Por Rob Knake
“A infra-estrutura digital que serve eos EUA está literalmente sob ataque”, alertou duramente o diretor de Inteligência Nacional, Dan Coats na semana passada. A maioria dos comentaristas tomou sua declaração de que “as luzes de advertência estão piscando em vermelho” como uma referência aos hackers russos patrocinados pelo Estado que interferem nas próximas eleições do meio do ano, como fizeram nas eleições presidenciais de 2016. Concentrar-se na interferência eleitoral pode ser como combater a última guerra, fixando-se em ataques passados, corrigindo as vulnerabilidades mais agudas agora. Há motivos para pensar que a verdadeira ameaça cibernética da Rússia hoje é um ataque à infra-estrutura crítica nos Estados Unidos, incluindo uma na rede elétrica que apagaria as luzes de milhões de americanos.
Sabemos do que a Rússia é capaz porque podemos ver o que é feito em outro lugar. Um relatório da equipe do Comitê de Relações Exteriores do Senado encontrou evidências de que, antes de 2016, a Rússia tentara manipular as eleições em 18 outros países. Agora, agências de inteligência e empresas de segurança ligaram os hackers russos ao desligamento de uma usina siderúrgica alemã, ao corte do serviço de telefonia e internet para cerca de 900 mil alemães e, mais ameaçadouramente a duas interrupções na rede elétrica na Ucrânia. A justa vantagem da interferência da Rússia em 2016 não é apenas que Washington precisa proteger as eleições americanas, mas também o que a Rússia faz no ciberespaço deve ser uma advertência sobre o que pode ser feito nos Estados Unidos.
Experimentos
Em dezembro de 2015, hackers russos apagaram as luzes na região de Ivano-Frankivsk, no oeste da Ucrânia, deixando cerca de 230 mil pessoas no escuro. O ataque desligou 30 subestações de energia e as desconectou dos sistemas de comunicação para que não pudessem ser reiniciadas remotamente. Um segundo ataque, um ano depois, visava subestações em Kiev. Em última análise, os ataques foram relativamente contidos: a queda de energia de 2015 em Ivano-Frankivsk durou apenas seis horas, e o ataque de 2016 afetou apenas 20% da energia de Kiev por cerca de uma hora apenas.
Mas a natureza relativamente limitada dos ataques na Ucrânia não deve ser motivo de conforto. É possível que a Rússia pretendesse usar os ataques para enviar uma mensagem à Ucrânia, em vez de infligir dano real. Mais preocupantemente, podem ter sido testes para ver as capacidades cibernéticas russas.
Para começar, os ataques demonstraram um nível preocupante de competência e sofisticação por parte dos hackers russos. “Para mim, o que torna a sofisticação logística, o planejamento e as operações e … o que está acontecendo durante a interferência”, disse Robert M. Lee, especialista em segurança do sistema de controle, à Wired. “Isso foi altamente sofisticado.” Os invasores realizaram extensas pesquisas e operações de reconhecimento para entender seu alvo e, em seguida, executaram um ataque em múltiplos estágios contra múltiplos alvos simultaneamente.
Além de suas capacidades operacionais e de planejamento, os invasores também desenvolveram ferramentas melhores para realizar esses tipos de ataques. O malware usado no ataque de 2016 foi muito mais sofisticado do que no ataque de 2015. Em vez de reutilizar malwares conhecidos anteriormente, projetados para sistemas corporativos, os invasores usaram malwares criados com finalidade específica e poderiam ser usados para causar indisponibilidades generalizadas contra vários destinos. Essas melhorias tecnológicas entre os dois ataques sugerem que eles forneceram uma oportunidade para a Rússia usar a Ucrânia como um campo de testes.
Dada a extensão das capacidades cibernéticas russas, é provável que se o governo russo quisesse causar interrupções mais extensas e duradouras na Ucrânia, poderia ter por exemplo, implantando mais equipes para causar paralisações simultâneas de várias regiões. Mas a Rússia tem outros pontos de alavancagem na Ucrânia, notadamente, uma fronteira comum e uma grande população da Ucrânia, etnicamente russa e politicamente pró-russa, que oferecem outras opções para exercer influência na Ucrânia. Isso acrescenta à teoria de que os ataques cibernéticos eram apenas testes, prática para a capacidade de desligar uma rede elétrica, realmente oferecesse à Rússia uma vantagem estratégica ou tática.
Diagnosticando a vulnerabilidade
Vários aspectos dos ataques à Ucrânia são alarmantes sob a perspectiva dos EUA. Esses ataques dependiam de ferramentas bastante básicas: eles começaram com e-mails de spear phishing, exploraram vulnerabilidades conhecidas e usaram uma família de malware que havia sido usada anteriormente. Nesse ponto, a Rússia provavelmente desenvolveu capacidades cibernéticas muito mais sofisticadas, semelhantes ao malware Stuxnet, que alvejou o programa nuclear do Irã e causou danos físicos reais às centrífugas. Na Ucrânia, os operadores de rede só podiam sentar e assistir enquanto os hackers praticamente moviam o mouse pelas telas de suas unidades de controle para desligar os sistemas de energia, o que pelo menos os alertava para o fato de um ataque cibernético estar ocorrendo. Em um ataque mais sofisticado, os operadores da rede podem ser deixados completamente sem saber sobre como e porque perderam o controle.
Quanto a rede dos EUA está tão vulnerável a um ataque semelhante ao da Ucrânia? De acordo com a comunidade de inteligência dos EUA, muito. Em 2014, o almirante Michael Rogers, então diretor da Agência Nacional de Segurança, disse ao Congresso que o malware atribuído à Rússia foi encontrado na infra-estrutura crítica em todo o país. Mas Rogers apontou que a Rússia e outros adversários na época não tinham um forte motivo para realizar tal ataque. No caso de a Rússia decidir que é de seu interesse apagar as luzes, o que não sabemos é se as concessionárias serão capazes de detectar e impedir tal ataque. Diagnosticar vulnerabilidades exigiria ação de uma agência federal, mas até agora nada foi feito. Os operadores de grade têm alguma capacidade de conduzir suas próprias avaliações de segurança, mas tendem a ter menos recursos e serem afetados por disparidades entre os diferentes operadores. Alguns serviços públicos estão investindo milhões em segurança, enquanto outros precisam escolher entre aparar árvores ao longo das linhas de transmissão ou atualizar equipamentos de segurança.
Limites de taxas definidas por placas de utilitários simplesmente não permitem que algumas empresas façam as duas coisas. Além disso, em uma rede como a rede elétrica dos EUA, o potencial de falhas em cascata é muito alto. Um exemplo ilustrativo foi o apagão de 2003 de grande parte do nordeste dos Estados Unidos e Ontário, que foi causado por um problema local em um fornecedor de energia de Akron, Ohio. Assim, as concessionárias locais podem investir em segurança cibernética para evitar que invasores russos interrompam sua energia diretamente, mas a falha de outros utilitários em proteger seus sistemas ainda torna todos vulneráveis. Também vale a pena notar que, em pelo menos um aspecto, a rede elétrica dos EUA é ainda mais vulnerável que a ucraniana. Quando os hackers tiraram os controles eletrônicos da rede, os ucranianos conseguiram reverter para a operação manual, uma capacidade que muitas empresas de serviços públicos nos Estados Unidos eliminaram. Sem a capacidade de reverter para operações manuais, um ataque cibernético não só poderia desligar a rede elétrica como também poderia mantê-la inoperante.
Defendendo a grade
Já existem amplas evidências de que a Rússia está realizando um reconhecimento contra a rede elétrica dos EUA. Um boletim do Departamento de Segurança Interna dos EUA, publicado em março deste ano, alertou os operadores de infra-estrutura crítica sobre a ameaça dos atores russos, afirmando que a campanha estava “visando a infra-estrutura do sistema de controle industrial (ICS)”, incluindo energia, instalações nucleares e água, uma dependência crítica para a produção de energia. Dadas essas ameaças, Washington deve tomar medidas urgentes. Isso deve começar com o presidente dos EUA, Donald Trump, agindo rapidamente para impedir que governos estrangeiros se envolvam no reconhecimento necessário para atacar a rede. Ele deve deixar claro que, se os Estados Unidos identificarem adversários estrangeiros que interfiram com seus sistemas de energia, eles verão sua presença como um ato hostil sujeito à resposta dos EUA. As sanções impostas à Rússia em março de 2018 são, em parte, uma resposta à investigação russa do setor de energia, mas por si só não são suficientes para estabelecer uma norma contra tal atividade.
O presidente deve advertir diretamente adversários estrangeiros para sair da infra-estrutura crítica dos EUA e ameaçar com consequências, se não o fizerem. Em seguida, Washington precisará determinar se os adversários russos ou outros adversários estrangeiros atenderam a essa mensagem. A comunidade de inteligência pode ser capaz de avaliar a conformidade, mas a melhor maneira de garantir a segurança é que os inspetores nomeados pelo governo verifiquem diretamente se as redes de serviços públicos foram comprometidas. (Trump primeiro precisará determinar se seu escritório ou a Comissão Federal Reguladora de Energia independente tem autoridade para ordenar essas inspeções e, se não o fizer, deve pedir permissão ao Congresso para fazê-lo.) As empresas de serviços públicos devem ser encorajadas a cooperar voluntária também. Os reguladores estaduais, que têm autoridade sobre distribuição de energia a residências e empresas, também devem flexibilizar suas forças reguladoras. Essas avaliações podem revelar sinais de atividade adversária, mas o mais importante é que eles revelarão sistemas vulneráveis e mal configurados que precisam de maior proteção e monitoramento.
O Congresso deve garantir que os serviços públicos tenham os recursos necessários para proteger-se, aprovando legislação para fornecer os fundos necessários. Mandar que as concessionárias cobrem uma taxa de segurança específica em cada conta, semelhante à taxa do Serviço Universal cobrada em todas as contas telefônicas, seria a mais direta e uma maneira eficiente de garantir que eles recebam o financiamento necessário para construir programas de segurança fortes. As preocupações de que a sobretaxa adicional seria onerosa para os consumidores de baixa renda poderiam ser atendidas através do financiamento federal adicional do Programa de Assistência de Energia Doméstica de Baixa Renda. Por fim, se a interferência for confirmada, o presidente deve certificar-se de que o Comando Cibernético dos EUA esteja preparado para conduzir operações de contra-ofensiva contra a Rússia e coordenar essa atividade com o setor de energia. A rápida construção de mecanismos para que essa coordenação seja possível quando necessária é uma prioridade tanto do Congresso como da Casa Branca.
Neste momento, a Rússia pode não ter um motivo para realizar um ataque à rede elétrica dos EUA. A julgar pelas manchetes que saem de Moscou após a cúpula de Helsinque, a Rússia está bastante feliz com seu atual relacionamento com a administração Trump. O período de lua-de-mel entre Trump e o presidente russo Vladimir Putin durou mais do que muitos especialistas russos previam, mas um acirramento das relações é iminente, com os dois países entrando em conflito com o Irã, a Síria e outras questões de política externa. Quando esse azedamento ocorre, a Rússia pode decidir usar o que aprendeu na Ucrânia contra os Estados Unidos. Se há um lado bom para o relacionamento confortável que Trump construiu com Putin, pode ser que ele tenha comprado aos Estados Unidos um tempo precioso para proteger sua rede e outras infraestruturas críticas contra os ciberataques russos. Esse tempo não deve ser desperdiçado.
TRADUÇÃO E ADAPTAÇÃO: DAN
FONTE: foreignaffairs