicar a estabilidade econômica e até mesmo ameaçar a segurança nacional.

De acordo com a Agência de Proteção Ambiental dos EUA, o país possui cerca de 150.000 sistemas públicos de abastecimento de água e 16.000 sistemas públicos de tratamento de águas residuais, sendo que 97% dessas instalações atendem a 10.000 ou menos clientes. Muitos desses operadores de serviços públicos enfrentam desafios significativos no gerenciamento de sua infraestrutura crítica devido a orçamentos limitados e pequenas equipes de TI ou segurança. Essa situação pode ser bastante assustadora, principalmente quando os ataques virtuais atingem seus sistemas de tecnologia da informação e operação. Quando muitas empresas recorrem a prestadores de serviços, fornecedores e distribuidores terceirizados, isso pode aumentar as vulnerabilidades.

Em 2023, diversas agências governamentais divulgaram um alerta de segurança cibernética detalhando ataques a sistemas globais de água e esgoto por uma organização militar iraniana. Os invasores obtiveram acesso a essas instalações explorando dispositivos conectados à internet que ainda possuíam senhas padrão, as quais deveriam ter sido alteradas antes de os dispositivos serem conectados à internet e não deveriam ter sido conectados diretamente a ela. Nesses casos, os invasores pareciam estar interessados ​​apenas em enviar uma mensagem de viés político. No entanto, as violações destacaram o potencial de danos significativos, pois poderiam ter como objetivo danificar sistemas operacionais que controlam bombas, turbinas e válvulas de liberação, levando a incêndios, inundações ou contaminação.

Além disso, ataques a sistemas de faturamento, CRM, cadeia de suprimentos e outros sistemas de negócios de concessionárias de serviços públicos podem expor dados sensíveis de clientes e parceiros, resultando em fraudes, roubo de identidade, penalidades regulatórias e diminuição da confiança na marca. Em particular, os padrões de uso vazados representam um risco à segurança física, revelando horários em que uma residência normalmente está desocupada ou quando uma empresa está sem funcionários.

Desafios da segurança cibernética para serviços públicos

As concessionárias de serviços públicos são consideradas alvos de alto valor e alto impacto, mas muitas vezes utilizam softwares desatualizados em suas redes operacionais, oferecendo aos cibercriminosos um meio de entrada facilitado. Veja a seguir os principais desafios de segurança cibernética para concessionárias de serviços públicos.

• Infraestrutura legada. Muitas concessionárias de serviços públicos ainda operam com infraestrutura obsoleta que não possuem defesas de segurança cibernética, transformando-as nos principais alvos de ataques cibernéticos. Esses sistemas legados, muitas vezes executados em sistemas operacionais sem suporte, são difíceis de atualizar e corrigir, deixando lacunas de segurança significativas.
• Convergência de TI e TO. Os sistemas de tecnologia operacional (TO) eram isolados, proporcionando uma defesa natural contra ataques externos. Mas, à medida que os serviços públicos integram a TO aos sistemas de TI, por exemplo, para leitura automatizada de medidores ou para identificar possíveis falhas de equipamento, as oportunidades são abertas para que os hackers entrem nos sistemas de TO por meio de sistemas de TI.
• Ataques de ransomware. O ransomware existe há décadas. Mas, nos últimos 15 anos, esses ataques se tornaram mais sofisticados e difundidos. O aumento das criptomoedas tornou mais fácil para os invasores receberem pagamentos de resgate não rastreáveis. As concessionárias de serviços públicos são alvos particularmente atraentes porque a interrupção dos serviços de água e energia pode ter consequências graves para regiões inteiras. Os cibercriminosos sabem que elas enfrentarão imensa pressão para restabelecer as operações rapidamente, tornando-as mais propensas a pagar resgates. Além disso, muitas dessas concessionárias ainda dependem de sistemas operacionais obsoletos que não possuem as defesas necessárias contra ataques cada vez mais sofisticados.
• Ameaça interna. Funcionários insatisfeitos podem sabotar sistemas intencionalmente, vazar dados confidenciais ou introduzir malware, enquanto funcionários bem-intencionados podem, inadvertidamente, causar uma violação de segurança ao caírem em golpes de phishing ou ao lidarem incorretamente com informações confidenciais.
• Recursos limitados. Muitas concessionárias de serviços públicos, especialmente aquelas que atendem áreas pequenas e remotas, operam com orçamentos limitados e têm dificuldade em atrair profissionais qualificados de TI e segurança cibernética. Isso geralmente leva a equipes de segurança com poucos funcionários, financiamento insuficiente para ferramentas de segurança avançadas e uma abordagem reativa, em vez de proativa, à segurança cibernética.
• Conformidade regulatória. As concessionárias de serviços públicos são obrigadas a acompanhar a evolução das regulamentações governamentais de segurança de dados, o que pode consumir tempo e recursos. Entretanto, essas regulamentações muitas vezes ficam atrás das ameaças emergentes e normalmente estabelecem apenas padrões mínimos, potencialmente deixando lacunas que os hackers podem explorar.
• Necessidade de resposta em tempo real. As concessionárias de serviços públicos devem lidar rapidamente com eventos operacionais, como flutuações na rede elétrica, mudanças na pressão da água e anomalias em sistemas de tubulação, mantendo ao mesmo tempo uma forte vigilância em segurança cibernética. Por exemplo, as concessionárias de serviços públicos podem aplicar ferramentas de segurança que segmentem efetivamente seus sistemas de TI e TO, de modo que os invasores não consigam entrar nos sistemas de TI (que normalmente são menos protegidos do que os sistemas de TO) e, em seguida, acessar os sistemas de TO que armazenam controles e recursos críticos do sistema. Os sistemas de monitoramento contínuo e inteligência de ameaças ajudam os serviços públicos a antecipar e responder rapidamente a possíveis ataques.
• A Internet das Coisas e a exposição à rede inteligente. Com o uso generalizado de medidores inteligentes, nós de comunicação, sensores de rede, linhas de energia controladas remotamente e outros dispositivos IoT, os cibercriminosos têm inúmeros pontos de entrada para roubar dados ou causar danos físicos.
• Riscos de privacidade de dados. Quando se trata de coletar e armazenar grandes quantidades de dados de clientes e outras informações, as concessionárias de serviços públicos ainda não estão no mesmo nível das grandes empresas de redes sociais, comércio eletrônico e serviços financeiros. Mas elas estão progredindo nessa classificação ao começarem a usar medidores inteligentes, aplicações de CRM e outros sistemas de coleta de dados, criando o desafio de manter esses dados privados. Por exemplo, os medidores inteligentes coletam dados detalhados de consumo de energia que, se acessados por hackers, podem revelar quando os moradores estão ausentes, aumentando potencialmente o risco de invasões. As concessionárias que não protegem essas informações sensíveis colocam em risco a privacidade do cliente e enfrentam possíveis violações regulatórias, processos judiciais e danos à sua reputação.

10 principais ameaças à segurança cibernética de serviços públicos

As concessionárias de serviços públicos estão cada vez mais vulneráveis ​​a ataques cibernéticos devido aos seguintes fatores:

1. Ataques de ransomware. Em um ataque de ransomware, os cibercriminosos implementam software malicioso para criptografar os dados de uma rede, tornando-os inacessíveis até que um resgate, geralmente em criptomoeda, seja pago. Esses ataques podem ser particularmente devastadores para as concessionárias de serviços públicos, pois podem levar a apagões, contaminação da água e interrupções no fornecimento de energia, o que representa ameaças significativas à segurança pública.
2. Phishing e engenharia social. Os funcionários das concessionárias de serviços públicos podem, inadvertidamente, colocar em risco os sistemas de rede ao caírem em golpes de phishing e outras formas de engenharia social, que envolvem a manipulação de indivíduos para que divulguem informações confidenciais ou executem ações que concedam aos criminosos acesso a sistemas e dados proprietários.
3. Ameaças internas (maliciosas ou negligentes). As ameaças internas são uma grande preocupação para as concessionárias de serviços públicos, pois muitos funcionários têm acesso privilegiado a sistemas críticos que não podem ser facilmente desativados. Funcionários mal-intencionados, como aqueles insatisfeitos, podem usar esse acesso indevidamente, excluindo dados, alterando configurações de controle ou danificando equipamentos. Além disso, funcionários negligentes podem comprometer a segurança inadvertidamente, caindo em golpes de phishing (veja a ameaça nº 2 acima) ou configurando sistemas incorretamente durante manutenções ou atualizações, criando vulnerabilidades que podem ser exploradas por invasores.
4. Vulnerabilidade da cadeia de suprimentos. As concessionárias de serviços públicos dependem de uma complexa rede de fornecedores, incluindo desenvolvedores de software, fabricantes de dispositivos inteligentes, fornecedores de sistemas de controle, contratados de manutenção de infraestrutura e empresas de faturamento, cada um potencialmente servindo como ponto de entrada para ataques cibernéticos. Uma pesquisa realizada em 2024 pela SecurityScorecard e pela KPMG constatou que 45% das violações de segurança do setor ocorreram por meio de fornecedores terceirizados. Além disso, uma pesquisa publicada pela DNV Cyber ​​descobriu que apenas cerca de metade dos profissionais de infraestrutura crítica entrevistados estavam confiantes de que sua organização tinha boa visibilidade das vulnerabilidades de sua cadeia de suprimentos.
5. Software sem patches e sistemas legados. Muitas concessionárias de serviços públicos dependem de sistemas legados que operam com software desatualizado ou sem suporte. Quando os invasores descobrem uma vulnerabilidade de segurança, essas empresas podem não ter como corrigi-la rapidamente.
6. Ataque de negação de serviço distribuído (DDoS). Um ataque DDoS envolve sobrecarregar a rede de uma concessionária de serviços públicos com tráfego excessivo, interrompendo as operações e desviando a atenção das equipes de segurança. Ao visar portais de clientes, sistemas de faturamento ou até mesmo pontos de entrada de tecnologia operacional (OT), esses ataques podem incapacitar servidores ou redes, levando a interrupções de serviço. Tais ataques podem servir como atos de vandalismo malicioso ou como distrações para mascarar intrusões mais sofisticadas destinadas a obter algo de valor da organização atingida.
7. Ameaças persistentes avançadas (APTs). As APTs são ataques cibernéticos sofisticados em que invasores obtêm acesso não autorizado a um sistema e permanecem sem serem detectados por um longo período, às vezes meses ou até anos. O principal objetivo é manter o acesso prolongado a dados e sistemas confidenciais. As APTs são frequentemente orquestradas por sindicatos do crime organizado, grupos terroristas ou estados-nação com motivações como espionagem, sabotagem ou desordem social.
8. Acesso de terceiros comprometido. As concessionárias de serviços públicos dependem fortemente de fornecedores, prestadores de serviços e contratados de TI para implementações, manutenção e atualizações de sistemas. Essa dependência abre novos caminhos para que os cibercriminosos se infiltrem em sistemas em rede, já que muitas vezes é mais fácil invadir um parceiro mais vulnerável do que atacar diretamente a concessionária.
9. IoT e vulnerabilidades de rede inteligente. À medida que as concessionárias integram sensores e dispositivos inteligentes em sua infraestrutura, elas inadvertidamente expandem o número de pontos de entrada potenciais para ataques cibernéticos sem necessariamente atualizar a segurança cibernética subjacente. Os invasores podem tirar proveito desse ambiente de ataque ampliado para entrar por um ponto fraco.
10. Violações de dados e acesso não autorizado. Violações de dados e acesso não autorizado representam desafios significativos para as concessionárias, que devem proteger informações confidenciais de clientes e as redes críticas que controlam a infraestrutura física. Mesmo quando rapidamente contida, uma única violação pode enfraquecer a confiança do consumidor, aumentar os prêmios de seguro das concessionárias e provocar um maior escrutínio regulatório.

10 melhores práticas de segurança cibernética em serviços públicos

A cibersegurança é um desafio multifacetado, e os líderes do setor de serviços públicos não podem abordá-la de forma isolada. Estratégias eficazes devem integrar tecnologia, treinamento de funcionários, conformidade regulatória e parcerias estratégicas com fornecedores de tecnologia e agências governamentais. Veja as 10 melhores práticas para aprimorar a segurança cibernética de empresas de serviços públicos:

1. Implemente uma arquitetura de segurança em várias camadas. Em um nível básico, a segurança em várias camadas envolve a implementação de firewalls e sistemas de detecção/prevenção de ataques para proteger o perímetro, gateways para proteger os limites entre sistemas de TI e OT, microsegmentação dentro de redes OT para isolar ativos críticos, como sistemas de controle de geração e controle de distribuição; e segurança de endpoint para ajudar a impedir que invasores entrem por meio de aplicações desprotegidas e sem patches.
   
2. Segmente redes de TI e TO. Ao reduzir a abordagem multicamadas descrita acima a uma única camada, as empresas de serviços públicos podem restringir a movimentação de invasores entre as redes de TI e TO, minimizando os danos a ativos críticos. Isso envolve a criação de zonas distintas dentro da rede, cada qual com seus controles de acesso específicos. Por exemplo, as redes de TI devem ser segmentadas para limitar o acesso direto à internet, enquanto as redes de TO devem ter segmentos dedicados com acesso limitado a ativos críticos. Dispositivos críticos, como aqueles que controlam geradores de energia, dutos de transporte ou bombas de tratamento de água, devem ser isolados das conexões públicas com a internet. Se o acesso remoto for necessário, ele deve ser facilitado por meio de conexões seguras e privadas.
   
3. Problemas operacionais e técnicos. A maioria dos bancos também precisa enfrentar os desafios de integração de sistemas, pois os dados armazenados em mainframes e outros sistemas legados geralmente não estão prontos para serem processados pela IA. Os bancos também enfrentam dificuldades para manter dados de alta qualidade sobre seus clientes, principalmente os mais antigos, cujo histórico pode estar parcialmente armazenado em formatos não padronizados e retirados de formulários impressos, de acordo com a consultoria McKinsey & Company.
   
4. Atualize e aplique patches regularmente aos sistemas. As concessionárias de serviços públicos devem manter um inventário completo de todos os ativos digitais, tanto on-premises quanto na nuvem, e ter um programa para garantir que todos os sistemas (aplicações, bancos de dados e sistemas operacionais) estejam atualizados e configurados corretamente, e que os patches de segurança sejam aplicados em tempo hábil.
   
5. Use autenticação e controles de acesso rigorosos. Exija autenticação multifator para todo acesso remoto aos recursos. Melhor ainda, incorpore métodos de autenticação biométrica sempre que possível. Implemente controles de acesso baseados em funções para que os funcionários tenham apenas os níveis mínimos de privilégio necessários para desempenhar suas funções. As organizações também podem adotar uma estratégia de acesso just-in-time, que concede aos usuários acesso temporário e por tempo limitado a sistemas e dados específicos quando necessário.
6. Conduza monitoramento contínuo e detecção de ameaças. Estabelecer centros de operações de segurança que funcionem 24 horas por dia, 7 dias por semana, ou terceirizar as funções de detecção e resposta, ajuda as empresas de serviços públicos a identificar ameaças antes que elas possam interromper sistemas e redes. As ferramentas de segurança de sistemas de tecnologia operacional (OT) podem detectar violações de dados e anomalias sem introduzir latência ou interromper operações críticas. A inteligência artificial (IA) pode aprimorar esses recursos analisando dados em tempo real para identificar padrões e anomalias suspeitas, bem como examinando dados históricos de ataques e informações sobre ameaças para prever possíveis ataques futuros.
7. Forneça treinamento em segurança cibernética aos funcionários. Treine todos os membros da equipe para identificar tentativas de phishing e outras atividades suspeitas e certifique-se de que eles entendam a importância de proteger seus dispositivos pessoais. É fundamental estabelecer canais claros e acessíveis para que os funcionários possam relatar incidentes de forma imediata, antes que os ataques se propaguem.
8. Desenvolva e teste planos de resposta a incidentes. Os planos de resposta a incidentes devem abranger sistemas de TI e TO, incluindo sistemas legados que podem não possuir controles de segurança integrados. Esses planos devem definir o que é considerado um incidente, por exemplo, malware, tentativas de phishing, ransomware e erros internos, e atribuir uma cadeia de comando clara para determinar quem pode desconectar ou desligar sistemas, contatar órgãos reguladores e acionar as autoridades quando necessário. Teste esses planos por meio de exercícios ou simulações baseadas em discussões.
9. Criptografe dados confidenciais em trânsito e em repouso. As concessionárias de serviços públicos devem identificar seus dados mais sensíveis, especialmente os dados operacionais e de clientes, e criptografá-los. A implementação de protocolos de criptografia para dados em trânsito e em repouso é uma prática recomendada fundamental de segurança.
10. Realize avaliações e auditorias de risco regularmente. As concessionárias de serviços públicos devem alocar seus recursos de segurança de dados com base no impacto potencial de uma violação e agendar auditorias de segurança regulares para avaliar os níveis de detecção de ameaças cibernéticas. Essas auditorias devem incluir avaliações de políticas e procedimentos de governança, verificações regulares de firewalls, sistemas de detecção de intrusão, controles de acesso e processos de criptografia de dados, além de varreduras de vulnerabilidades para identificar possíveis pontos fracos. Avaliações regulares dos planos de resposta a incidentes devem ser realizadas. Esse tipo de avaliação inclui exercícios operacionais e discussões em equipe com o objetivo de simular diferentes tipos de ataques cibernéticos. Como os riscos de terceiros também podem ser altos, muitas empresas usam avaliações de risco de fornecedores, incluindo pesquisas, auditorias e testes de invasão, para avaliar o status de segurança de fornecedores de software, contratados e fabricantes de equipamentos.
11. Colabore com parceiros do setor e do governo. A colaboração com colegas do setor e parceiros governamentais se tornou uma estratégia crucial para as concessionárias de serviços públicos no combate às ameaças cibernéticas. Essas concessionárias podem participar de exercícios nacionais ou regionais que simulam ataques cibernéticos em larga escala para testar seus planos de resposta, protocolos de comunicação e as capacidades de suas equipes. Elas também podem colaborar com fornecedores de tecnologia, agências federais de aplicação da lei e instituições de ensino para identificar e testar soluções emergentes, como modelos de segurança de confiança zero e monitoramento de segurança baseado em inteligência artificial. Além disso, as concessionárias de serviços públicos devem considerar a participação em organizações de compartilhamento de dados específicas do setor, como o Electricity Information Sharing and Analysis Center (E-ISAC) e o WaterISAC, para obter uma visão mais ampla de informações sobre ameaças, vulnerabilidades e relatórios de incidentes em tempo real.

Melhore a segurança e a resiliência com a Oracle Cloud

No cenário digital atual, os serviços públicos enfrentam desafios de segurança únicos que exigem soluções especializadas. O Oracle Utilities oferece aplicações especificamente projetados para ajudar a atender a essas necessidades, fornecendo recursos de segurança robustos adaptados para serviços públicos. Desenvolvidas na Oracle Cloud Infrastructure, essas soluções incorporam recursos de segurança avançados, incluindo IA. Ao aproveitar a experiência da Oracle, as concessionárias de serviços públicos podem operar com segurança, responder rapidamente a possíveis ameaças e manter a confiança das comunidades que atendem.

Perguntas frequentes sobre segurança cibernética para serviços públicos

Qual ​​é a principal ameaça de segurança cibernética que as empresas enfrentam hoje?
É difícil apontar a maior ameaça à segurança cibernética. Entre as mais comuns e potencialmente perigosas estão as ameaças de malware, como ransomware e vírus, bem como as ameaças de engenharia social, como phishing e baiting (um método no qual golpistas enganam as vítimas com táticas de phishing falsas).

Qual ​​é a principal ameaça à segurança cibernética das redes elétricas?
Uma das principais ameaças à segurança cibernética das redes elétricas envolve ataques aos sistemas que gerenciam a geração, transmissão e distribuição de eletricidade. Esses ataques podem levar a apagões generalizados, interrompendo infraestruturas críticas, a segurança pública e a estabilidade econômica.