Mesmo com toda a automação, o fator humano ainda pode colocar os processos industriais em risco: ações não intencionais ou erros de funcionários foram responsáveis por 33% dos incidentes que afetaram as redes de tecnologia operacional e sistemas de controle industrial (TO/ICS) no ano passado na América Latina. Essa é a conclusão do recente relatório da Kaspersky “O estado da cibersegurança industrial em 2019”* , que detalha essa questão mostrando que ela faz parte de um contexto muito mais amplo e complicado. A crescente complexidade das infraestruturas industriais exige proteção e habilidades avançadas, porém as organizações estão enfrentando falta de profissionais para lidar com novas ameaças e um baixo nível de conscientização sobre esses perigos entre os funcionários.
A transformação das redes industriais e a adoção dos padrões da Indústria 4.0 são foco em diversos segmentos. Cerca de 61% das organizações latino-americanas consideram a digitalização das redes operacionais como uma tarefa importante ou muito importante para este ano. No entanto, existem riscos de cibersegurança associados a cada benefício relacionado à infraestrutura.
A boa notícia é que a cibersegurança de TO/ICS está se tornando prioridade na indústria, o que foi confirmado por mais de dois terços (69%) dos respondentes na região. Alinhado com esta declaração, um pouco mais da metade das empresas latino-americanas (54%) já contam com orçamento direcionado para cibersegurança industrial. Mas, para alcançar a maturidade necessária de proteção, elas precisam investir em medidas específicas e ter profissionais qualificados para ter eficiência.
A qualidade das equipes é uma questão crítica. As organizações não só enfrentam a falta de especialistas em cibersegurança com habilidades adequadas para administrar a proteção de redes industriais, como também têm a preocupação com os operadores de redes TO/ICS, já que eles podem não estar alinhados aos comportamentos capazes de gerar violações de cibersegurança. Esses desafios são as duas principais preocupações relacionadas ao gerenciamento da cibersegurança e, até certo ponto, explicam porque os erros de funcionários causam 33% dos incidentes no ICS, como as infecções por malware e também ataques direcionados mais graves.
Em cerca de 31% das empresas latino-americanas, o funcionário responsável pela segurança da infraestrutura de TI também supervisiona a segurança das redes de TO/ ICS, e essa tarefa se associa a outras responsabilidades importantes. Essa abordagem pode acarretar riscos à segurança: embora as redes operacionais e corporativas estejam se tornando cada vez mais conectadas, os especialistas de cada lado têm condutas (12%) e metas (12%) diferentes em relação à cibersegurança.
“Nossa pesquisa mostra que as empresas estão melhorando a proteção de redes industriais. No entanto, elas precisam superar a falta de qualificação das equipes e mitigar os erros de funcionários. A adoção de uma abordagem que englobe vários níveis, associando proteção técnica com treinamentos regulares dos especialistas em segurança de TI e das equipes operacionais de redes industriais, garantirá que as infraestruturas estejam sempre protegidas contra ameaças e que as qualificações sejam sempre renovadas”, afirma Georgy Shebuldaev, gerente da Kaspersky Industrial Cybersecurity.
Além dos treinamentos técnicos e de conscientização sobre a cibersegurança industrial, as organizações precisam também considerar uma proteção específica para a IoT industrial, que pode ter muitas conexões externas. Apenas uma pequena parte das empresas latino-americanas (23%) está ou estará pronta nos próximos 12 meses para conectar suas redes de TO/ICS à nuvem com manutenção preventiva ou digital twins.
“Como mostra a pesquisa do ARC Advisory Group realizada para a Kaspersky, a crescente interconexão entre os ativos de rede IIoT e os serviços de nuvem continuam sendo um desafio de segurança. Isso foi um fator importante para a criação da IIC Industrial Internet of Things Security Framework (Estrutura de segurança da Internet das Coisas industrial), assim como os subsequentes documentos de melhores práticas e o recente manual do Modelo de Maturidade de Segurança da IoT”, afirma Dr. Jesus Molina, presidente do IIC Security Working Group e diretor de desenvolvimento de negócios da Waterfall Security Solutions.
