Ataque a oleoduto revela fraquezas na segurança cibernética dos EUA

Durante anos, funcionários do governo e executivos do setor fizeram simulações elaboradas de um ataque cibernético contra a rede elétrica ou gasodutos nos Estados Unidos, imaginando como o país responderia.

Mas quando o tempo real chegou, este não é um exercício, não era nada como jogos de guerra.

O atacante não era um grupo terrorista ou um estado hostil como Rússia, China ou Irã, como havia sido assumido nas simulações. Era uma rede de extorsão criminosa. O objetivo não era perturbar a economia desconectando um gasoduto, mas manter os dados corporativos para obter um resgate.

Os efeitos mais visíveis, longas filas de motoristas nervosos nos postos de gasolina, decorreram não de uma resposta do governo, mas de uma decisão da vítima, Colonial Pipeline, que controla quase metade da gasolina, combustível de aviação e o diesel que flui ao longo da costa leste . fora da torneira. Fez isso com a preocupação de que o malware que infectou suas funções de back-office pudesse dificultar a cobrança do combustível entregue ao longo do gasoduto ou até mesmo se espalhar para o sistema operacional do gasoduto.

O que aconteceu a seguir foi um exemplo vívido da diferença entre as simulações de desktop e a cascata de consequências que podem seguir até mesmo um ataque relativamente simples. As consequências do episódio ainda estão se desenrolando, mas algumas das lições já estão claras e demonstram até onde o governo e a indústria privada devem ir para prevenir e lidar com ataques cibernéticos e criar sistemas de backup rápidos para quando a infraestrutura crítica falhar.

Nesse caso, a crença arraigada de que as operações do oleoduto estavam totalmente isoladas dos sistemas de dados bloqueados pelo DarkSide, uma gangue de ransomware que operava na Rússia, acabou sendo falsa. E a decisão da empresa de fechar o oleoduto desencadeou uma série de dominós que incluíram pânico nas compras nas bombas e um medo silencioso dentro do governo de que os danos pudessem se espalhar rapidamente.

Uma avaliação confidencial preparada pelos Departamentos de Energia e Segurança Interna concluiu que o país só poderia se dar ao luxo de mais três a cinco dias com o oleoduto colonial fechado, antes que os ônibus e outros meios de transporte público tivessem que limitar as operações por falta de diesel. Fábricas de produtos químicos e operações de refinaria também fechariam porque não haveria como distribuir o que produzem, de acordo com o relatório.

E embora os assessores do presidente Biden tenham anunciado esforços para encontrar maneiras alternativas de transportar gasolina e combustível de aviação para a Costa Leste, nenhuma foi imediatamente implementada. Havia falta de motoristas de caminhão e vagões-tanque ferroviários.

“Cada fragilidade foi exposta”, disse Dmitri Alperovitch, cofundador da CrowdStrike, uma empresa de segurança cibernética, e agora presidente do think tank Silverado Policy Accelerator. “Aprendemos muito sobre o que pode dar errado. Infelizmente, nossos adversários também. “

A lista de aulas é longa. A Colonial, uma empresa privada, pode ter pensado que tinha uma parede de proteções à prova d’água, mas foi facilmente quebrada. Mesmo depois de pagar os extorsionários quase US $ 5 milhões em moeda digital Para obter seus dados de volta, a empresa descobriu que o processo de descriptografar seus dados e reativar o pipeline era terrivelmente lento, o que significa que ainda levará dias até que a Costa Leste volte ao normal.

“Isso não é como ligar um interruptor de luz”, disse Biden na quinta-feira, observando que o gasoduto de 5.500 milhas nunca havia sido fechado antes.

Para o governo, o evento acabou sendo uma semana perigosa no gerenciamento de crises. Biden disse a seus assessores, lembrou-se, que nada poderia causar dano político mais rápido do que imagens de televisão de linhas de gás e preços em alta, com a inevitável comparação com os piores momentos de Jimmy Carter como presidente.

Biden temia que, a menos que o oleoduto retome as operações, o pânico diminua e os picos de preços sejam cortados pela raiz, a situação alimentará as preocupações de que a recuperação econômica continua frágil e que a inflação está aumentando.

Além da enxurrada de ações para movimentar o óleo em caminhões, trens e navios, Biden emitiu uma ordem executiva de longa data que, pela primeira vez, visa impor mudanças na segurança cibernética.

E ele sugeriu que estava disposto a tomar medidas que o governo Obama hesitou em tomar durante as manobras eleitorais de 2016: ação direta para contra-atacar.

“Também vamos buscar uma medida para interromper sua capacidade de operar”, disse Biden, uma linha que parecia implicar que o Comando Cibernético dos Estados Unidos, a força militar da guerra cibernética, estava sendo autorizado a remover o DarkSide da rede online , assim como aconteceu com outro grupo de ransomware no outono antes da eleição presidencial.

Horas depois, os sites do grupo na Internet foram desativados. Na madrugada de sexta-feira, o DarkSide e vários outros grupos de ransomware, incluindo Babuk, que invadiu o departamento de polícia de Washington D.C., anunciaram que encerrariam o jogo.

Darkside aludiu a uma ação disruptiva por uma agência de aplicação da lei não especificada, embora não estivesse claro se isso era resultado da ação dos EUA ou da pressão da Rússia antes da cúpula planejada de Biden com o presidente Vladimir V. Putin. E ficar quieto pode simplesmente ter refletido uma decisão do grupo de ransomware de impedir os esforços de retaliação, encerrando suas operações, talvez temporariamente.

O Pentágono Cyber Command encaminhou as questões ao Conselho de Segurança Nacional, que se recusou a comentar.

O episódio ressaltou o surgimento de uma nova “ameaça combinada”, que pode vir de cibercriminosos, mas é muitas vezes tolerada, e às vezes incentivada, por uma nação que acredita que os ataques atendem aos seus melhores interesses. – não como o culpado, mas como a nação que abriga mais grupos de ransomware do que qualquer outro país.

“Não acreditamos que o governo russo esteja envolvido neste ataque, mas temos fortes razões para acreditar que os criminosos que cometeram esse ataque vivem na Rússia”, disse Biden. “Temos estado em comunicação direta com Moscou sobre o imperativo de que os países responsáveis tomem medidas contra essas redes de ransomware.”

Com os sistemas do Darkside desativados, não está claro como o governo Biden retaliaria ainda mais, além de possíveis acusações e sanções, que não intimidaram os cibercriminosos russos antes. Reagir com um ataque cibernético também traz seus próprios riscos de escalada.

O governo também deve levar em conta o fato de que grande parte da infraestrutura crítica da América pertence e é operada pelo setor privado e está pronta para ser atacada.

“Este ataque expôs o quão fraca é nossa resiliência”, disse Kiersten E. Todt, CEO do Cyber Readiness Institute, uma organização sem fins lucrativos. “Estamos pensando demais sobre a ameaça, quando ainda não estamos fazendo o básico para proteger nossa infraestrutura crítica.”

A boa notícia, disseram algumas autoridades, foi que os americanos receberam um alerta. O Congresso ficou cara a cara com a realidade de que o governo federal não tem autoridade para exigir que as empresas que controlam mais de 80% da infraestrutura crítica do país adotem níveis mínimos de segurança cibernética.

La mala noticia, dijeron, fue que los adversarios estadounidenses, no solo las superpotencias sino también los terroristas y los ciberdelincuentes, aprendieron lo poco que se necesita para incitar el caos en una gran parte del país, incluso si no irrumpen en el núcleo de la rede elétrica. , ou os sistemas de controle operacional que movimentam gasolina, água e propano em todo o país.

Algo tão básico como um ataque de ransomware bem projetado pode funcionar facilmente, ao mesmo tempo que oferece uma negação plausível a estados como Rússia, China e Irã, que muitas vezes recorrem a estranhos para operações cibernéticas confidenciais.

Ainda é um mistério como o Darkside entrou pela primeira vez na rede comercial da Colonial. A empresa privada não disse praticamente nada sobre como o ataque se desenrolou, pelo menos em público. Ele esperou quatro dias antes de ter conversas aprofundadas com o governo, uma eternidade durante um ataque cibernético.

Os especialistas em segurança cibernética também apontam que a Colonial Pipeline nunca teria que encerrar seu pipeline se estivesse mais confiante na separação entre sua rede de negócios e as operações de pipeline.

“Deve haver uma separação absoluta entre o gerenciamento de dados e a tecnologia operacional real”, disse Todt. “Não fazer o básico é francamente indesculpável para uma empresa que envia 45% do gás para a Costa Leste.”

Outros operadores de pipeline nos Estados Unidos implementam firewalls avançados entre seus dados e suas operações que só permitem que os dados fluam em uma direção, fora do pipeline, e impediriam a propagação de um ataque de ransomware.

A Colonial Pipeline não disse se implementou esse nível de segurança em seu gasoduto. Analistas do setor dizem que muitos operadores de infraestrutura crítica afirmam que instalar esses gateways unilaterais ao longo de um duto de 5.500 milhas pode ser complicado ou proibitivamente caro. Outros dizem que o custo de implementação dessas salvaguardas ainda é mais barato do que as perdas por tempo de inatividade potencial.

Sem dúvida, será mais difícil dissuadir os criminosos de ransomware, que aumentaram em número e atrevimento nos últimos anos, do que dissuadir as nações. Mas esta semana ele deixou clara a urgência.

“É tudo diversão e jogos quando roubamos o dinheiro de outras pessoas”, disse Sue Gordon, ex-vice-diretora sênior de inteligência nacional e ex-C.I.A. analista com especialidade em temas cibernéticos, disse em uma conferência realizada pelo The Cipher Brief, um boletim de inteligência online. “Quando estamos brincando com a capacidade de funcionamento de uma sociedade, não podemos tolerar isso.”

Source link

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Ataque a oleoduto revela fraquezas na segurança cibernética dos EUA

Deixe um comentário Cancelar resposta

Opinião | Refugiados palestinos merecem voltar para casa. Os judeus deveriam entender.