Cibersegurança: o calcanhar de Aquiles das smart cities

Com a crescente digitalização de processos e serviços críticos, a cibersegurança torna-se cada vez mais importante. Nada ilustra isto como o recente bombardeamento por parte do estado de Israel de um centro de operações do Hamas como resposta a um alegado ciberataque – a primeira vez que um estado retalia de forma bélica a um ciberataque.

Apesar de não acarretarem implicações tão drásticas, as smart cities constituem outro exemplo dos níveis críticos que a cibersegurança está a alcançar: tudo está interconetado, muitas das tecnologias estão ainda subdesenvolvidas ou em fase de testes e a digitalização de serviços críticos como a energia, segurança pública e serviços de emergência deixa a segurança e bem-estar dos habitantes à mercê de qualquer agente malicioso que consiga comprometer a rede.

Foi por isso que o Portugal Smart Cities Summit 2019, que decorreu entre os dias 21 e 23 de maio na FIL, contou com um painel dedicado a cibersegurança, com representantes da Armis, Cisco, IBM, NOS e Warpcom, bem como uma nota de encerramento por Lino Santos, coordenador do Centro Nacional de Cibersegurança.

Mesmo antes de serem inteligentes as cidades já eram cibernticamente atacadas. Frederico Macias, da Deloitte, relembra um destes incidentes, em 2018, quando a cidade de Atlanta, nos EUA, foi alvo de um ciberataque, deixando vários dos seus serviços indisponíveis. Desde que hajam sistemas sobre os quais recaia algum tipo de operação ou serviço da cidade, existe uma oportunidade para agentes maliciosos tomarem partido das mesmas para causar desestabilização. 

Nas palavras de Ryan Ward, Security Consultant da IBM X-Force Red, “se não forem seguros, estes sistemas concebidos para nos ajudarem poderiam muito facilmente ser transformados em armas”.

Desafio

Não só existem cada vez mais aplicações e serviços críticos digitais, como também a própria salvaguarda da cibersegurança é cada vez mais desafiante, resultado da complexidade de uma realidade multicloud, da conetividade, e da expansão dos perímetros das redes – mesmo em empresas, a mobilidade e o trabalho remoto fazem com que nenhum perímetro possa ser limitado a uma dada localização fixa.

A escassez de talentos vem agravar ainda mais a questão: em 2021, vão existir 3,5 milhões de postos por cobrir na área cibersegurança, o que levará a uma grande inflação destes recursos e condicionando a capacidade das empresas se defenderem de ciberataques.

Segundo Tiago Ribeiro, da NOS, a temática da segurança deve ser abordada de forma holística a partir dos seus alicerces, nomeadamente a nível da infraestrutura. “Estas novas plataformas e aplicações têm de embutir no seu desenho, na sua construção, as preocupações com cibersegurança”.

Contudo, alerta, a tecnologia por si só não é suficiente. A cibersegurança constitui um problema multifacetado que deve ser abordado a 360º, dos dispositivos aos processos – sem esquecer o fator humano. Se os colaboradores de um organização não tiverem um mindset de boas-práticas adequado, se os processos de gestão de informação não forem repensados a pensar na segurança, não há solução tecnológica que possa proteger a organização de forma adequada.

Também neste contexto, Frederico Macias delineou um conjunto de tópicos a ter em conta na estratégia de cibersegurança de uma organização:

• Reconversão: a cibersegurança não pode ser compartimentalizada à parte da estratégia e liderança da organização. Os operadores de cibersegurança não têm uma visão estratégica e holística da organização e dos seus processos. É, assim, fundamental que a liderança seja instruída e envolvida nas questões de cibersegurança da organização de forma a que esta possa ser integrada na estratégia alargada da empresa;
• Modelo de governance: têm de ser definidos à partida até onde é que vai a atuação, influência e independência da equipa de cibersegurança. Por exemplo, em caso de ataque, deve comunicar o mesmo à administração e esperar por instruções, ou agir de imediato?;
• Risco e compliance: quais os riscos e regulamentações em cujo contexto a organização opera e de que forma é que isto se traduz na sua estratégia de cibersegurança;
• Visibilidade: as organizações, em particular em casos complexos como o de uma cidade, devem ter sempre uma visão completa dos seus ativos e respetivo valor, de forma a calcular o risco que cada um comporta e garantir que as equipas de segurança atual em função destes paradigmas;
• Automação e orquestração: automatizar a resposta a um incidente, essencial para mitigar o impacto de ciberataques, que de outra forma podem passar despercebidos durante semanas até serem detetados.

“Os incidentes vão acontecer e o importante é estarmos preparados”, acrescenta Tiago Ribeiro. “Recuperar de um incidente, especialmente em grandes organizações, é tudo menos linear”.

Um dos problemas mais persistentes na IoT – que é muitas vezes mencionado como o seu elo mais fraco – é a segurança do hardware, em particular de dispositivos endpoint como câmaras e sensores.

Visto a IoT ser uma tendência tecnológica relativamente nova e que está de momento a ver uma forte adesão, estes dispositivos tendem a ser desenvolvidos e implementados sem ter em consideração a mudança de paradigma que a conetividade traz consigo. Não são seguros porque, até agora, não era necessário que o fossem – e os fabricantes tendem a não investir no desenvolvimento de novos parâmetros de segurança porque querem levar os produtos ao mercado o mais rapidamente possível para tomar partido desta tendência. 

“Estas tecnologias tendem a ser mais apressadas e na maior parte das vezes a segurança tende a tomar um papel secundário”, refere Ryan Ward. “No geral, é estimado que retificar uma vulnerabilidade após o lançamento de um produto adiciona 30% aos custos de produção – temos de começar a pensar na segurança antes de desenvolvermos estes produtos e de construirmos as nossas smart cities. A segurança tem de estar no centro de tudo o que fazemos”.

Por último, Lino Santos, coordenador do Centro Nacional de Cibersegurança, fechou o painel com uma palavra de tranquilidade. “O mundo não vai acabar amanhã com um ciberataque”, garante, acautelando que “os direitos humanos também se aplicam no ciberespaço” e que a introdução de mecanismos de vigilância e controlo deve sempre ser abordada sob a perspetiva das liberdades às quais os seres humanos envolvidos têm direito.

Chamou ainda à atenção dois mecanismos legislativos a serem implementados pela União Europeia no futuro próximo, com o objetivo de uniformizar os standards de cibersegurança em todos os estados-membro.

Em primeiro lugar, o Cibersecurity Act trata da certificação de equipamentos consoante o seu grau de segurança, semelhantemente ao que já acontece com a eficiência energética.

Em segundo, vai ser criado um centro de competências de cibersegurança europeu, para “centralizar os esforços de desenvolvimento, investigação e capacitação dos países na área de cibersegurança”.

Lino Santos conclui que “podemos ter um ambiente mais seguro, temos instrumentos para o fazer”, sem esquecer que “a cibersegurança é uma responsabilidade partilhada entre todos os Estados e organizações privadas”.