Por: Marla Mendes, responsável pela Check Point Software Technologies em Angola
As cidades inteligentes estão a tornar-se numa realidade ao invés de um conceito e a integração da tecnologia nas infraestruturas quotidianas tornou-se a norma. Apresentam às autoridades locais um vasto número de oportunidades, incluindo a tomada de decisões com base em dados, um maior envolvimento entre os cidadãos e o governo e uma pegada ambiental reduzida. No entanto, tal como acontece com todas as novas tecnologias, há muitos riscos a ter em conta quando se torna uma cidade inteligente.
Uma das maiores ameaças é, sem dúvida, a sua vulnerabilidade a ciberataques. Isto deve-se ao facto de a utilização de grandes redes oferecer aos cibercriminosos mais pontos de entrada e a oportunidade perfeita para saltar de um sistema exposto para outro. Agora, embora nunca devamos deixar que o medo se interponha no caminho da inovação, é essencial que nos precavamos adequadamente com protocolos de segurança robustos.
Quais são os desafios que as cidades inteligentes enfrentarão em 2023?
As cidades inteligentes enfrentam desafios únicos no que respeita à cibersegurança. As redes são utilizadas por entidades públicas e privadas, pessoas e milhares de dispositivos IoT todos os dias. A enorme quantidade de dados trocados através destas redes exige uma estratégia de segurança rigorosa. Alguns dos principais desafios incluem:
Dispositivos ligados: uma multiplicidade de dispositivos IoT que controlam tudo, desde o CCTV e a gestão de semáforos até aos dados pessoais e financeiros das organizações, pode estar ligada a uma rede em qualquer altura. Em teoria, isto parece ideal para uma comunicação e gestão contínuas, mas na prática oferece aos hackers milhares de potenciais pontos de entrada para iniciar um ataque.
Automatização das operações de infraestruturas: a automatização traz muitos benefícios para todos os tipos de operações das cidades inteligentes, reduzindo a necessidade de controlo humano direto sobre esses sistemas operacionais. O aumento do número de sensores significa mais ligações para monitorizar e gerir. Estas podem ser vistas como mais alvos a comprometer através de vulnerabilidades.
Processos de gestão de dados abaixo do padrão: os dados estão no centro de qualquer cidade inteligente e são fundamentais para as operações quotidianas. No entanto, muitas não têm os processos corretos para garantir que esta informação é gerida de forma segura e protegida. Se uma base de dados não for vigiada corretamente, pode ser um ponto de ataque para os hackers, o que leva à fuga ou roubo de dados sensíveis.
Riscos da cadeia de abastecimento e dos fornecedores de TIC: conhecemos os riscos colocados pela cadeia de abastecimento e por terceiros. Isto foi particularmente evidente durante a recente vulnerabilidade de dia zero encontrada no software de transferência de ficheiros MOVEit, que foi subsequentemente explorada como parte de um ataque de ransomware em grande escala. Os agentes de ameaças continuam a visar os elos mais fracos e, por conseguinte, atacar os sistemas de infraestruturas inteligentes é certamente um alvo lucrativo para qualquer cibercriminoso. Para combater esta situação, é fundamental adotar e aderir a práticas de segurança desde a conceção e por defeito para minimizar estes riscos.
Tecnologia desatualizada: muitas cidades têm infraestruturas e redes construídas com tecnologia desatualizada, o que as deixa suscetíveis a ciberataques. É fundamental garantir que os sistemas têm as últimas atualizações de software e patches de segurança. A tecnologia é fundamental para o sucesso de qualquer cidade inteligente e ter sistemas resilientes deve ser uma prioridade.
Segurança ineficiente: ligada diretamente à tecnologia desatualizada, a existência de protocolos de segurança ineficientes expõe as cidades inteligentes a ameaças maliciosas. Isto deixa os cidadãos e as organizações vulneráveis a violações de dados, roubo de identidade e perda de informações sensíveis. Proteger a infraestrutura existente com medidas de segurança robustas pode evitar uma violação potencialmente desastrosa. Então, como é que garantimos que a segurança, a proteção e a privacidade daqueles que vivem e trabalham nas cidades inteligentes não são comprometidas?
Criar ciber-resiliência nas cidades inteligentes
A investigação sugere que, até 2024, haverá mais de 1,3 mil milhões de ligações de cidades inteligentes a redes de área alargada. O nível de complexidade destas infraestruturas digitais só está a aumentar, o que significa que todos os serviços digitais implementados por um governo ou organização são vulneráveis a ciberataques. Para concretizar o seu potencial, as cidades inteligentes precisam de encontrar um equilíbrio eficaz entre a gestão do risco e a viabilização do crescimento.
Criar resiliência para proteger a sua cidade contra estes ataques é fundamental, mas como é que isso se consegue? O ponto de partida deve ser o desenvolvimento de uma estratégia de cibersegurança que se integre no objetivo mais vasto da sua cidade inteligente. Isto ajudará a mitigar os riscos decorrentes da interconexão dos processos e sistemas da cidade. Parte de qualquer estratégia eficaz deve ser a exigência de realizar uma avaliação dos dados, sistemas e defesas cibernéticas atuais, uma vez que isso ajudará a dar uma ideia da postura atual e da qualidade da infraestrutura.
A criação de uma relação formal entre a cibersegurança e a governação dos dados também será extremamente benéfica. Isto cria essencialmente uma abordagem acordada para a cibersegurança entre todas as partes numa cidade inteligente, o que significa que todas as partes interessadas trabalham em conjunto para garantir a segurança dos dados nas redes que estão a ser trocadas. As políticas implementadas irão amadurecer juntamente com a estratégia cibernética de uma cidade e acrescentar transparência aos processos.
Por último, a criação de parcerias estratégicas para ajudar a resolver a escassez de competências em matéria de cibersegurança é fundamental para qualquer estratégia de segurança bem-sucedida. Esta é uma boa maneira de desenvolver competências e aumentar a sua base de conhecimentos, o que, por sua vez, reforça a postura geral de segurança e a resiliência. Por exemplo, recentemente, a CISA, a NSA, o FBI, o NCSC-UK, o ACSC, o CCCS e o NCSC-NZ publicaram um documento com orientações sobre as melhores práticas para as cidades inteligentes. O objetivo não é apenas proteger estes espaços conectados de ameaças maliciosas, mas também partilhar conhecimentos e educar-nos sobre a importância da cibersegurança nas cidades inteligentes.
Seja inteligente e proativo
Escusado será dizer que as tecnologias das cidades inteligentes têm de adotar uma metodologia proativa para garantir que os riscos de cibersegurança estão na vanguarda do planeamento e da conceção das tecnologias. A “segurança desde a conceção” é fortemente recomendada em conjunto com uma abordagem de defesa em profundidade. Pode haver algumas infraestruturas antigas ligadas à infraestrutura inteligente, o que pode exigir uma reformulação para garantir a possibilidade de conetividade e integração seguras.
Os piratas informáticos continuarão a explorar as vulnerabilidades. Um número esmagador de ciberataques contra empresas poderia ser evitado se a segurança da cadeia de abastecimento e de terceiros fosse levada a sério. Os atacantes são excecionalmente rápidos a começar a explorar vulnerabilidades em produtos bem conhecidos. Invista nos recursos necessários para ajudar a combater a luta quotidiana dos patches e atualizações de segurança. Não vai querer ser apanhado pela mesma coisa que espera que proteja a sua empresa.
A resiliência operacional está na base da implementação da tecnologia de cidades inteligentes. Para garantir que as organizações estão bem preparadas, são criadas contingências para diferentes tipos de incidentes, que podem ter impacto ou perturbação operacional. A funcionalidade autónoma e as ferramentas de isolamento devem existir para ajudar a minimizar estes tipos de perturbações.
O risco, a privacidade e a legalidade desempenham um papel importante nas cidades inteligentes, garantindo que os dados recolhidos, armazenados e processados estão em conformidade com os regulamentos. É fundamental que os líderes municipais, os promotores e os proprietários de empresas não vejam a segurança do risco cibernético na sua cidade inteligente como um objetivo único. Trata-se de um processo contínuo e evolutivo que pode ser a diferença entre uma grande violação ou um grande crescimento.