Um quadro prático para proteger subestações digitais

Para entender melhor como proteger subestações digitais, vamos ter a perspetiva do atacante usando o Sistema de Controlo Industrial Kill Chain. Esta cadeia de morte organiza as ações do atacante numa série de operações que se constroem umas às outras para produzir o efeito pretendido no final da cadeia (no nosso exemplo da Ucrânia, perda de energia elétrica). Para os nossos propósitos, usaremos uma versão condensada da cadeia de morte, descrevendo as etapas como Preparação, Intrusão, Pivot para OT, Execute OT e Ataque.

Preparação

Os atacantes começam por reunir informações sobre o seu alvo. Para serviços públicos, isso pode incluir a identificação de locais de subestações, entender a arquitetura SCADA, pesquisar equipamentos do fornecedor e mapear a infraestrutura de rede. Os atacantes da Ucrânia de 2015 passaram meses a estudar os seus alvos. Da mesma forma, o ataque do Pipeline Colonial de 2021 começou com o reconhecimento que identificou credenciais VPN vulneráveis.

Controlos Defensivos: As concessionárias devem minimizar a sua pegada digital limitando as informações publicamente disponíveis sobre configurações de subestações e sistemas de controlo. A training de sensibilização para a segurança dos funcionários deve enfatizar os riscos de partilha excessiva de detalhes operacionais nas redes sociais ou redes profissionais, bem como o tratamento adequado de dados confidenciais.

Intrusão

Os atacantes ganham entrada no ambiente de destino. Os métodos de entrada comuns incluem e-mails de spear-phishing, atualizações de software comprometidas, unidades USB infectadas ou exploração de sistemas voltados para a Internet. Os invasores da Ucrânia usaram spear-phishing com anexos maliciosos do Microsoft Office, o que permitiu a instalação do malware BlackEnergy e a base necessária para ações de seguimento.

Controlos Defensivos: Siga as melhores práticas para a cibersegurança de TI empresarial, incluindo soluções robustas de segurança de correio electrónico com protecção avançada contra ameaças e capacidades de sandbox, soluções antivírus ou EDR para estações de trabalho empresariais, sistemas de detecção de intrusão de rede e centros de operações de segurança (entrega de serviços internos ou geridos). Garantir que as equipas de OT estão alinhadas e atualizadas com a estratégia de cibersegurança de TI empresarial.

Pivotar para OT

Tendo obtido acesso a redes de TI corporativas, os invasores procuram estender o seu alcance às redes OT como as encontradas em subestações digitais. Isto é normalmente feito através da exploração de soluções de acesso remoto inseguras, do roubo de credenciais de utilizador válidas de sistemas de TI comprometidos ou da utilização de dispositivos transitórios infectados, como telemóveis e computadores portáteis. O uso de unidades USB infectadas no ataque do Stuxnet é um exemplo de como até mesmo as redes com lacunas de ar podem ser comprometidas. No ataque à Ucrânia, os invasores utilizaram credenciais roubadas de sistemas informáticos para aceder a redes OT através de ligações VPN.

Controlos Defensivos: Estabelecer políticas rígidas para suportes de dados amovíveis e dispositivos externos. Manter um inventário de ativos atualizado de todo o software e firmware e manter os ativos atualizados com patches de segurança assinados digitalmente (tanto quanto as operações permitirem). As soluções de controlo de acesso à rede (NAC) podem impedir que dispositivos não autorizados se liguem a redes de subestações, enquanto a rede entre as redes IT e OT e as zonas de subestações interrompe o movimento lateral. Implemente sistemas industriais de detecção de intrusão (IDS) que compreendam os protocolos OT e possam identificar comunicações anómalas. Proteja o acesso remoto usando autenticação multifator e assegure que o acesso remoto de terceiros (normalmente para manutenção do fornecedor) é igualmente protegido. Elimine as credenciais padrão em todos os IEDs, relés e dispositivos de rede, implementando idealmente o controlo de acesso baseado em função. Finalmente, avaliações regulares de vulnerabilidade das redes OT ajudam a identificar pontos fracos antes que os invasores o façam.

Executar ataque OT

A fase final envolve os invasores que atingem os seus objetivos — seja roubo de dados, manipulação do sistema ou ações destrutivas. Na Ucrânia, isso significava abrir disjuntores (via HMIs de subestação) para criar quedas de energia. Os invasores da Ucrânia utilizaram carregamentos de firmware maliciosos para cortar as comunicações para dispositivos de campo enquanto executavam ataques de negação de serviço a call centers, levando a atrasos nos esforços de recuperação e clientes frustrados incapazes de obter respostas.

Controlos Defensivos: Implemente sistemas instrumentados de segurança (SIS) que operam independentemente dos sistemas de controlo. Manter cópias de segurança offline das configurações e verificar os procedimentos de restauração. Realize exercícios regulares de mesa e exercícios de resposta a incidentes específicos para ambientes de TO, para garantir uma resposta rápida mesmo quando os controles de segurança cibernética falham.

Ao defender subestações digitais, implementar controlos de segurança é apenas metade da batalha e as concessionárias elétricas também devem alinhar os controlos com as estruturas regulamentares e industriais estabelecidas e mapear medidas defensivas tanto para os requisitos NERC CIP como para o NIST Cybersecurity Framework (CSF).

Alinhamento NERC CIP

Os padrões de Proteção de Infraestrutura Crítica (CIP) da North American Electric Reliability Corporation fornecem requisitos obrigatórios para a cibersegurança do sistema de energia a granel. Os principais padrões relevantes para subestações digitais incluem:

CIP-004 (Pessoal e Formação): Concentra-se no elemento mais crítico da cibersegurança: os humanos. Estabeleça os requisitos para contratação, training e onboard/offboarding.

CIP-005 (Perímetros de Security Eletrónica): Aborda as medidas de segmentação de rede e controlo de acesso discutidas na defesa contra intrusão e pivotar para OT.

CIP-007 (Gestão de Security do Sistema): Abrange o “bloqueio e combate” diário da cibersegurança: gestão de correcções, prevenção de malware, monitorização de eventos de segurança e gestão de contas. Isso inclui as práticas de proteção de endpoint, registo e gestão de vulnerabilidades essenciais para a detecção precoce.

CIP-008 (Planeamento de Resposta a Incidentes): Garante que as organizações desenvolvam, mantenham e pratiquem a sua capacidade de responder a ataques.

CIP-009 (Planeamento de Recuperação): Concentra-se em voltar ao “normal” depois de um ataque. Garante que os procedimentos de backup sejam implementados e verificados e que a restauração seja testada periodicamente quanto à velocidade e precisão.

CIP-010 (Gestão da alteração de configuração): Define as configurações de linha de base para ativos e estabelece um processo estruturado de gestão de alterações para essas linhas de base, para incluir testes de correcção para a integridade operacional. Também inclui requisitos para avaliações periódicas de vulnerabilidade.

CIP-015 (Monitorização Interna de Security da Rede): A mais nova norma CIP, aprovada no verão de 2025 e a entrar em vigor a partir de outubro de 2028. CIP-015 tem tudo a ver com saber o que está a acontecer “on the wire”: monitorizar redes OT, detetar qualquer atividade anómala e tomar decisões de resposta informadas.

Integração NIST CSF

O NIST Cybersecurity Framework fornece uma abordagem flexível e baseada no risco, organizada em torno de seis funções principais que representam uma estratégia abrangente de cibersegurança:

Governar: Estabelecer e monitorizar a estratégia, expectativas e políticas de gestão de riscos de cibersegurança da organização.

Identificar: Construir uma compreensão comum do risco de cibersegurança entre sistemas, ativos, dados e pessoas. Ganhe visibilidade da atual postura de segurança e dos riscos associados.

Proteger: Implementar os controlos técnicos discutidos anteriormente: segmentação de rede, controlos de acesso, protecção de endpoints, etc. Visam reduzir a superfície de ataque global que um invasor pode utilizar para ganhar a sua posição na rede.

Detectar: Implemente capacidades para identificar corretamente a ocorrência de eventos maliciosos de cibersegurança em tempo hábil. Utilize dados agregados de uma grande variedade de ativos para adicionar contexto à visibilidade.

Responder: Após a detecção de um ataque cibernético, tome medidas para atenuar o progresso dos atacantes, mitigar o impacto e, finalmente, expulsar os atacantes da rede.

Recuperar: Depois de ter neutralizado uma ameaça, restaure quaisquer capacidades ou serviços que foram prejudicados devido ao incidente. Utilize as lições aprendidas para informar a futura estratégia de segurança.

Combinando NERC CIP, NIST CSF e Controlos Defensivos

Conclusão

O ataque de 2015 à Ucrânia demonstrou que as subestações digitais representam alvos críticos onde as vulnerabilidades cibernéticas podem traduzir-se diretamente em consequências físicas. No entanto, ao compreender a cadeia de morte do atacante e implementar defesas em camadas, os utilitários podem reduzir significativamente o seu perfil de risco. Com a adesão das equipas de TI e OT e uma aplicação cuidadosa da estratégia, as subestações digitais podem ser colocadas em bases de segurança excepcionalmente fortes e estar preparadas para o que os atacantes possam tentar a seguir.