O Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, prevê que, até 2025, aproximadamente 30% das organizações de infraestrutura crítica enfrentarão uma violação de segurança que resultará na interrupção de um sistema ciberfísico de missão crítica ou operacional.
A segurança da infraestrutura crítica tornou-se uma preocupação primária para governos em todo o mundo inclusive com os Estados Unidos, Reino Unido, União Europeia, Canadá e Austrália, cada um identificando setores considerados como “infraestrutura crítica” – por exemplo, comunicações, transporte, energia, água, saúde e instalações públicas. Em alguns países, a infraestrutura crítica é propriedade do estado, enquanto em outros, como nos Estados Unidos, a indústria privada possui e opera uma parte muito maior dela.
“Em muitos países, os governos estão percebendo que sua infraestrutura crítica nacional tem sido um campo de batalha não declarado por décadas”, diz Ruggero Contu, Diretor de Pesquisa do Gartner. “Eles agora estão tomando medidas para exigir mais controles de segurança para os sistemas que sustentam esses ativos.”
Uma recente pesquisa do Gartner mostrou que 38% dos entrevistados esperavam aumentar os gastos com segurança de tecnologia operacional (OT) entre 5% e 10% em 2021, com outros 8% dos entrevistados prevendo um aumento acima de 10%.
No entanto, isso pode não ser suficiente para conter o baixo investimento nessa área ao longo de muitos anos, de acordo com os analistas do Gartner. “Além da necessidade de atualização, há um número crescente de ameaças cada vez mais sofisticadas”, avalia Contu. “Proprietários e operadores de infraestrutura crítica também estão lutando para se preparar para o aumento da supervisão que se aproxima.”
O aumento do risco exige a adoção de uma abordagem de segurança holística – Com o tempo, as tecnologias que sustentam a infraestrutura crítica tornaram-se mais digitalizadas e conectadas – seja a sistemas de TI corporativos e/ou entre si – criando riscos de segurança para sistemas físicos e cibernéticos. O resultado foi um aumento substancial nas opções de ataque para hackers e criminosos de todos os tipos.
Em setores de infraestrutura crítica, as organizações precisam se preocupar mais com os perigos do mundo real para os humanos e o meio ambiente, em vez do roubo de informações. O Gartner prevê que, até 2025, os invasores terão transformado uma infraestrutura crítica baseada em um sistema ciberfísico em arma para causar danos ou matar humanos.
O Gartner recomenda que os líderes de gerenciamento de segurança e risco em setores de infraestrutura crítica desenvolvam uma abordagem holística da segurança, de modo que a segurança de TI, OT e Internet das Coisas (IoT) seja gerenciada em um esforço coordenado.
“Os líderes de gerenciamento de segurança e risco devem acelerar os esforços para descobrir, mapear e avaliar a postura de segurança de todos os sistemas ciberfísicos em seu ambiente”, afirma Contu. “É preciso investir em inteligência contra ameaças e juntar essas indústrias a grupos que os permitam manter suas operações informadas sobre as melhores práticas de segurança da atualidade e para o futuro, além de como atender as solicitações de contribuições de entidades governamentais”.