Defender a infraestrutura crítica de ciberataques e outras ameaças

Existem 16 sectores de infraestruturas críticas que o Departamento de Segurança Interna dos Estados Unidos (DHS) definiu como "aqueles sistemas físicos e cibernéticos essenciais para as operações mínimas da economia e do governo." Cada um destes 16 sectores é vital para a saúde, segurança e protecção da nação. O DHS supervisiona as infraestruturas críticas com a contribuição e apoio de outras entidades, como governos estaduais e locais, parceiros da indústria privada e agências específicas do sector (SSAs) como a Agência de Proteção Ambiental (EPA).

Quatro setores fundamentais

A infraestrutura crítica está repleta de dependências, sinergias e interesses sobrepostos que mantêm os sectores entrelaçados entre si. Isto é especialmente verdadeiro para a energia, comunicações, água e transporte. A Agência de Cibersegurança & Segurança da Infraestrutura (CISA) considera estes quatro sectores como críticos para as operações uns dos outros e de todos os outros sistemas. Uma falha ou um ataque num sector pode afectar muitos outros simultaneamente. Por exemplo, o ataque de ransomware à Colonial Pipeline em 2021 levou a uma interrupção regional do abastecimento de combustível que pressionou o sector dos transportes e destacou vulnerabilidades em múltiplas cadeias de abastecimento.

Aqui está uma análise mais detalhada destes quatro sectores e das suas relações com outros:

Existem relações semelhantes entre os componentes dentro de cada setor. O gráfico a seguir é uma ilustração básica deste conceito em funcionamento no Setor de Sistemas de Água e Águas Residuais:

Estes componentes também são referidos como subsistemas ou ativos. O ponto chave é que a fundação de cada setor é uma rede de sistemas dentro de outros sistemas. Cada um destes sistemas contribui para a segurança, economia e saúde pública nos Estados Unidos (EUA).

Os restantes 12 sectores de infraestruturas críticas estão listados abaixo:  

• Química
• Instalações Comerciais
• Manufatura Crítica
• Barragens
• Base Industrial de Defesa
• Serviços de Emergência
• Serviços Financeiros
• Alimentos e Agricultura
• Instalações Governamentais
• Cuidados de Saúde e Saúde Pública
• Tecnologia da Informação
• Reatores Nucleares, Materiais e Resíduos

Os EUA também têm vários setores de infraestrutura que não são designados como críticos. Média e entretenimento, hospitalidade e turismo, e imobiliário e construção são alguns exemplos de setores que são importantes para o país, mas não vitais para a saúde pública e segurança nacional.

A administração Biden emitiu o Memorando de Segurança Nacional sobre Segurança e Resiliência de Infraestruturas Críticas (NSM-22) em abril de 2024. Este documento exige o desenvolvimento de um Plano Nacional de Gestão de Risco de Infraestruturas que enfatize a responsabilidade partilhada e uma abordagem baseada no risco para a segurança.

CISA anunciou que iria “empregar todas as ferramentas, recursos e autoridades federais disponíveis para gerir e reduzir riscos a nível nacional, incluindo aqueles que se propagam por setores de infraestrutura crítica" à medida que desenvolvia este novo plano de gestão de risco. A CISA reconheceu ainda que o Plano Nacional de 2025 irá considerar a evolução das ameaças, vulnerabilidades e consequências para além do âmbito dos ciberataques. O terrorismo, os desastres naturais e outros riscos serão avaliados e abordados.

Esses recursos têm mais informações sobre como os EUA estão a defender a infraestrutura crítica:

• Memorando de Segurança Nacional sobre a Segurança e Resiliência de Infraestruturas Críticas
• CISA - Memorando de Segurança Nacional sobre Segurança e Resiliência de Infraestruturas Críticas
• Setores de Infraestrutura Crítica
• Sistemas de Infraestruturas Críticas

Nos próximos meses, vamos analisar mais de perto a defesa de infraestruturas. O nosso próximo artigo irá explorar as ciberameaças aos sistemas de gestão de água e águas residuais.