Venho apresentando, ao longo dos meus artigos, uma série de oportunidades de aplicação de tecnologias inovadoras para a solução de problemas da sociedade. Aplicativos móveis, tecnologias RFID, soluções envolvendo a Internet das Coisas e aplicações na área de Inteligência Artificial, entre outras, podem solucionar uma série de questões de nosso dia a dia. Vivemos em um mundo de grande interconexão via tecnologias de informação e comunicação onde, usando uma expressão simplificada, “tudo é dado”. No entanto, esse cenário cria riscos, especialmente quando pensamos na questão das infraestruturas críticas (ICs), que consistem em instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, pode provocar grave impacto social, econômico e à segurança do estado e da sociedade.
As infraestruturas industriais modernas, mais especificamente nas áreas críticas, como elétrica, petróleo, gás natural, transporte e água, utilizam sistemas de automação em sua produção, de modo a garantir uma operação segura e confiável nos diferentes processos (físicos, químicos, logísticos) envolvidos. Tais sistemas de automação são muitas vezes chamados de Sistemas de Controle de Processos (SCPs) ou ainda Sistemas de Supervisão, Controle e Aquisição de Dados (SCADA – Supervisory Control and Data Acquisition). Em muitos cenários, a utilização de SCPs é muito mais eficiente se comparada com o trabalho humano, sendo, em muitos casos, indispensável o seu uso pelas organizações.
Os ataques cibernéticos às ICs muitas vezes se valem do uso cada vez maior desses sistemas automatizados. Os objetivos dos criminosos podem ser distintos, incluindo o vandalismo, a disseminação de propaganda (política, ideológica, entre outras), a coleta de dados classificados, ou mesmo a paralisação ou destruição de equipamentos e instalações. O mais antigo ataque de malware relatado provêm do ano de 1982 quando, segundo Safire (2004), um software de controle industrial produzido de modo intencionalmente falho (alterado pela Agência Central de Inteligência dos EUA – CIA), foi vendido indiretamente para a União Soviética, provocando uma explosão de um gasoduto na Sibéria.
Experimento relevante foi realizado com o apoio do Departamento de Segurança Interna dos EUA em 2007. Denominado “Aurora Experiment”, demonstrou como um ataque cibernético poderia destruir componentes físicos da rede elétrica, causando enormes consequências (mais detalhes em Mackinnon et al., 2013). Cabe ressaltar que há alguns anos seria inimaginável parar a operação de uma usina de energia ou de uma rede elétrica por intermédio de ataques cibernéticos. A disseminação das smart grids, redes elétricas inteligentes, possibilitou esse tipo de ação.
Talvez o mais significativo ataque cibernético a ICs tenha sido a implantação do malware denominado Stuxnet em uma instalação nuclear iraniana em Natanz, no ano de 2009. Ele foi projetado para explorar vulnerabilidades no sistema SCADA, visando afetar os controladores lógicos programáveis, dispositivos utilizados para automatizar os processos na instalação nuclear. Desse modo, as centrífugas passaram a funcionar de maneira indevida, até a sua completa danificação. Uma excelente referência, que apresenta em detalhes as características do Stuxnet, é o vídeo apresentado por Raulph Langner, consultor que trabalhou com uma equipe de profissionais na análise aprofundada das características do vírus (ver https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon).
Em 2010, o software disseminou-se para além de Natanz, quando foi identificado e divulgado por especialistas em computação. A partir daí o Stuxnet foi “capturado” por hackers, que o identificaram como um sofisticado instrumento para proferir ataques em rede a ser direcionado a outros alvos. Pelo fato do Stuxnet ter escapado para as mãos de indivíduos em todo o mundo, se tornou uma arma que pode ser usada contra infraestruturas críticas de diferentes nações. Prova disso são os relatos de infecção da rede da empresa Chevron pelo vírus em 2010 (detalhes em King, 2012; Clayton e Segal, 2013; MacKinnon et al., 2013).
Em agosto de 2012, a companhia petrolífera estatal saudita, Saudi Aramco, tornou-se alvo de um dos ataques cibernéticos mais destrutivos que se tem conhecimento. Enquanto a maioria dos funcionários permanecia em casa durante um feriado, um vírus de computador (“Shamoon”) foi disseminado e apagou os dados de cerca de 30.000 computadores da empresa. Embora o incidente não tenha interrompido a produção, a empresa foi forçada a fechar temporariamente sua rede corporativa interna para evitar a propagação do vírus. Duas semanas após esse ataque, o mesmo vírus atingiu a RasGas, empresa de gás natural do Catar, desabilitando o seu site e seus servidores de e-mail (detalhes em Clayton e Segal, 2013).
Enfim, a crescente automação e interconexão entre os sistemas, tendência que gera inúmeras vantagens sob o ponto de vista de eficiência operacional, pode trazer também inúmeros riscos. Nesse sentido, é fundamental que as organizações considerem, dentro de suas estratégias, o investimento em recursos, especialmente em capital humano que esteja apto a enfrentar essas ameaças. Em suma, desenvolver e implantar uma estratégia robusta de cibersegurança é fundamental para as organizações, especialmente as que lidam com infraestruturas críticas.
Até o próximo artigo!
Referências:
CLAYTON, B., SEGAL, A. Addressing cyber threats to oil and gas suppliers. Energy Brief, June 2013.
KING, R. Virus Aimed at Iran Infected Chevron Network. Wall Street Journal, 2012.
MACKINNON, L., BACON, L., GAN, D., LOUKAS, G., CHADWICK, D., FRANGISKATOS, D. Cyber security countermeasures to combat cyber terrorism. In: Akhgar, B., Yates, S. (Eds.), Strategic Intelligence Management. Butterworth-Heinemann, 2013, pp. 234–261.
SAFIRE, W.The Farewell Dossier. The New York Times, February, 2004.
Anderson Namen é cofundador e cientista de dados da Digital Innovation Consulting Group, empresa focada em ajudar outras empresas a habilitar o digital como um importante impulsionador de negócios em vários setores da economia. Doutor em Engenharia de Sistemas e Computação pela COPPE/UFRJ, possui experiência de mais de 30 anos, tendo liderado projetos inovadores em diferentes organizações. Seu foco se concentra primordialmente em projetos englobando ciência de dados e sistemas de suporte à decisão. Atua também como professor de graduação e programas de pós-graduação na Universidade do Estado do Rio de Janeiro e na Universidade Veiga de Almeida.
Desenvolve há mais de 10 anos projetos ligados ao meio ambiente, envolvendo a análise da biodiversidade e suas relações com o clima, além da gestão e monitoramento de fauna. Na área de gestão de resíduos sólidos, teve projeto de rastreabilidade de resíduos perigosos selecionado entre os 3 melhores projetos ligados ao meio ambiente, sendo premiado no RFID Journal Green Awards, evento patrocinado pelo mais conhecido jornal focado em tecnologia RFID no mundo. Atualmente coordena projeto de aplicação de Inteligência Artificial para gestão de resíduos orgânicos, patrocinado pela Faperj, que envolve 8 diferentes organizações públicas e privadas, entre elas Embrapa, UFF, UERJ e Universidade Veiga de Almeida.
Liderou diversos projetos na área de educação, utilizando dados do INEP/MEC para previsão de resultados relacionados ao processo ensino-aprendizagem de estudantes do ensino básico. Também atou no planejamento e elaboração de currículos para o ensino superior e na criação de sistemas de apoio à decisão focados na experiência do aluno. Ainda na área de educação, liderou equipe transdisciplinar para criação de recursos de on-line focados nos diferentes estilos de aprendizagem dos estudantes, sendo agraciado com premiação pelo desenvolvimento de melhor disciplina on-line entre 15 diferentes instituições de ensino superior na América Latina.
Atuou durante 25 anos como diretor da empresa E3A Educação e Assessoria, tendo desenvolvido projetos de consultoria para empresas como Furnas Centrais Elétricas, Fundação Getúlio Vargas e Universidade Veiga de Almeida. Anteriormente, trabalhou nas empresas Mesbla Lojas de Departamentos e IBM Brasil, sendo reconhecido nessa última com 3 prêmios de contribuição significativa ao negócio.