Sete agências de cinco países – Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia – lançaram um guia sobre os desafios que as cidades inteligentes enfrentam em matéria de cibersegurança. No documento “Cybersecurity Best Practices for Smart Cities” surgem reunidos os principais riscos e ameaças, bem como uma série de recomendações para garantirem a segurança dos sistemas, a protecção dos dados privados dos cidadãos e a segurança dos dados sensíveis de governos e empresas.

Embora reconheçam que as cidades inteligentes e as tecnologias conectadas oferecem uma melhoria da qualidade de vida aos cidadãos e poupanças financeiras às comunidades, os autores advertem que os benefícios devem ser equilibrados com os riscos: “As cidades inteligentes são um alvo apetecível para criminosos e agentes de ciberameaças que exploram sistemas vulneráveis para roubar dados de infraestruturas críticas e informações pessoais, realizar operações de ransomware ou lançar ciberataques destrutivos”, alerta o guia.

Para as agências de cibersegurança e segurança, na mesma medida em que cresce a quantidade e o valor dos dados recolhidos e processados, aumentam também os riscos associados e as consequências de uma capacidade de segurança vulnerável: “Ciberataques bem sucedidos contra cidades inteligentes podem levar à interrupção de serviços de infraestrutura, perdas financeiras significativas, exposição de dados privados dos cidadãos, erosão da confiança nos próprios sistemas inteligentes e impactos na infraestrutura que podem causar danos físicos ou perdas de vidas”, acrescenta o trabalho, elaborado em conjunto pela Agência de Cibersegurança e Segurança de Infraestruturas (CISA), Agência de Segurança Nacional (NSA) e FBI, dos Estados Unidos; Centro Nacional de Cibersegurança do Reino Unido (NCSC UK), Centro Canadiano para a Cibersegurança (CCCS), Centro Australiano de Cibersegurança (ACSC) e Centro Nacional de Cibersegurança da Nova Zelanda (NCSC NZ).

Que riscos correm as cidades inteligentes?

No guia, “Cybersecurity Best Practices for Smart Cities” as agências alertam para três riscos principais. O primeiro está relacionado com a integração de sistemas numa única rede (quando antes estavam separados) porque isso aumenta a superfície do ataque. Ou seja, ao conseguirem aceder à rede, os atacantes ficam com condições privilegiadas para desencadearem perturbações em cascata. Por exemplo, “se acederem a uma rede de sensores IoT de um governo local, podem conseguir acesso lateral aos sistemas de alerta de emergência, caso estes estejam interligados”, explica o documento.

O segundo grande risco provém da cadeia de abastecimento das TIC e dos fornecedores de hardware e software. As vulnerabilidades destes elementos externos poderão comprometer os níveis de segurança, tornando mais fácil o roubo de dados dos serviços públicos (incluindo identificações pessoais) ou o acesso indevido a comunicações de emergência ou imagens de câmara de vigilância. Dessa forma, “as organizações devem considerar cuidadosamente os riscos de cada fornecedor para evitar expor os cidadãos, as empresas e as comunidades a hardware e software potencialmente não fiáveis.”

O terceiro risco prende-se com a automatização das operações, por exemplo ao nível da gestão do tráfego rodoviário ou das águas residuais das cidades. Embora esta permita mais rapidez e fiabilidade nas operações, também reduz a necessidade de controlo humano e a capacidade de resposta em tempo real. Além disso, a automatização pode introduzir novas vulnerabilidades “porque aumenta o número de pontos de entrada remotos na rede”, enquanto “a integração da inteligência artificial (IA) e de sistemas digitais complexos pode introduzir novos factores de ataque”.

Recomendações: Planeamento, gestão e resiliência

Perante os riscos e as eventuais consequências, os autores do guia apresentam várias recomendações de cibersegurança às cidade. O primeiro passo é garantir um planeamento eficaz na integração das tecnologias, que devem ser seguras desde a sua concepção e aplicar o princípio de menor privilégio em todos os ambientes de rede. Isso poderá significar, por exemplo, uma revisão das configurações predefinidas e uma selecção criteriosa dos fornecedores. Eficaz será também a implementação da autenticação multifactor e uma arquitectura de confiança zero, que atribuiu o acesso mínimo necessário para cada nova ligação.

Outra sugestão passa pela gestão proactiva dos riscos e da cadeia de abastecimento, seja para hardware, software ou IoT. Para isso, as autoridades locais devem comunicar aos fornecedores os requisitos mínimos de segurança e articular com elas as acções de resposta a violações desses requisitos. Recomenda-se ainda a optimização da protecção dos serviços orientados para a internet, como as compras on-line.

Por fim, as agências internacionais de cibersegurança reiteram a necessidade da resiliência operacional. Para tal, as cidades devem ter previstas acções de resposta ou contingência, sem esquecer a importância de backups, tanto para sistemas como dados.

Fotografia de destaque: Shutterstock