1o relatório anual ti safe sobre incidentes de segurança em redes de automação brasileiras
DESCRIPTION
Este relatório é uma análise detalhada dos incidentes de segurança em redes de automação brasileiras que busca apresentar a situação das ameaças contra a infraestrutura crítica nacional. O levantamento conta com dados coletados em clientes da TI Safe de 2008 a 2014.TRANSCRIPT
1
1o Relatório Anual TI Safe sobre incidentes de
segurança em redes de automação brasileiras
Maio de 2014
2
Índice Índice .......................................................................................2
Introdução ao relatório................................................................4
Dados quantitativos de incidentes de segurança em redes de
automação Brasileiras .................................................................5
Redes de automação vulneráveis de norte a sul do país ..................7
Malware: o principal vilão das redes de automação.........................8
Falta de Treinamento e conscientização em Segurança SCADA.........9
Conclusão................................................................................ 11
Referências.............................................................................. 13
3
Sobre a TI Safe Segurança da Informação
A TI Safe é uma empresa brasileira fornecedora de produtos e
serviços de qualidade para segurança da informação e redes
industriais. Presente em grandes cidades do país oferece ampla gama
de soluções para empresas e infraestruturas críticas.
O portfólio da empresa conta com oferta de soluções para
governança industrial, segurança de borda de redes de automação,
proteção da rede interna, acesso remoto seguro, segurança de dados
contra espionagem industrial, combate a cyber ameaças e
treinamento (presencial e on-line).
Fundada em março de 2007 e atuando com pioneirismo, a TI Safe
criou no ano de 2008 sua divisão para segurança SCADA e foi a
primeira empresa brasileira a fornecer soluções para a segurança de
redes industriais baseadas nas normas ANSI/ISA-99 e NIST SP 800-
82 através de profissionais provenientes da área de automação, com
reconhecimento técnico e certificações internacionais voltadas para
arquitetura de segurança de sistemas SCADA.
Atualmente a empresa é integrante do comitê internacional da norma
ANSI/ISA-99 que estabelece boas práticas para a segurança de redes
industriais e desenvolve pesquisas nesta área, tendo diversos
trabalhos técnicos publicados e apresentados em eventos nacionais e
internacionais. Conheça um pouco mais do que a TI Safe pode fazer
para garantir a segurança das redes industriais de sua empresa.
Visite o nosso website em www.tisafe.com e nossas redes sociais:
• Twitter: @tisafe
• Youtube: www.youtube.com/tisafevideos
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
4
IntroduçãoIntroduçãoIntroduçãoIntrodução ao relatório ao relatório ao relatório ao relatório
A falta de fontes oficiais de informações sobre incidentes de
segurança em redes industriais e SCADA no Brasil gera uma lacuna
importante no ciclo de proteção destas infraestruturas críticas. Sem
dados estatísticos sobre incidentes, investimentos necessários na
segurança de infraestruturas críticas não são realizados mantendo-as
vulneráveis.
Este relatório é uma análise detalhada dos incidentes de segurança
em redes de automação brasileiras como parte de nossa pesquisa
contínua para compreender a situação das ameaças contra a
infraestrutura crítica nacional. Tem como principal objetivo ser uma
fonte de referência e pesquisa para interessados no tema e orientar
gestores quanto às principais fontes de ameaças e as
vulnerabilidades por elas exploradas.
Todos os dados utilizados para a elaboração relatório foram obtidos a
partir de conteúdos de projetos executados pela TI Safe Segurança
da Informação em seus clientes no Brasil. A esta coletânea
quantitativa de dados sobre incidentes de segurança em plantas
industriais batizamos “TI Safe Security Incident Knowledge Base
(SIKB)”.
É importante frisar que estes dados possuem caráter extremamente
sigiloso e estão protegidos por acordos de confidencialidade que a TI
Safe mantém com seus clientes. Nenhum nome de cliente, projeto,
informação técnica ou financeira está disponível na TI Safe SIKB, que
contém apenas dados quantitativos consolidados, o que não
representa de nenhuma forma uma ameaça à confidencialidade dos
dados de nossos clientes.
5
É relevante ponderar que os dados integrantes da TI Safe SIKB não
correspondem à totalidade dos incidentes de segurança de
automação em plantas industriais brasileiras. Eles representam única
e exclusivamente uma fotografia dos incidentes ocorridos em clientes
da TI Safe no Brasil. Como a grande maioria dos clientes da TI Safe
está localizado nas regiões geográficas sudeste, sul e nordeste, os
dados de incidentes estão mais concentrados nestas regiões.
Os dados apresentados neste relatório foram coletados no período de
Setembro de 2008 a Abril de 2014.
Dados quantitativos de iDados quantitativos de iDados quantitativos de iDados quantitativos de incidentes de sncidentes de sncidentes de sncidentes de segurança em redes de egurança em redes de egurança em redes de egurança em redes de
automação bautomação bautomação bautomação brasileirasrasileirasrasileirasrasileiras
Com mais de 201 milhões de habitantes, o Brasil se classifica como o
país mais populoso da América Latina e o quinto do mundo. A enorme
população do Brasil contribui para sua grande participação de
usuários de Internet, de quase 88,5 milhões1. Segundo relatório
publicado pela OEA (Organização dos Estados Americanos)2, desde
2011, quase duas em cada cinco famílias brasileiras (38%)2 já têm
acesso à Internet. Devido ao tamanho da população, o Brasil se
tornou um imã para os criminosos cibernéticos que veem os usuários
online como um mercado lucrativo para atividades ilegais.
A velocidade média de conexão de banda larga no Brasil continua a
crescer. Mais de um décimo (13%) dos usuários de Internet no país
agora contam com velocidades acima de 4Mbps3. A evolução do Brasil
para uma sociedade mais conectada também serve como um
catalisador para atividades de criminosos cibernéticos sofisticados.
Quanto mais usuários conectados à Internet, e quanto melhor a
velocidade de conexão, maior o número de atacantes interessados
em praticar atividades ilegais na rede mundial de computadores.
6
Gradativamente os grupos hackers que antes somente se
interessavam em atacar bancos e instituições financeiras estão
descobrindo novos alvos em infraestruturas críticas, o que tem
aumentado ano a ano a quantidade de incidentes de segurança
nestes ativos, como mostra a tabela e gráficos a seguir.
Incidentes de
segurança por ano 2008 2009 2010 2011 2012 2013 2014 Total Malware 1 1 2 2 3 7 11 27 Erro Humano 2 2 3 4 3 3 7 24 Falhas em dispositivos 0 0 1 2 4 4 4 15 Sabotagem 0 0 1 0 0 0 1 2 T
ipo
de
Am
eaça
Não identificados 0 1 1 0 1 2 4 9 Tabela 1: Quantidades anuais de incidentes de segurança em redes de automação Brasileiras (dados de
2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
Figura 1: Números consolidados dos Incidentes de Segurança em redes de automação Brasileiras
(Dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
7
Figura 2: Evolução dos Incidentes de Segurança em redes de automação Brasileiras (Dados de 2008 a
2014 – Fonte: TI Safe Security Incident Knowledge Base)
RedRedRedRedes de automação vulneráveis de Nes de automação vulneráveis de Nes de automação vulneráveis de Nes de automação vulneráveis de Norte aorte aorte aorte a S S S Sul do paísul do paísul do paísul do país
O uso de sistemas de controle de processos industriais (SCADA)
conectados à redes corporativas e, em alguns casos conectados à
Internet, expõe estes sistemas à ataques, já que a maioria não
possui recursos mínimos de segurança. Ataques a SCADA não devem
ser vistos como tentativas únicas de roubar dados confidenciais de
indústrias e organismos governamentais. O maior risco nestes
sistemas está ligado à possibilidade da interrupção ou alteração do
comportamento das redes de automação, que pode levar a
consequências catastróficas. O crescimento dos incidentes de
segurança é um fenômeno nacional percebido em todas as regiões
geográficas do país, como mostram a tabela e o gráfico a seguir:
Incidentes de segurança
por ano 2008 2009 2010 2011 2012 2013 2014 Total Norte 0 0 0 0 1 1 1 3 Centro-Oeste 0 0 0 1 0 1 2 4 Sudeste 3 2 4 5 5 9 11 39 Sul 0 1 2 1 3 3 7 17 R
egiõ
es
Geo
gráf
icas
B
rasi
leira
s
Nordeste 0 1 2 1 2 2 6 14 Tabela 2: Incidentes de Segurança em redes de automação por região demográfica Brasileira (dados de
2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
8
Figura 3: Incidentes de Segurança em redes de automação por região demográfica Brasileira (dados de
2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
Malware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automação
Comumente conhecido e generalizado como Vírus, malware agrupa
todo software ou programa criado com a intenção de abrigar funções
para penetrar em sistemas, quebrar regras de segurança, roubar
informações e servir de base para demais operações ilegais e/ou
prejudiciais.4
Worm é um tipo de Malware capaz de se propagar automaticamente
através de redes, enviando cópias de si mesmo de computador para
computador. Diferente do vírus, o worm não embute cópias de si
mesmo em outros programas ou arquivos e não necessita ser
explicitamente executado para se propagar. Sua propagação se dá
através da exploração de vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores.
Um worm pode ser projetado para tomar ações maliciosas após
infectar um sistema, além de se replicar automaticamente, pode
9
deletar arquivos em um sistema ou ser usado para instalação e
propagação de outros softwares maliciosos.
Alguns worms são inteligentes e não possuem toda sua carga
maliciosa no momento da infecção. Estes primeiro verificam o host,
suas contramedidas e as desligam ou desativam antes de baixar o
restante de sua carga maliciosa.
A partir disso, um worm pode tornar o computador infectado
vulnerável a outros ataques mudando diversas configurações do
sistema, removendo patches ou aplicando novos patches que
desfaçam patches passados. Worms podem provocar danos às redes
de controle apenas com o tráfego gerado pela sua reprodução
(conhecido como ruído).
Em nosso levantamento, o Worm "Conficker Win 32"5, dominou a
contagem de malware em plantas de automação no Brasil de 2008 a
2014, tendo sido o responsável por 14 das 27 infecções computadas.
Esta alta incidência mostra que a maioria das redes de automação no
país não possui recursos mínimos de segurança contra malware,
contendo máquinas sem antivírus e com patches na maioria das
vezes desatualizados, quando existem. Este frágil cenário se deve
basicamente a dois fatores: a demora dos fabricantes em liberar e
testar patches após eles terem sido liberados e a falta de políticas e
boas práticas de segurança da informação em redes de automação.
Falta de TreiFalta de TreiFalta de TreiFalta de Treinamento namento namento namento e conscientização e conscientização e conscientização e conscientização em Segurança SCADAem Segurança SCADAem Segurança SCADAem Segurança SCADA
Baseado em uma pesquisa6 sobre o crime cibernético de 2011, mais
da metade (57%) das empresas no Brasil não tem os recursos ou
sabe se são capazes de investigar o crime cibernético. Exatamente a
metade (50%) também desconhecia se suas empresas podiam
10
detectar e prevenir o crime cibernético. Dois entre cinco brasileiros
pesquisados também disseram não ter recebido treinamento em
segurança cibernética em 2011. Este número foi obtido
exclusivamente a partir de depoimentos de usuários de redes de T.I.
(Tecnologia da Informação), também conhecidas como redes
corporativas. Devido a fatores culturais e também pela exposição
direta à internet, as redes corporativas adotam uma melhor prática
de treinamento e conscientização quanto às ameaças cibernéticas.
O mesmo não ocorre com os usuários de redes de automação, que
raramente tem acesso a treinamentos sobre segurança SCADA, não
recebendo capacitação adequada e aumentando muito o risco de
incidentes de segurança nestas redes.
Desde 2010 a TI Safe tem oferecido de forma pioneira a “Formação
em Segurança de Automação Industrial"7, primeira formação em
segurança SCADA em língua portuguesa e que hoje conta com pouco
mais de 400 alunos formados. Em um país que possui
aproximadamente 31.000 plantas de automação de diferentes
tamanhos, este número de alunos treinados ainda é absolutamente
inexpressivo.
Figura 4: Número de alunos capacitados pela TI Safe de 2010 a 2014.
11
A falta de capacitação e conscientização dos usuários das redes de
automação é um dos fatores responsáveis pela alta taxa de erros
humanos computados em nossa análise. As infraestruturas críticas
deveriam elaborar planos anuais de treinamento e capacitação de
seus funcionários em segurança de automação industrial, da mesma
forma como já é feito para os usuários das redes corporativas no que
tange à segurança das informações.
ConclusãoConclusãoConclusãoConclusão
O desenvolvimento da economia brasileira fez o país alcançar um
lugar de destaque no cenário internacional nos últimos anos. Somado
a este crescimento está o fato do país estar sediando eventos globais
como a copa do mundo de 2014 e as olimpíadas de 2016. Estes
fatores colocam o país na berlinda dos ataques cibernéticos de todas
as ordens, incluindo ataques às suas infraestruturas críticas.
Ano a ano a quantidade de ataques tem crescido de forma
exponencial. Somente nos 4 primeiros meses de 2014 já foram
computados mais incidentes de segurança em redes de automação do
que em todo o ano de 2013.
Além disso o país já conta com 2 casos comprovados de sabotagem
cibernética que ocasionaram graves incidentes de segurança em
plantas industriais. Se por um lado ocorre o crescimento dos
incidentes de segurança em redes de automação de norte a sul do
país, por outro lado os investimentos em segurança de automação
ainda minguam e ficam muito aquém do necessário.
A falta de uma educação ampla e básica para os usuários e gestores
de plantas de automação facilita a ocorrência de erros humanos e a
12
ação de invasores que utilizam táticas de engenharia social para
executar suas atividades. Ataques de baixa sofisticação e malwares
caseiros tem provocado danos substanciais aos sistemas SCADA
desprotegidos.
Finalmente percebemos que ainda existe um senso de segurança por
desconhecimento do risco em grande parte das plantas de automação
nacionais. Gestores de automação ainda acreditam que nada de
errado irá acontecer às suas redes de automação baseados no fato
que “nos últimos 30 anos nada de errado aconteceu, porque iria
acontecer agora?”. Além disso notamos uma grande inversão de
valores no que diz respeito aos investimentos em segurança da
informação. As infraestruturas críticas acabam por investir bem mais
na segurança das redes de T.I. do que nas redes de automação que
são o coração do negócio de suas empresas.
Enquanto o cenário das ameaças e da economia do submundo é de
crescimento no Brasil, o governo e as agências legais ainda tomam
atitudes tímidas. Embora tenha havido um avanço na área de
legislação com a aprovação do Marco Civil da Internet, ainda está
claro que é preciso mais em termos de recrutamento e treinamento
de especialistas de segurança cibernética para a imposição de normas
mais rígidas que possam ajudar a reforçar a segurança das
infraestruturas críticas nacionais.
É notório que há carência na ordem de 1 milhão de profissionais de
segurança da informação em todo o mundo8. Certamente
profissionais em segurança SCADA são grande parte desta demanda.
Um dos objetivos da TI Safe, além de formar nova mão de obra, é
absorvê-la e oferecê-la ao mercado através do seu portfolio de
serviços.
13
ReferênciasReferênciasReferênciasReferências
1. Miniwatts Marketing Group. 27 de novembro, 2012. Internet World Stats. “Brazil
Internet Stats and Telecom Market Report.” Acesso em 20 de junho, 2013,
www.internetworldstats.com/sa/br.htm.
2. Organização dos Estados Americanos (21 de junho, 2012). OAS Cyber Security
Program. “Overview of Information Security (Cyber Security and Cyber Defense
of Critical Infrastructure in Brazil).” Acesso em 20 de junho, 2013,
http://www.oas.org/cyber/presentations/OAS%20set%202012.pdf.
3. Akamai. (22 de abril, 2013). “The State of the Internet 4th Quarter 2012
Report.” Acesso em 20 de junho, 2013,
http://www.akamai.com/dl/whitepapers/akamai_soti_q412.pdf?curl=/dl/whitep
apers/akamai_soti_q412.pdf&solcheck=1&WT.mc_id=soti_Q412&.
4. Segurança de automação e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1.
ed. - Rio de Janeiro. Elsevier, 2014.
5. Trend Micro Incorporated. (2013). Threat Encyclopedia. “WORM_DORKBOT: IRC
Bots Rise Again?” Acesso em 23 de junho,2013,http://about-
threats.trendmicro.com/us/webattack/102/wormdorkbot%20irc%20bots%20ris
e%20again.
6. PricewaterhouseCoopers LLP. (2011). “Cybercrime Protecting Against the
Growing Threat, Global Economic Survey 2011.” Acesso em 20 de junho, 2013,
http://www.pwc.com.br/pt/publicacoes/assets/pesquisa-crimes-digitais-11-
ingles.pdf.Relatório
7. TI Safe. (17 de Setembro de 2013). Ementa da Formação em Segurança de
Automação Industrial". Acesso em 17 de maio, 2014,
http://pt.slideshare.net/tisafe/ementa-da-formao-em-segurana-de-automao-
industrial
8. ISACA. (2014). Cybersecurity Skills Crisis. http://www.isaca.org/About-
ISACA/Press-room/News-Releases/2014/Pages/To-Address-Global-
Cybersecurity-Skills-Crisis-ISACA-Unveils-Comprehensive-Cybersecurity-Nexus-
Program.aspx