Especialista: Hackers Sistemas de Controle Penetrantes

As redes que alimentam sistemas de controle industrial foram violadas mais de 125 vezes na última década, com uma resultando em mortes nos EUA, um especialista em sistemas de controle disse quinta-feira.

Joseph Weiss, sócio-gerente da consultoria de sistemas de controle Applied Control Solutions, não detalhou a violação que causou mortes durante seu testemunho perante um comitê do Senado dos EUA, mas ele disse que conseguiu encontrar evidências de mais de 125 violações de sistemas de controle envolvendo sistemas em usinas nucleares, usinas hidrelétricas, serviços de água, indústria petrolífera e agronegócio.

"Os impactos variaram de trivial a danos ambientais significativos a danos materiais significativos a mortes ", disse ele ao Comitê de Comércio, Ciência e Transporte do Senado. "Já tivemos um incidente cibernético nos Estados Unidos que matou pessoas."

[Outras leituras: Como remover malwares do seu PC Windows]

Em outros momentos, Weiss falou sobre uma gasolina de junho de 1 ruptura do oleoduto perto de Bellingham, Washington. Essa ruptura derramou mais de 200 mil galões de gasolina em dois riachos, que provocaram a ignição e mataram três pessoas. Os investigadores encontraram vários problemas que contribuíram para a ruptura, mas Weiss identificou uma falha no computador na sala de controle central do duto como parte do problema.

Pode levar muito tempo para os EUA extraírem ataques coordenados contra a infraestrutura usando o controle Weiss disse aos senadores. O equipamento danificado pode levar várias semanas para ser substituído, disse ele. Um ataque coordenado "pode ​​ser devastador para a economia e a segurança dos EUA", disse ele. "Estamos falando de meses para recuperar. Não estamos falando de dias."

A indústria de sistemas de controle industrial está anos atrás da indústria de TI na proteção da segurança cibernética, e algumas das técnicas usadas em segurança de TI danificariam os sistemas de controle, Weiss adicionado. "Se você testar um sistema legado de controle de penetração, você vai desligá-lo ou matá-lo", disse ele. "Você será seu próprio hacker".

Parte do problema é que há apenas um punhado de fornecedores de sistemas de controle, e suas arquiteturas e senhas padrão são comuns a cada fornecedor, disse Weiss. Além disso, há provavelmente menos de 100 especialistas em segurança cibernética em todo o mundo, e as universidades dos EUA não têm currículos voltados para a segurança cibernética do sistema de controle, acrescentou.

Ataques vêm de pessoas de fora, mas também de funcionários ou ex-funcionários. Weiss disse. "Acredito que a ameaça está aumentando não apenas por causa dos países … mas porque a crise econômica criou muitos antagonistas descontentes, mas bem informados", disse ele.

Weiss deu três exemplos de casos envolvendo funcionários descontentes, incluindo um caso recente na Califórnia., onde um funcionário desativou os sistemas de detecção de vazamentos em três torres de petróleo ao largo da costa

Os senadores pediram um foco maior na segurança cibernética no governo dos EUA e no setor privado. "É muito importante que as pessoas saibam que a segurança cibernética não é apenas proteger nossas redes governamentais de países com terroristas ou hackers que querem nossos segredos", disse o senador Jay Rockefeller, democrata da Virgínia Ocidental e presidente do comitê. "É proteger a infra-estrutura crítica de nossa nação contra ataques cibernéticos que podem afetar severamente o comércio e a economia que são absolutamente devastadores."

Muitos residentes nos EUA não pensam ou conhecem os ataques cibernéticos em andamento, acrescentou Rockefeller.

James Lewis, diretor do Programa de Tecnologia e Políticas Públicas do Centro de Estudos Estratégicos e Internacionais, também pediu ao Congresso que se concentre na segurança tradicional de TI, além dos sistemas de controle. No momento, a propriedade intelectual nos EUA está sendo comprometida, e essas perdas prejudicarão a competitividade de longo prazo do país, disse ele.Enquanto os sistemas de controle representam um potencial de ataque, "estamos sob ataque agora", disse Lewis. "Eu me preocupo mais com a perda de informações. No momento, estamos sendo roubados por entidades estrangeiras de nossa tecnologia mais valiosa, e temos que parar com isso."