É uma regra prática na cibersegurança que, quanto mais sensível for o seu sistema, menos você deseja que ele toque na Internet. Porém, à medida que os EUA buscam limitar a disseminação do Covid-19, as medidas de segurança cibernética representam um desafio técnico difícil para trabalhar remotamente para funcionários em infraestrutura crítica, agências de inteligência e em qualquer outro lugar com redes de alta segurança. Em alguns casos, trabalhar em casa não é uma opção.
As empresas com dados ou operações especialmente sensíveis geralmente limitam as conexões remotas, segmentam as redes para limitar o acesso de um hacker, caso entrem, e às vezes até desconectam completamente suas máquinas mais importantes da Internet. No final da semana passada, a Agência de Segurança Cibernética e Infraestrutura do governo dos EUA emitiu um aviso para empresas de infraestrutura críticas para se prepararem para cenários de trabalho remoto à medida que o Covid-19 se espalha. Isso significa verificar se suas redes privadas virtuais estão corrigidas, implementar autenticação multifatorial e testar cenários de acesso remoto.
Mas os consultores de segurança cibernética que realmente trabalham com esses clientes de alto risco – incluindo empresas de energia elétrica, empresas de petróleo e gás e empresas de manufatura – dizem que nem sempre é tão simples. Para muitos de seus clientes mais críticos, e ainda mais para agências de inteligência, trabalho remoto e segurança não se misturam.
“As organizações estão percebendo que o trabalho em casa seria muito difícil de executar”, diz Joe Slowik, que anteriormente liderou a equipe de resposta a emergências de computadores do Departamento de Energia antes de ingressar na empresa de segurança Dragos, focada na infraestrutura crítica. “Essa deve ser uma chamada de alerta bastante boa. Você precisa descobrir uma maneira de que, se as pessoas não puderem acessar fisicamente o ambiente do sistema de controle para um serviço que não possa parar, como eletricidade, água e águas residuais ou serviços similares, garanta operação – mesmo diante de um ambiente em que você possa arriscar a vida de seus funcionários se eles continuarem a entrar no escritório “.
Para muitas redes industriais, o mais alto padrão de segurança é uma “brecha de ar”, uma desconexão física entre o santuário interno de software conectado ao equipamento físico e os sistemas de TI menos sensíveis e conectados à Internet. Mas muito poucas empresas do setor privado, com exceção de empresas de energia nuclear altamente regulamentadas, implementaram lacunas de ar reais. Muitas empresas tentaram restringir as conexões entre suas redes de TI e as chamadas OT ou redes de tecnologia operacional – os sistemas de controle industrial em que o comprometimento dos computadores digitais poderia ter efeitos perigosos, como dar aos hackers acesso aos disjuntores de uma empresa de eletricidade ou os robôs de uma fábrica.
Essas conexões restritas criam pontos de estrangulamento para hackers, mas também para trabalhadores remotos. O fundador da Rendition InfoSec e consultor de segurança Jake Williams descreve um cliente de fabricação que separou cuidadosamente seus sistemas de TI e OT. Somente os “jump boxes”, servidores que fazem a ponte entre sistemas de controle de manufatura sensíveis e sistemas de TI não sensíveis, os conectaram. Essas caixas de salto executam software muito limitado para impedi-los de servir como invasores para hackers. Mas eles também suportam apenas uma conexão de cada vez, o que significa que os administradores de TI da empresa se viram disputando o acesso.
“Os administradores estão se debatendo enquanto tentam trabalhar e se conectar”, diz Williams. “Essas caixas de salto que foram construídas para facilitar o acesso remoto seguro em situações de emergência não foram construídas para suportar esta situação em que todos realizam operações e manutenção de rotina remotamente”.
Para a infraestrutura crítica mais crítica, no entanto, como usinas de energia e refinarias de petróleo, o trabalho remoto não está apenas levando a problemas técnicos. Muitas vezes, é impossível para muitos funcionários, diz Chris Sistrunk, consultor de segurança da FireEye que anteriormente trabalhou como engenheiro elétrico na empresa de energia Entergy. “Não há como administrar remotamente algumas dessas plantas”, diz Sistrunk. “Você não trabalha em casa. Engenheiros e operadores essenciais sempre estarão lá 24 horas por dia, sete dias por semana”.
Nesses cenários, diz Slowik, da Dragos, as empresas precisam tentar limitar a exposição biológica de suas equipes de operações mais críticas para impedir que elas sejam colocadas em quarentena – o que é mais fácil dizer do que fazer, já que elas são livres para se misturar com potencialmente pessoas infectadas fora do horário de expediente. “É um assunto muito delicado”, diz Slowik. “Você precisa deles disponíveis no escritório e só pode restringi-los até certo ponto – porque não somos a China – então como isso se equilibra?”
