Infraestruturas críticas: requisitos da Lei de Segurança de TI 2.0

1. Abril 2022
| Sem comentários
Infraestruturas críticas: requisitos da Lei de Segurança de TI 2.0

Compartilhar postagem

Infraestruturas críticas (KRITIS) no contexto de ataques cibernéticos: todas as medidas de proteção estão alinhadas com o novo IT Security Act 2.0? O IT Security Act 2.0 resultou em ajustes significativos para operadores de infraestruturas críticas.

Produtores e serviços públicos nas áreas de energia, água, finanças e saúde, bem como empresas industriais, estão sendo cada vez mais alvo de invasores. O resultado: perdas de produção no valor de milhões e gargalos de abastecimento, inclusive colocando em risco a vida humana. Exemplos recentes incluem ataques ao maior oleoduto dos Estados Unidos, à autoridade de saúde irlandesa e um incidente em uma subestação croata que levou a Europa à beira de um apagão.

Os ataques do KRITIS exigem ação

Os ataques cibernéticos às administrações municipais alemãs, como em Anhalt-Bitterfeld, Schwerin e Witten, também destacaram a vulnerabilidade das autoridades alemãs, onde grande parte dos sistemas de TI falharam ou tiveram que ser desligados em caso de emergência. A rapidez com que a produção de alimentos pode parar ficou clara com o ataque cibernético ao terceiro maior laticínio austríaco, no qual todas as áreas da empresa foram afetadas, desde a produção até a logística e a comunicação.

Além disso, o ataque à estação de tratamento de águas subterrâneas de Oldsmar, na Flórida, demonstrou as consequências potencialmente fatais de uma infraestrutura crítica comprometida. Os invasores penetraram com sucesso no sistema de computador que controlava a estação de tratamento de água e manipularam remotamente um computador para alterar o equilíbrio químico do abastecimento de água, o que poderia ter causado sérios danos humanos.

Guerra cibernética: quando falta o parceiro de negociação

No contexto deste número crescente de ataques, os operadores de infraestruturas críticas e as empresas com particular importância económica devem, portanto, lidar não só com as tentativas de chantagem, mas também com o tema da guerra cibernética. Porque se os cibercriminosos exigirem apenas um resgate, as organizações podem pelo menos implementar diretrizes apropriadas para ação com antecedência se, por exemplo, ocorrer um ataque de ransomware bem-sucedido.

No entanto, se um ataque cibernético tiver motivação puramente política e a organização for escolhida apenas por um estado-nação hostil como uma vítima aleatória para dar o exemplo, não há parceiro de negociação e o dano pode não apenas ter um impacto maciço na capacidade comercial, mas também assumem dimensões para a sociedade como um todo.

Guerra híbrida com ataques digitais

Essa nova guerra híbrida é evidente no conflito Ucrânia-Rússia, no qual os ataques digitais precederam os militares e podem continuar a fazê-lo no futuro. Já em 2015, a Rússia conseguiu paralisar parte da rede elétrica ucraniana com um grande ataque cibernético, deixando um quarto de milhão de ucranianos sem eletricidade no inverno. Um mês antes do início da guerra em janeiro de 2022, a Microsoft encontrou um malware limpador destrutivo em dezenas de sistemas críticos de agências e organizações governamentais ucranianas. Segundo o governo ucraniano, há indícios claros de que a Rússia está por trás desses ataques. Além disso, não se pode descartar que tais incidentes possam se estender muito além das fronteiras nacionais da Ucrânia. As autoridades de segurança alemãs já pediram aos operadores de infraestruturas críticas, em particular, que se armassem contra possíveis ataques cibernéticos.

É assim fundamental na área KRITIS a implementação de um conceito de segurança consistente e integrado tanto para a infraestrutura de TI como de TO, como uma solução end-to-end, não só por causa de ataques de motivação monetária, mas também no que diz respeito à segurança nacional inclui produtos , processos e especialistas em segurança qualificados em todas as áreas.

Novo quadro legal para infraestruturas críticas

O legislador tem reagido aos novos desafios digitais. Como resultado, os operadores de infraestruturas críticas e empresas de particular interesse público enfrentam grandes desafios não só devido ao número crescente de ameaças cibernéticas, mas também devido à atualização do quadro jurídico a nível alemão e europeu.

De acordo com o German BSI Act, as organizações são operadoras de infraestrutura crítica se pertencerem a um dos sete setores de energia, saúde, tecnologia da informação e telecomunicações, transporte e tráfego, água, finanças e seguros e alimentos, fornecer serviços críticos e, em ao fazê-lo, cumpra com o regulamento BSI-KRITIS exceda os limites.

Requisitos legais adicionais para operadores KRITIS em 2022

Na Alemanha, a segunda lei para aumentar a segurança dos sistemas de tecnologia da informação - em resumo: IT Security Act 2021 - entrou em vigor em maio de 2.0 como um complemento à Lei BSI. Isso ampliou o grupo de infraestruturas críticas para incluir o setor de disposição de resíduos municipais. Além disso, outras empresas do chamado "interesse público especial", como fabricantes de armamentos ou empresas com importância econômica particularmente grande, também terão que implementar certas medidas de segurança de TI no futuro.

O IT Security Act 2.0 resultou em ajustes significativos para empresas e, em alguns casos, também para operadores de infraestruturas críticas:

Os operadores de infraestrutura crítica devem implementar sistemas de detecção de ataques até 1º de maio de 2023, o mais tardar.
Além disso, os operadores devem notificar o Ministério Federal do Interior sobre o uso inicial planejado de componentes críticos, por exemplo, se o fabricante for controlado por um país terceiro ou contradizer os objetivos da política de segurança do governo federal alemão, da UE ou da OTAN.
As empresas de especial interesse público são obrigadas a apresentar regularmente uma autodeclaração. Eles devem explicar quais certificações na área de segurança de TI foram realizadas nos últimos dois anos e como seus sistemas de TI foram protegidos.

Além disso, a Comissão Europeia apresentou uma proposta para reformar a Diretiva NIS Europeia (NIS-2) e uma "Diretiva de Resiliência de Instalações Críticas" para melhorar a resiliência física e digital de instalações e redes críticas. O objetivo dessas propostas é minimizar os riscos atuais e futuros. A implementação dessas diretrizes europeias pode, portanto, resultar em uma revisão renovada da Lei de Segurança de TI 2.0.

Como é a proteção integrada da infraestrutura crítica?

Produtores e fornecedores nos setores de energia, água e saúde, bem como empresas industriais que precisam proteger sua TI e controlar a tecnologia contra ataques cibernéticos, precisam de soluções integradas que estejam alinhadas com o IT Security Act 2.0/BSI Act e o ISO 27000 padrões para a condição de segurança da informação. Do lado da tecnologia, as seguintes competências devem, portanto, ser vinculadas para formar uma rede de segurança rígida contra ataques:

Módulos de segurança para proteger infraestruturas críticas

  • Análise de dados de log (LDA): A análise de dados de log, também conhecida como Gerenciamento de eventos e informações de segurança (SIEM), é a coleta, análise e correlação de logs de uma ampla variedade de fontes. Isso resulta em alertas para problemas de segurança ou riscos potenciais.
  • Gerenciamento e Conformidade de Vulnerabilidades (VMC): O gerenciamento de vulnerabilidades permite a verificação contínua de vulnerabilidades internas e externas com detecção abrangente, verificações de conformidade e testes para cobertura completa. Como parte da conformidade de software, o uso autorizado de software para cada servidor ou grupo de servidores é determinado por meio de um conjunto de regras e análises contínuas. O software manipulado pode ser reconhecido rapidamente.
  • Monitoramento da condição da rede (módulo OT): Isso é usado para relatar comunicações em tempo real que indicam uma interrupção na operação sem erros. Condições de sobrecarga técnica, danos físicos, configurações incorretas e deterioração no desempenho da rede são reconhecidas imediatamente e as fontes de erro são identificadas diretamente.
  • Análise de comportamento de rede (NBA): Com a análise de comportamento de rede, a detecção de malware perigoso, anomalias e outros riscos no tráfego de rede é possível com base em mecanismos de detecção baseados em assinatura e comportamento.
  • Detecção e Resposta de Endpoint: Endpoint Detection and Response significa análise, monitoramento e detecção de anomalias em computadores (hosts). Com EDR, ações de proteção ativa e alertas instantâneos são fornecidos.

Devido à complexidade, o processamento adicional das informações relevantes para a segurança desses módulos é realizado por especialistas em segurança. Você avalia e prioriza o conhecimento adquirido automaticamente. Esta é a base para iniciar as contramedidas corretas. Por fim, os especialistas em segurança disponibilizam toda a informação de forma clara num portal central ao qual os stakeholders relevantes - incluindo as equipas de operações de TI e TO, mas também a gestão - têm acesso ou a partir do qual recebem regularmente relatórios personalizados e compreensíveis.

tecnologias de segurança europeias

Embora o uso de tecnologias de segurança europeias não esteja ancorado na lei BSI, é recomendado para operadores e empresas KRITIS no interesse público particular, a fim de poder atender facilmente aos seguintes requisitos legais:

Cumprimento do Regulamento Geral de Proteção de Dados, bem como integridade, autenticidade e confidencialidade dos sistemas informáticos

Os operadores KRITIS, como empresas em todos os outros setores, estão sujeitos aos requisitos do Regulamento Geral de Proteção de Dados da UE (GDPR) e devem cumpri-los em todos os momentos e protegê-los adequadamente.

Além disso, a Lei BSI (§ 8a Parágrafo 1 BSIG) exige que os operadores de infraestruturas críticas forneçam ao BSI prova adequada de suas precauções para evitar interrupções na disponibilidade, integridade, autenticidade e confidencialidade de seus sistemas de tecnologia da informação, componentes ou processos que são essenciais para a funcionalidade das infraestruturas críticas por eles operadas são relevantes.

Ali Carl Gülerman, CEO e gerente geral da Radar Cyber ​​​​Security (Imagem: Radar Cyber ​​​​Security).

Com provedores de segurança europeus, cujos serviços são baseados em tecnologia proprietária desenvolvida na Europa, a conformidade com os requisitos acima é fácil de implementar, pois estão sujeitos aos mais altos padrões de proteção de dados. Além da origem do provedor de segurança cibernética, as empresas KRITIS também devem prestar atenção à forma como o software de segurança é configurado e à coleta de dados de segurança. Para garantir a melhor segurança de dados possível, recomendamos configurar soluções no local como a forma mais segura de implantação. Ainda que a tendência seja cada vez mais para a cloud, esta deve ser vista de forma crítica tendo em conta a elevada sensibilidade dos dados na área do KRITIS.

Componentes críticos: Especificações para os fabricantes usados

O uso da tecnologia de segurança européia também facilita o teste de componentes críticos pelo BSI de acordo com § 9b BSIG. Por exemplo, o BSI pode proibir o uso inicial de um componente crítico se

  • O fabricante é controlado direta ou indiretamente pelo governo, incluindo outras agências governamentais ou forças armadas, de um terceiro país,
  • O fabricante esteve ou já está envolvido em atividades que tiveram efeitos adversos na ordem ou segurança pública na República Federal da Alemanha ou em outro estado membro da União Europeia, na Associação Européia de Livre Comércio ou no Tratado do Atlântico Norte ou em suas instituições,
  • O uso do componente crítico não é consistente com os objetivos da política de segurança da República Federal da Alemanha, da União Européia ou do Tratado do Atlântico Norte.

Forte resiliência cibernética fundamental para organizações KRITIS

Os ataques à infraestrutura crítica são lucrativos para os cibercriminosos. Ao mesmo tempo, eles abrigam um potencial particularmente alto de danos à comunidade: por exemplo,

Portanto, é essencial para as organizações KRITIS selecionar provedores de segurança para suas medidas de defesa que atendam totalmente aos requisitos do BSI e dos padrões ISO 27000 e, ao mesmo tempo, cumpram os mais altos padrões europeus de proteção de dados. A premissa não deve ser apenas evitar multas, mas principalmente garantir a proteção efetiva e sustentável dos sistemas de TI e TO. No entanto, uma forte resiliência cibernética contra ataques nunca se baseia apenas em tecnologias de segurança, mas sempre inclui os processos certos e especialistas qualificados. Somente por meio dessa tríade de produtos, processos e especialistas é possível ter uma visão de 360 ​​graus de toda a infraestrutura de uma organização, a fim de garantir uma detecção precoce holística e uma resposta rápida às ameaças cibernéticas.

Mais em RadarCS.com

 

Sobre Radar Segurança Cibernética

A Radar Cyber ​​​​Security opera um dos maiores centros de defesa cibernética da Europa, no coração de Viena, com base na tecnologia proprietária da Cyber ​​​​Detection Platform. Impulsionada pela forte combinação de expertise e experiência humana, combinada com os mais recentes desenvolvimentos tecnológicos de dez anos de trabalho de pesquisa e desenvolvimento, a empresa combina soluções abrangentes para os desafios relacionados à segurança de TI e OT em seus produtos RADAR Services e RADAR Solutions.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , , ,