Centrais nucleares enfrentam risco crescente de ataque cibernético

Estudo de think tank britânico afirma que indústria está mal preparada para enfrentar ameaça emergente, especialmente nos países em desenvolvimento. Tecnologia digital barata facilita ação dos hackers

O risco de ataques cibernéticos contra usinas de energia nuclear aumenta a cada dia, e as empresas do setor podem não estar bem preparadas para enfrentar esta ameaça, de acordo com pesquisadores britânicos.

Um estudo publicado pelo Instituto Real de Assuntos Internacionais, mas conhecido como Chatham House, também alerta que o risco de liberação de radiação por meio de um ataque cibernético é remoto, porém real, e mesmo uma ação de hackers que não resulte em contaminação pode ser fatal para uma indústria que sofre constante pressão da opinião pública.

O estudo ressalta o quanto a sociedade está exposta aos riscos cibernéticos, que constituem ameaças a áreas sensíveis como os sistemas de energia elétrica e ao transporte aéreo, e que, segundo especialistas, ainda são mal geridos pelas empresas e pelo governo no Brasil.

De acordo com os pesquisadores, o risco de um ataque é crescente porque as usinas nucleares são cada vez mais dependentes de tecnologia digital vendida comercialmente, que é mais barata, mas também mais vulnerável à ação dos hackers.

A natureza um tanto sigilosa das atividades de energia nuclear, que limita o trânsito de informações sobre as ações sofridas pelas empresas, também faz com que seja mais difícil tomar conhecimento das ameaças que pairam sobre o setor.

O estudo também observa que faltam padrões regulatórios que incluam a indústria como um todo. Esses fatores combinados tornam provável que as empresas não tenham feito uma avaliação suficiente do risco a que estão expostas, segundo o estudo, prejudicando seus preparativos para lidar com ataques cibernéticos.

A situação tende a ser ainda mais grave nos países emergentes, onde há menos recursos disponíveis para investir na segurança dos sistemas de informática.

De fato, especialistas anônimos entrevistados pelos autores afirmam que, caso um grupo terrorista queira gerar preocupação global com a indústria nuclear por meio de um ataque cibernético, seu alvo mais provável seriam instalações localizadas em países emergentes e em crise política ou econômica. A Ucrânia é citada como um exemplo.

Alvos do Stuxnet

A gravidade do risco foi ilustrada recentemente por ataques cibernéticos como os realizados contra instalações nucleares do Irã em 2010 por meio do troiano conhecido com Stuxnet, afirmam os autores.

Eles notam que a sofisticada tecnologia utilizada em tais ataques hoje está bastante difundida, e sabe-se que uma usina russa foi atingida pelo mesmo troiano.

Antes disso, há casos conhecidos de outros ataques cibernéticos contra usinas nucleares na Lituânia em 1992, nos Estados Unidos em 2003, 2006 e 2008, e na Coréia do Sul em dezembro de 2014.

Mas os autores suspeitam que os incidentes são mais comuns do que chega ao conhecimento público.

Isso porque a indústria nuclear poderia ter receio em compartilhar notícias sobre ataques, a exemplo de outras indústrias, e possivelmente em um nível mais intenso devido às implicações de suas atividades para a segurança nacional dos países onde atuam.

Os autores criticam em especial a ideia de que os sistemas de informática das centrais nucleares, por questões de segurança, estão isoladas da internet comercial.

Eles qualificam este conceito de “mito” e dizem que, ainda que fosse verdade, um ataque poderia ser realizado por meio de ferramentas tão simples quanto um flash drive utilizado por um funcionário.

Além disso, várias usinas utilizam as chamadas redes privadas virtuais (VPNs) ou possuem redes antigas que estão fora de uso e foram instaladas por terceiros. Tais estruturas podem vir a ser utilizadas por hackers.

A contaminação pode chegar também por meio das empresas que fazem parte da cadeia de suprimento das instalações nucleares.

Controle velho

Os pesquisadores afirmam ainda que os sistemas de controle automatizado de muitas usinas foram desenhados nos anos 1960, quando não havia internet nem a ameaça de ataques virtuais, e são portanto inseguros por natureza em relação a este tipo de ameaça.

O caráter estratégico da indústria nuclear também faz do setor um alvo privilegiado não só para hackers e ciberterroristas, mas também na chamada “guerra cibernética” entre Estados que, de acordo com alguns analistas, se está desenvolvendo no mundo atualmente (veja aqui reportagem sobre isso do The Wall Street Journal).

A pesquisa incluiu entrevistas com 30 profissionais que trabalham no setor de energia nuclear, seja em empresas ou instituições de governo, nos Estados Unidos, Reino Unido, Canadá, França, Alemanha, Japão, Ucrânia e Rússia.

“O estudo concluiu que a indústria nuclear está começando – mas com dificuldades – a enfrentar esta nova e insidiosa ameaça”, afirma Patricia Lewis, chefe de Pesquisas sobre Segurança Internacional da Chatham House na introdução ao estudo. “O risco cibernético para instalações nucleares requer constantes avaliação e resposta.”

Entre as medidas para enfrentar esta ameaça, os autores recomendam a melhoria das práticas de gestão de risco nas empresas nucleares e o desenvolvimento do mercado de seguros para riscos cibernéticos.

Clique aqui para acessar o estudo completo, em inglês.