Um relatório publicado pelo instituto de pesquisa britânico Chatham House nesta segunda-feira (5) identificou diversos desafios e deficiências para a segurança de computadores e redes em usinas nucleares. O relatório teve por base uma pesquisa do material existente sobre o assunto e entrevistas com 30 profissionais, entre operadores e diretores de usinas e especialistas em segurança que atuam na área.

O texto cita casos como a contaminação de usinas nucleares do Irã e na Rússia pelo vírus Stuxnet, que chegou a danificar centrífugas, e casos mais antigos de contaminação - um deles de 1992, na Lituânia, e outro em 2003, nos Estados Unidos, quando uma usina nuclear foi infectada pelo vírus Slammer antes do reator entrar em operação. Também é considerada a possibilidade de problemas operacionais causados por atualização de software. Esses incidentes têm potencial para causar falhas na operação das instalações nucleares.

O relatório aponta que o desafio de segurança nas usinas está crescendo por conta de uma mudança da tecnologia. Usinas mais antigas utilizavam equipamentos específicos e analógicos. Equipamentos como esses não mais existem no dia de hoje e, para cortar custos, muitas usinas fazem uso de peças e sistemas disponíveis no mercado, inclusive com computadores com Windows e Linux.

Essa adoção de tecnologias disponíveis no mercado é contrastada com a operação diferencia das usinas nucleares: elas chegam a operar por 30 anos sem mudança no equipamento. Não é possível aplicar as recomendações de segurança comuns para escritórios, como a atualização de programas. O risco de problema e a parada exigida pela atualização são considerados um risco maior do que manter o software vulnerável.

O aumento da conectividade e o uso de dispositivos eletrônicos por funcionários também tem reduzido a quantidade de usinas nucleares que estão "fora da rede". O relatório aponta que, em alguns casos, os operadores não estão cientes de que alguns sistemas estão conectados, acreditando que há uma separação entre a rede que usam para acessar a internet e a rede da usina.

Mesmo em casos em que a usina está realmente desconectada, ainda há risco de infecção por dispositivos USB e por funcionários e colaboradores que usam seus sistemas particulares na rede. Em alguns casos, segundo o relatório, funcionários chegam a conectar seus equipamentos pessoais diretamente em sistemas de controle industrial, que são os responsáveis pelo gerenciamento da usina.

Outras limitações que complicam a segurança digital nas usinas é que não há compartilhamento de informações entre as empresas que atuam na área e, muitas vezes, o orçamento da área é insuficiente. A avaliação de risco realizada pode em muitos casos estar imprecisa e "subestimar preocupantemente" o risco real.

Países em desenvolvimento, diz o relatório, estão especialmente vulneráveis, porque o desafio da segurança digital é ainda mais recente e esses países, como o Brasil, às vezes não têm equipes focadas na segurança de redes, segundo um dos especialistas anônimos ouvidos.

Questão cultural

Alguns dos maiores desafios de segurança não são técnicos, mas sim culturais. As usinas mais antigas não possuíam sistemas digitais e operadores simplesmente não estão acostumados a lidar com preocupações de segurança digital. O foco é sempre na segurança física dos equipamentos, válvulas de controle e outros mecanismos do gênero.

Especialistas ouvidos pela Chantham House identificam que há diferença de prioridades e até atrito entre engenheiros operadores de usinas e profissionais de segurança digital. Para os operadores das usinas, os profissionais de tecnologia não compreendem seu trabalho e não estão sujeitos às mesmas regras que os operadores das usinas, como limites de carga horária e a probição de consumo de bebidas alcoólicas antes do trabalho.

Os engenheiros que atuam nas usinas, porém, não têm familiaridade com questões de segurança de computadores. Eles estão mais preocupados com acidentes e outros eventos não intencionais, enquanto os profissionais de segurança querem proteger os computadores de ações intencionais, como ataques.

Isso faz com que a segurança dos sistemas de informação tenha de ser acrescentada posteriormente, porque a tecnologia empregada pelas usinas normalmente não foi criada antecipando questões de segurança cibernética. Isso cria mais dificuldades e conflitos com os operadores, que não veem benefício algum nas mudanças propostas pelos profissionais.

Sugestões

Para vencer esses desafios, o relatório propõe diversas mudanças no setor, incluindo propostas para entidades governamentais que monitorem e incentivem o compartilhamento de informações sobre incidentes. É preciso que agências reguladoras asseguram os operadores das usinas que não haverá punição para esse compartilhamento com o intuito de melhorar a segurança de outras instalações.

As usinas também podem adotar medidas como restringir dispositivos USB e reduzir a flexibilidade dos sistemas com restrições de programas e acesso, diminuindo o impacto que a falta de atualizações. Quando possível, recursos supérfluos de sistemas digitais devem ser eliminados.

O relatório também sugere que o monitoramento da rede passe a ser integral e não restrito ao "perímetro" (pontos exteriores) da rede.

Imagem: Usina nuclear de Bushehr, uma das instalações contamindas pelo vírus Stuxnet no Irã. (Foto: AP)