O fechamento do maior oleoduto de combustível dos Estados Unidos por um ataque de ransomware destaca uma vulnerabilidade sistêmica: os operadores de oleoduto não precisam implementar defesas cibernéticas.
O governo dos Estados Unidos tem protocolos de segurança cibernética robustos e obrigatórios para a maior parte da rede elétrica há cerca de 10 anos, a fim de evitar hacks debilitantes por criminosos ou atores estatais.
Mas os 2,7 milhões de milhas (4,3 milhões de km) de oleodutos de petróleo, gás natural e líquidos perigosos do país têm apenas medidas voluntárias, o que deixa a segurança para os operadores individuais, disseram os especialistas.
“Simplesmente encorajar pipelines a adotar voluntariamente as melhores práticas é uma resposta inadequada ao número e sofisticação cada vez maiores de ciberatores malévolos”, disse Richard Glick, presidente da Federal Energy Regulatory Commission (FERC).
Embora nenhuma proposta de medidas específicas tenha sido apresentada, as proteções podem incluir requisitos para criptografia, autenticação multifator, sistemas de backup, treinamento de pessoal e segmentação de redes para que o acesso aos elementos mais sensíveis possa ser restrito.
A autoridade da FERC para impor padrões cibernéticos à rede elétrica veio de uma lei de 2005, mas não se estende aos dutos.
Colonial Pipeline, o maior oleoduto de produtos petrolíferos dos EUA e fonte de quase metade do fornecimento na Costa Leste, foi fechado desde sexta-feira após um ataque de ransomware que o FBI atribuiu ao DarkSide, um grupo de especialistas cibernéticos que acredita estar baseado na Rússia ou no Leste Europeu.
A paralisação levou a preços mais altos da gasolina no sul dos Estados Unidos e a preocupações com a escassez mais ampla e potencial aumento nos preços antes do feriado do Memorial Day.
A Colonial não respondeu imediatamente a uma pergunta sobre se os padrões de segurança cibernética deveriam ser obrigatórios.
O grupo de lobby do American Petroleum Institute disse que estava conversando com a Administração de Segurança de Transporte (TSA), o Departamento de Energia e outros para entender a ameaça e mitigar o risco.
Fonte: Reuters
Da redação
