INDÚSTRIA 4.0 60 Isto leva-nos a pensar que os ciberataques contra infraestruturas críticas e contra a indústria em geral irão aumentar nos próximos anos. Por conseguinte, é necessário, a partir de agora, utilizar meca- nismos e contramedidas para proteger estes sistemas. O que aconteceu nos últimos anos? Nos últimos anos, foram detetados vários ataques cibernéticos em setores e infraestruturas críticos e o mais significativo é que, por trás da maioria deles, havia uma ameaça avançada persistente (APT) cada vez mais sofisticada. Isso significa que os criminosos cibernéticos também estão a evoluir do uso de malware orientado para sistemas TI para malware modular avançado que explora vul- nerabilidades em protocolos industriais. Em meados de 2010, a empresa VirusBlokAdase descobriu o malware Stuxnet, que se crê ter sido o primeiro software a espiar e reprogramar sistemas industriais. Acredita-se que a sua missão era desativar as centrais nucleares iranianas e a infeção foi causada por memórias USB. Uma vez dentro do sistema, o malware repro- gramou os PLCs da Siemens para parar as turbinas das centrais nucleares. Em 2011, a McAfee divulgou a Operação Night Dragon, um ataque cibernético que, desde meados de 2006, espiou e rou- bou informações confidenciais de grandes empresas petroquímicas, de gás e petróleo. Em setembro de 2011, foi descoberto o Duqu, um malware muito semelhante ao Stuxnet. De facto, acredita-se que tenha sido criado pelos mesmos indivíduos. Neste caso, a infeção acontecia através de um documento enviado por e-mail e obtinha informações de sistemas SCADA, roubava credenciais, cha- ves de certificados digitais, etc. Em 2012 foi descoberto o Flame, um malware muito complexo usado para espionagem (ativava a câmara, o microfone, autopropagava-se, etc.). A infeção acontecia através de uma memória USB ou de spear-phising. Em 2013, foi descoberto o Havex, um malware utilizado para espiar empresas de energia, aviação, farmacêuticas, petroquímicas ou de defesa, nos Estados Unidos e na Europa, recorrendo-se do protocolo OPC, uti- lizado para controlar e monitorizar processos industriais. Em 2015 foram detetados dois ataques muito sofisticados, o BlackEnergy e o Industroyer. Em ambos os casos, os alvos eram essencialmente empresas produtoras de eletricidade. O BlackEnergy executava um ataque de negação de serviço e fornecia ao atacante uma porta de entrada no sistema infetado. Por seu lado, o Industroyer foi concebido para destruir sistemas industriais infetados. Em 2017, foi detetado o malware Triton, criado para interagir com os con- troladores Triconex Safety Instrumented System (SIS) da Schneider Electric e, assim, ser capaz de mudar o seu comportamento, causando paragens na produção ou danos de elevada monta na infraestrutura. O elo mais fraco Como vimos em vários dos casos descritos, independentemente da complexidade e do poder do malware, o canal de infeção foi sempre o elo mais fraco da cadeia: o trabalhador que interage com algum dispositivo na infraestrutura. Seja executando um arquivo infetado recebido por e-mail ou ligando um dispositivo USB a um sistema ope- racional específico, o trabalhador desencadeia um desastre. O mesmo acontece na maioria dos casos de sequestro de dados (ransomware). Essa situação é crítica, pois não só afeta a cibersegurança no setor, mas também se aplica à cibersegurança em geral e deve ser abor- dada de forma transversal a toda a organização. A sensibilização é