Projetos de segurança IIoT/OT de infraestrutura crítica sofrem altas taxas de falha

Barracuda descobriu que 93% das organizações nas áreas de IIoT/OT experimentaram um projeto de segurança com falha.

À medida que as empresas procuram dar o próximo o com a Internet das Coisas Industrial (IIoT) e a tecnologia operacional (OT), um novo estudo revelou que a maioria delas falhou em projetos de segurança em torno desses dois tipos de tecnologia. A Barracuda Networks entrevistou 800 gerentes seniores de TI, gerentes seniores de segurança de TI e gerentes de projeto como parte de seu relatório “The State of Industrial Security in 2022” e descobriu que 93% sofreram com projetos de segurança com falha.

Isso pode fazer uma enorme diferença quando se trata de organizações que permanecem seguras, pois 75% das empresas que concluíram um projeto de segurança não sofreram nenhum impacto de um grande incidente.

“No atual cenário de ameaças, a infraestrutura crítica é um alvo atraente para os cibercriminosos, mas, infelizmente, os projetos de segurança IIoT/OT geralmente ficam em segundo plano em relação a outras iniciativas de segurança ou falham devido ao custo ou complexidade, deixando as organizações em risco”, disse Tim Jefferson, vice-presidente sênior. , Engenharia de Dados, Redes e Segurança de Aplicativos na Barracuda. “Questões como a falta de segmentação de rede e o número de organizações que não exigem autenticação multifator (MFA) deixam as redes abertas a ataques e exigem atenção imediata.”

VEJO: Kit de contratação: desenvolvedor de IoT (TechRepublic )

Aspectos da infraestrutura crítica são vulneráveis

A infraestrutura crítica está sob constante ameaça de ataque, de acordo com Barracuda, com as empresas enfrentando vários desafios relacionados não apenas à segurança cibernética, mas também a um ambiente geopolítico cada vez mais hostil. De acordo com o estudo, 94% das organizações pesquisadas disseram ter sofrido um incidente de segurança no ano ado e 89% estão preocupados com os efeitos que as relações internacionais incômodas que os EUA têm com países como China ou Rússia podem ter em suas respectivas empresas. .

O Gartner publicou no mês ado um relatório detalhando as oito previsões de segurança cibernética para o futuro, com os agentes de ameaças armando ambientes de tecnologia operacional com sucesso para causar baixas humanas como uma das principais preocupações das organizações nos próximos anos.

Devido a esse crescente senso de risco de segurança cibernética em áreas de IIoT/OT, as empresas sabem que precisam aumentar sua conscientização sobre segurança, mas as áreas de manufatura e saúde ainda ficam para trás ao considerar os protocolos de segurança. Barracuda relata que 50% nos setores de petróleo e gás concluíram projetos, enquanto apenas 24% na manufatura e apenas 17% na saúde concluíram projetos. Isso deixa áreas-chave em risco, o que pode levar a previsão do Gartner a se tornar realidade até 2025.

“Os ataques de IIoT vão além do domínio digital e podem ter implicações no mundo real.” disse Klaus Gheri, vice-presidente de segurança de rede da Barracuda. “À medida que os ataques continuam a aumentar em todos os setores, adotar uma abordagem de segurança proativa quando se trata de segurança industrial é fundamental para que as empresas evitem ser a próxima vítima de um ataque.”

Como as organizações de infraestrutura crítica corrigem as preocupações de segurança?

Uma área que evoluiu lentamente, mesmo com a adoção da IIoT/OT, é a falta de autenticação multifator. Menos de um quinto (18%) das organizações pesquisadas restringem o o à rede e impõem a MFA quando se trata de o remoto a redes OT. Mesmo em áreas como energia, 47% ainda permitem o total sem o uso de MFA. A promulgação generalizada do MFA pode ser a diferença entre um setor chave do país permanecer vulnerável ou potencialmente evitar um ataque desastroso com consequências de longo alcance.

Outras maneiras pelas quais as empresas podem evitar ataques são implementando atualizações de segurança proativas em vez de reativas, oferecendo melhor treinamento para os funcionários para garantir que as atualizações possam ser aplicadas pela própria organização e automatizando esses processos para que não seja necessário instalá-los manualmente, evitando possíveis confusões . Se as organizações puderem colocar essas possíveis correções em prática, especialmente quando se trata de infraestrutura crítica, ataques sérios que levam à perda potencial de receita ou até mesmo à vida humana podem ser evitados.