Relatório McAfee registra aumento dos ataques virtuais destinados às redes elétricas
A McAfee e o instituto Center for Strategic and International Studies (CSIS) anunciam os resultados do estudo mundial intitulado No escuro: empresas de serviços essenciais enfrentam ataques cibernéticos. Na análise, os especialistas da McAfee e do CSIS apontam o custo e o impacto dos ataques virtuais direcionados às infraestruturas críticas, como as redes de energia elétrica, petróleo, gás e água.
A pesquisa, realizada em 14 países, incluindo o Brasil, contou com a participação de 200 executivos da área de Tecnologia da Informação de empresas principalmente do setor de energia elétrica. De acordo com o estudo, 40% dos entrevistados afirmam aumento na vulnerabilidade do setor. Cerca de 30% acreditam que sua empresa está desprotegida diante de um possível ataque. A análise aponta ainda que mais de 40% esperam ameaças de grandes proporções no próximo ano.
“Nós descobrimos, em relação ao ano passado, que a adoção de medidas de segurança em importantes infraestruturas críticas não acompanhou o acelerado aumento das ameaças virtuais”, afirma Stewart Baker, especialista responsável pela condução do estudo da CSIS.
O estudo deste ano também apontou que os executivos de setores essenciais fizeram progressos modestos em relação ao ano anterior quanto à proteção das redes, sendo que o setor de energia elétrica aumentou a implementação de tecnologias de segurança em apenas um ponto percentual (51%) e os setores de petróleo e gás natural aumentaram apenas três pontos percentuais (48%).
“De 90 a 95% dos profissionais na área de rede inteligente (smart grid) do setor estão despreocupados com a segurança e consideram-na o item menos importante e o último a ser considerado”, comenta Jim Woolsey, ex-diretor da Agência Central de Inteligência dos Estados Unidos.
O recente relatório encomendado pela McAfee à CSIS é a continuidade do estudo Sob fogo cruzado: infraestrutura crítica na era da guerra cibernética, divulgado em 2010, o qual destacou que muitas das infraestruturas críticas mundiais precisavam adotar uma solução de proteção às redes de computador, devido ao elevado custo e ao impacto dos ciberataques a essas redes.
No relatório No escuro: empresas de serviços essenciais enfrentam ataques cibernéticos, embora o número de ameaças a essas infraestruturas tenha acelerado, o nível de reação permaneceu estagnado, mesmo depois de a maioria dos entrevistados ter identificado frequentes malwares direcionados a sabotar seus sistemas (aproximadamente 75%), e quase a metade dos entrevistados no setor de eletricidade relatou ter encontrado a ameaça Stuxnet em seus sistemas. Essa ameaça às infraestruturas também inclui as redes elétricas inteligentes (smart grids), cuja implementação tem aumentado e deverá ultrapassar, em 2015, US$ 45 bilhões em gastos globais.
“O que percebemos é que a rede inteligente não é tão inteligente”, afirma Phyllis Schneck, vice-presidente de Informações de Ameaças da McAfee. “Em 2010, vimos, sem dúvida, uma das formas mais sofisticadas de malware com o Stuxnet, projetado especificamente para sabotar sistemas de TI de infraestruturas críticas. O fato é que esses sistemas não foram projetados com a segurança cibernética em mente, e as empresas precisam implementar controles de rede mais fortes para evitar a vulnerabilidade aos ataques.”
A McAfee relacionou algumas das principais conclusões do estudo, como:
– 80% dos entrevistados sofreram um ataque de negação de serviço (DDoS) de grande porte e 1/4 deles informou ataques de DDoS diários ou semanais ou foi vítima de extorsão por meio de ataques à rede.
– As tentativas de extorsão foram mais frequentes nos setores de CIP (Critical Infrastructure Protection, ou seja, proteção de infraestruturas críticas): um em cada quatro entrevistados foi vítima de extorsão por meio de um ciberataque. O número de empresas sujeitas a extorsão aumentou 25% no ano passado e os casos de chantagem foram igualmente distribuídos entre os diversos setores de infraestrutura crítica.
– Apenas uma minoria adotou soluções de segurança eficaz; 1/4 dos entrevistados implementou ferramentas para monitorar a atividade na rede e aproximadamente 26% utilizam soluções para detectar anomalias.
– Brasil, França e México estão atrasados em relação à adoção de medidas de segurança: implementam apenas metade das medidas adotas, por exemplo, na China, no Japão e na Itália. China e Japão também estão entre os países com os maiores índices de confiança na capacidade de as leis em vigor prevenirem ou desestimularem ataques.
– Estados Unidos e Europa ficaram atrás da Ásia em termos de participação do Governo; a China e o Japão relataram níveis elevados de interação formal e informal com o setor público sobre temas de segurança, enquanto os EUA, a Espanha e o Reino Unido indicaram pouco ou nenhum contato.
Sobre o relatório:
A McAfee contratou a Vanson Bourne, uma consultoria de marketing tecnológico especializada em pesquisas, para entrevistar os 200 executivos de TI nos setores de energia, petróleo, gás e água, responsáveis pela segurança da Tecnologia da Informação, segurança geral e por Sistemas de Controle Industrial. Em seguida, o CSIS analisou os resultados quantitativos e realizou mais pesquisas para produzir o relatório final. O estudo contou com a participação de executivos dos seguintes países: Austrália, Brasil, China, França, Alemanha, Índia, Itália, Japão, México, Rússia, Espanha, Emirados Árabes Unidos/Dubai, Reino Unido e Estados Unidos.
Para obter mais informações sobre o relatório “No escuro: empresas de serviços essenciais enfrentam ataques cibernéticos” e baixá-lo na íntegra, em português, acesse http://www.mcafeenewsletter.com.br/37.1543/index.htm.