IGTI Blog
riscos ciberfísicos

Riscos advindos da Evolução Físico-Cibernética

A evolução dos sistemas físico-cibernéticos ou ciberfísicos promove o aumento da complexidade dos riscos nas organizações contemporâneas.

Devido ao aumento da complexidade nestes sistemas ciberfísicos, o conhecimento fica cada vez mais imperfeito em relação aos eventos futuros.

Os riscos possuem proporcionalidade direta com estes possíveis eventos e aumentam sua incidência em situações com incerteza e pouca previsibilidade das probabilidades. A constante mudança nos cenários tecnológicos colabora para a sofisticação dos ataques aos sistemas ciberfísicos, expandindo os impactos possíveis originados pela sua ocorrência e configurando um cenário em que os riscos podem originar situações mais danificadoras para os sistemas produtivos.

O avanço das novas tecnologias ciberfísicas presentes na 4ª Revolução Industrial (Indústria 4.0) vem acompanhado de novas incertezas e complexas possibilidades para registros de riscos. Momentos de ruptura estrutural nos setores industriais de alta tecnologia, a saber microprocessadores, computadores pessoais, software e outras inovações para a internet rompem a vantagem competitiva das organizações (RUMELT, 2008). O agravante relacionado a expansão dos riscos, continua atingindo não somente os objetivos das organizações. A sociedade pode estar em perigo se alguma organização atacada, tem seu sistema produtivo relacionado com um setor industrial estratégico para o bem-estar das pessoas.

A integração dos sistemas ciberfísicos propaga integrações da computação com os processos físicos, próximos dos seres humanos. Computadores e redes integrados monitoram e controlam os processos físicos, com retroalimentação recorrente, em que os processos físicos afetam os cálculos e vice-versa.

Ao explorar sistemas de infraestrutura, controle e monitoramento industrial críticos para os seres humanos, os ataques cibernéticos representam uma ameaça à economia e à segurança pública. A evolução na natureza e a sofisticação das ameaças ciberfísicas têm sido deslumbrantes, e, certamente, é só começo. Cada vez mais, os argumentos de Beck (2010) estruturam as críticas à ciência da modernidade e a sua produção de conhecimento para a normalização dos riscos ambientais e sociais, criando parâmetros de aceitação política pela descaracterização e dissimulação dos perigos gerados à humanidade, fazendo uma simbologia da descontaminação por meio dos limites de tolerância. O conhecimento e a consciência do risco são reversíveis, gerando uma normalidade ao risco, desqualificando-o e deslocando a percepção da causa para a manifestação.

A exposição das grandes empresas ao risco aumenta quando integrada em redes entre empresas. Não diferente, pequenas e médias empresas, com parceiras em cadeias de suprimentos, sofrem deste mesmo mal. Realizar planejamento, identificação, análise, respostas e controle dos riscos, torna-se relevante para projetos implantando tecnologias da informação. O módulo Gestão de Riscos e Contratos de Tecnologia da Informação (GRC) do MBA em Gerenciamento de Projetos de TI no IGTI aborda esta perspectiva. No entanto, quando a organização está integrada em redes empresariais, colaborando na cadeia de suprimentos, os riscos podem aumentar para as participantes levando a necessidade de análise de riscos no nível corporativo. Em sistemas produtivos com riscos tecnológicos originados pela integração com outras empresas, a solução pode vir de algoritmos de proteção para regras de associação aplicado ao banco de dados.

Situações com pouca ou nenhuma informação sobre o que está por vir gera esta incerteza, e este cenário inseguro gera insatisfação, assim, a caracterização do ser humano oportunista toma forma como vetor para ataques cibernéticos. Aqueles que buscam obter acesso não autorizado aos registros dos computadores ou sistemas de informação, adotam uma estratégia de encontrar vulnerabilidades. São muitos os exemplos de ataques aos ativos físicos e de infraestrutura crítica que afetam a sociedade como um todo, redes elétricas, satélites, sistema de transporte, instalações de telecomunicações e instalações nucleares ocupam as primeiras posições em grandeza de impacto.

Softwares vulneráveis deixam a porta aberta para incidentes de segurança da informação originadas em atitudes desonestas de usuários. Assim, é crucial que os desenvolvedores pensem em segurança ao realizar a codificação, ainda que este não seja um trabalho trivial, existem ferramentas disponíveis para segurança nos sistemas computacionais. O FindBugs faz análise das classes e arquivos Java ARchive (JAR), identificando vulnerabilidade em função de erros padronizados. Rips faz a verificação em aplicações PHP. Sonar gerencia a qualidade do código, sendo possível sua integração com diversas linguagens e outras ferramentas de automatização. Treat Modeling Tool da Microsoft modela ameaças no processo de desenvolvimento. Web Application Protection (WAP) da Open Web Application Security Project (OWASP) realiza inspeção e correção no código fonte por meio de mineração de dados, prevendo falsos positivos. Além destes, existem outros projetos, guias e iniciativas que podem ser utilizados.

O uso destas ferramentas pode mitigar os riscos ciberfísicos. Entretanto, conforme mencionado antes, os hackers aumentaram a complexidade e sofisticação dos seus ataques, sendo que o impacto desses ataques está mais devastador devido as metas mais ambiciosas desses vetores. Com o advento das moedas virtuais ou digitais, como o BitCoin, minerações estão sendo expandidas e atacadas para roubar processamento. Os ataques chegam aos cidadãos comuns, que podem ter o processamento do seu computador sequestrado, sem sua permissão ou conhecimento. As empresas, por outro lado, devem agora enfrentar o espectro da manipulação de dados, extorsão e até inacreditáveis atos de terrorismo. Recentes casos de sequestros de todas as informações organizacionais, solicitando pagando para resgate, ocorreram em diversas partes do mundo.

A existência do BitCoin, que opera transações financeiras no ambiente digital, ocorre por meio das redes abertas distribuídas que a Blockchain (cadeia de blocos) fornece. Esta plataforma permite que os bancos de dados descentralizados sejam utilizados para realizar a criptografia e autenticidade em transações de dados. Diversos computadores adotam o mesmo conjunto de dados, padronizando regras de armazenamento, modificação e processamento. Observa-se que os riscos nestas transações digitais atingem um nível de complexidade que ultrapassa o limite de conhecimento de muitas organizações ao redor do planeta. Já existem casos de pessoas utilizando a compra destas moedas virtuais com recursos proveniente de operações ilícitas.

Deixando esta abordagem do ambiente externo das organizações, a busca pela melhoria dos processos internos e a execução de análises de riscos periódicas pode ser auxiliada com uma abordagem da resiliência por meio da utilização de tecnologias como Firewall, Security Information and Event Management (SIEM), Endpoint Security, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), entre outros. Este aparato tecnológico ajuda, mas não é suficiente. As pessoas com seu conhecimento tácito ocupam papel fundamental. As organizações devem estar alertas aos perigos, controlando a segurança ciberfísica e apoiando-se em métodos seguros para realizar as atividades de gerenciamento de riscos.

Neste contexto, reafirma-se que realizar a segurança ciberfísica não é uma tarefa fácil. O conhecimento é uma defesa importante para vantagem competitiva sustentável das firmas, fornecendo insumos para obter resultados mitigatórios em relação aos riscos na era da Indústria 4.0. O suporte da TI tem impacto positivo na combinação deste conhecimento com a criatividade, configurando um fator crítico para aumentar o desempenho organizacional. Negligenciar inovações pode desestruturar um negócio e a gestão do conhecimento é uma força direcionadora crítica para o sucesso nos resultados positivos da organização. Por outro lado, evoluções tecnológicas que geram drones, carros autônomos, tecnologias nucleares e integração físico-cibernética não estão livres da falta de racionalidade humana para alterar suas finalidades.

Professor autor: Eder Junior Alves

Referência:
BECK, U. Sociedade do risco. 1. ed. São Paulo: Editora 34, 2010.
RUMELT, R. P. Strategy in a “structural break”. McKinsey Quartely, dez. 2008.