Ataques em sistemas de controle industrial estão em amplo crescimento: o The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) emitiu um alerta, que foi reiterado pelo German Federal Office for Information Security (BSI). Ferramentas especiais e mecanismos de busca tornam os ataques a sistemas e dispositivos na infraestrutura, como redes de eletricidade, simples até para agressores sem experiência.
As ferramentas destinadas a quebrar sistemas de controle digitais de empresas como GE, Rockwell Automation, Schneider Electric e Koyo foram disponibilizadas no começo desse ano. Uma ferramenta para quebrar o software CoDeSys, da empresa alemã 3S Software, também surgiu recentemente. Essas ferramentas derrubam certas barreiras no momento do ataque por removerem a necessidade de conhecimento especializado para realizá-lo.
Mecanismos de busca especializados como o Shodan Computer Location Service e o Every Routable IP Project (ERIPP) também estão facilitando a vida dos agressores. Uma equipe de pesquisadores contou à ICS-CERT que utilizaram o Shodan para descobrir mais de 500.000 dispositivos inseguros que usam SCADA e outros sistemas de controle industrial (Industrial Control Systems, ou ICS).
A ICS-CERT recomenda às empresas que realizem auditorias aos seus sistemas para verificar e buscar por vulnerabilidades na segurança. Os analistas de segurança devem usar ferramentas como o Shodan e o ERIPP para buscar pelos seus próprios dispositivos. Essa busca também pode encontrar dispositivoos que se acreditavam seguros e não conectados à Internet. A princípio, esses sistemas devem se conectar à web apenas quando absolutamente necessário e devem ser protegidos por um firewall e senhas fortes e seguras. Redes de sistemas de controle e redes corporativas devem ser isoladas umas das outras. Companhias devem também ter seus sistemas de segurança externamente auditados.
A ICS-CERT é parte do United States Computer Emergency Readiness Team (US-CERT), uma agência do Department of Homeland Security, e possui responsabilidade específica sobre a segurança de sistemas de controle industrial.
