Especialistas em segurança industrial acreditam que empresas de infra-estrutura precisam levar mais a sério um ataque como o do Stuxnet.
Um matéria do jornal iraniano Tehran Times diz que o governo de Ahmajinedad estaria tomando medidas preemptivas contra ataques cibernéticos como o executado pelo Stuxnet, software responsável por atrasar os planos de desenvolver tecnologia nuclear naquele país.
Na reportagem, uma fonte do governo diz que o país está sob ataque e que uma guerra eletrônica (ou ciberguerra) é iminente.
A despeito dessa denúncia ser ou não verdadeira, existem indícios colhidos por defensores do país islâmico que apontam para uma parceria entre os EUA e Israel no desenvolvimento do Stuxnet.
Vale perguntar o que aconteceria se o Irã se empenhasse em desenvolver armas eletrônicas para atacar sistemas industriais norte-americanos, ou, ainda, o sistema SCADA (Sistema para Supervisão e Controle na Aquisição de Dados). Insatisfatória e sucinta, a resposta é “não”.
Segundo Eric Knapp, diretor de infraestruturas críticas da NitroSecurity, faltam cuidados básicos na proteção de redes digitais importantes. “Não é questão estar preparado para ataques como o do Stuxnet. O fato é que não há preparação para nenhum tipo de ataque sério desse tipo”, alerta.
Leia também: Os principais desafios para segurança corporativa em 2011
Tal afirmação invoca uma pergunta: Quanto falta para as estruturas estarem no nível apropriado para se defender das ameaças? Pedindo resguardo de sua identidade, um executivo do segmento de segurança que recentemente muniu uma série de empresas com recursos para combater a disseminação de pragas virtuais, afirmou que as organizações não estão dando a atenção necessária para o potencial problema. “Elas (as empresas) estão iludidas quanto à dimensão do perigo que correm”, avisa. “Partem do princípio que simples criptografia entre os dispositivos resolve a questão de segurança. O mesmo pensam sobre senhas e outros recursos de segurança e de outros controles de acesso. Para mim, esse comportamento lembra o adotado pelas empresas de software há dez anos. Equivale a tapar o sol com uma peneira – literalmente”, desabafa.
Para Knapp, em determinadas áreas uma postura mais relaxada não representa um grande problema. “Depende do segmento da indústria”, diz. “Mas, cada vez que menciono essa questão, ouço que as medidas foram tomadas e que está tudo muito seguro”, completa.
Tema contínuo
O consultor de segurança chefe da empresa NetWitness, Mike Sconzo, acredita que as indústrias de ramos mais críticos estejam dando os primeiros passos rumo a estruturas mais seguras. “Toda infraestrutura crítica de indústrias atravessa essa fase dolorosa de crescimento, por qual as empresas de TI passaram há alguns anos”, diz.
O padrão de proteção de infraestruturas críticas, desenvolvido há anos pelo CIP (Critical Infrastructure Protection), previa rotinas de segurança do tipo “Passo 1 - Passo 2 e pronto, está seguro”. Agora, com a mudança de paradigma acerca dessa realidade, as empresas passam a adotar medidas preemptivas, e descobrem que essa postura não é, de longe, tão mais complicada que a anterior, baseada em reação”, afirma Sconzo.
“O mais importante é esclarecer aos membros da equipe que a segurança é um tema contínuo e que medidas para a proteção de infraestruturas são importantes”, diz.
Pode até ser. Mas com tantos especialistas afirmando que é uma questão de tempo para um ataque desse tipo acontecer, vale por a mão na cabeça e ver se ainda há tempo de se proteger.
Na reportagem, uma fonte do governo diz que o país está sob ataque e que uma guerra eletrônica (ou ciberguerra) é iminente.
A despeito dessa denúncia ser ou não verdadeira, existem indícios colhidos por defensores do país islâmico que apontam para uma parceria entre os EUA e Israel no desenvolvimento do Stuxnet.
Vale perguntar o que aconteceria se o Irã se empenhasse em desenvolver armas eletrônicas para atacar sistemas industriais norte-americanos, ou, ainda, o sistema SCADA (Sistema para Supervisão e Controle na Aquisição de Dados). Insatisfatória e sucinta, a resposta é “não”.
Segundo Eric Knapp, diretor de infraestruturas críticas da NitroSecurity, faltam cuidados básicos na proteção de redes digitais importantes. “Não é questão estar preparado para ataques como o do Stuxnet. O fato é que não há preparação para nenhum tipo de ataque sério desse tipo”, alerta.
Leia também: Os principais desafios para segurança corporativa em 2011
Tal afirmação invoca uma pergunta: Quanto falta para as estruturas estarem no nível apropriado para se defender das ameaças? Pedindo resguardo de sua identidade, um executivo do segmento de segurança que recentemente muniu uma série de empresas com recursos para combater a disseminação de pragas virtuais, afirmou que as organizações não estão dando a atenção necessária para o potencial problema. “Elas (as empresas) estão iludidas quanto à dimensão do perigo que correm”, avisa. “Partem do princípio que simples criptografia entre os dispositivos resolve a questão de segurança. O mesmo pensam sobre senhas e outros recursos de segurança e de outros controles de acesso. Para mim, esse comportamento lembra o adotado pelas empresas de software há dez anos. Equivale a tapar o sol com uma peneira – literalmente”, desabafa.
Para Knapp, em determinadas áreas uma postura mais relaxada não representa um grande problema. “Depende do segmento da indústria”, diz. “Mas, cada vez que menciono essa questão, ouço que as medidas foram tomadas e que está tudo muito seguro”, completa.
Tema contínuo
O consultor de segurança chefe da empresa NetWitness, Mike Sconzo, acredita que as indústrias de ramos mais críticos estejam dando os primeiros passos rumo a estruturas mais seguras. “Toda infraestrutura crítica de indústrias atravessa essa fase dolorosa de crescimento, por qual as empresas de TI passaram há alguns anos”, diz.
O padrão de proteção de infraestruturas críticas, desenvolvido há anos pelo CIP (Critical Infrastructure Protection), previa rotinas de segurança do tipo “Passo 1 - Passo 2 e pronto, está seguro”. Agora, com a mudança de paradigma acerca dessa realidade, as empresas passam a adotar medidas preemptivas, e descobrem que essa postura não é, de longe, tão mais complicada que a anterior, baseada em reação”, afirma Sconzo.
“O mais importante é esclarecer aos membros da equipe que a segurança é um tema contínuo e que medidas para a proteção de infraestruturas são importantes”, diz.
Pode até ser. Mas com tantos especialistas afirmando que é uma questão de tempo para um ataque desse tipo acontecer, vale por a mão na cabeça e ver se ainda há tempo de se proteger.
Nenhum comentário:
Postar um comentário