Pplware

Relatório: os sistemas das centrais nucleares são inseguros

Baterias de diamante podem ser solução para armazenar energia de resíduos nucleares

Já pensou no que poderia acontecer se um grupo terrorista tomasse o comando de uma central nuclear norte-americana ou até aqui ao lado na nossa vizinha Espanha?

Segundo um relatório de cibersegurança nas instalações nucleares civis, há muitas centrais que têm várias vulnerabilidades e podem ser atacadas com alguma facilidade.

Um estudo das medidas de segurança dos sistemas de informação nas instalações das centrais de produção de energia nuclear civis ao redor do mundo, encontrou uma ampla gama de problemas em muitas instalações que podem deixar os seus sistemas vulneráveis a ataques, podendo os atacantes tomar o controlo da central e causar interrupções na produção de energia eléctrica ou mesmo danos nos próprios ao reactores.

O estudo, realizado por Caroline Baylon, David Livingstone e Roger Brunt, da organização Chatham House do Reino Unido, descobriu que os sistemas de muitas centrais nucleares “eram” inseguros na sua concepção e vulneráveis a ataques que poderiam ter impacto de larga escala em todo o mundo físico. Estes ataques poderiam causar a interrupção da produção da energia eléctrica e poderiam mesmo levar ao lançamento de “quantidades significativas de radiação ionizante” para o ambiente.

 

Mas que tipo de ataque poderia desencadear este problema?

No passado falou-se que um ataque sofisticado. Usando, por exemplo, o método Stuxnet poderia causar danos significativos, mas o relatório é ainda mais alarmante, pois nem são necessários estes métodos tão elaborados. Os investigadores referem, com base na pobre segurança presente em muitas instalações e no historial de incidentes já causados por software, que é muito mais simples elaborar um ataque.

Os investigadores descobriram que muitos sistemas das centrais nucleares não eram “air gapped”, ou isolados da Internet e tinham acesso a uma rede privada virtual onde até os operadores “desconheciam” que existia.

Descobriram também que, nas instalações em que de facto havia essa separação, entre redes seguras e redes era simples contornar o “bloqueio”. A segurança era contornada conseguindo que na rede segura se introduzisse uma penUSB (ou outro qualquer dispositivo de armazenamento) num computador que um trabalhador tivesse acesso na área da rede isolada.

A utilização de muitos dispositivos pessoais era outro buraco na segurança das centrais, pois eram pontos de fácil propagação de malware nas redes.

 

Como respondem as centrais a ataques?

As muitas centrais investigadas, mostraram que a resposta a estes problemas era “reactiva” e não “pró activa”. Os investigadores detectaram que pouco se tem feito em termos de monitorização dos sistemas de anomalias que poderiam avisar da ocorrência de um ciberataque a uma instalação. Um ataque poderia estar em andamento e não ser de todo detectado. E por causa da má formação em torno da segurança no sector informático, as pessoas responsáveis pela operação das centrais provavelmente não sabem o que fazer.

Esse é um problema que os investigadores caracterizam como uma “falha de comunicação” entre a TI e os profissionais de segurança da equipa de operações da central, e é também uma grave falta de consciencialização dos riscos que um ciberataque poderia causar.

São as más práticas que predominam e não ajudam à comunicação entre os responsáveis TI e os profissionais da segurança.

 

O que poderá ser feito para resolver?

Não parece ser fácil, até porque as centrais não falam sobre as violações aos seus sistemas e isso dá uma dimensão assustadora de como são maus os sistemas.

A raridade da divulgação de incidente de segurança cibernética nas instalações nucleares torna difícil avaliar a verdadeira extensão do problema e pode levar as pessoas da indústria nuclear a acreditar que há poucos incidentes.

…escreveram os investigadores no seu resumo.

Este comportamento não ajuda a haver entidades externas para solucionar o problema e não ajuda sobretudo a clarificar as verdadeiras necessidades. Essas questões, combinadas com a falta de regulamentação, pode levar a uma subestimação do risco por parte dos operadores nucleares e resultar numa falta de orçamento ou planeamento para reduzir o risco de ataque.

Via Arstechnica

Exit mobile version