À medida que os decisores políticos enfrentam novos desafios de segurança cibernética provenientes de tecnologias emergentes como a IA e a computação quântica, uma ameaça urgente esconde-se à vista de todos: a tecnologia em fim de vida (EoL) para além da sua vida útil suportada. As manchetes centram-se em novas ameaças e defesas futurísticas, enquanto equipamentos de rede e software program desatualizados em infraestruturas críticas já representam um perigo claro e presente. Isto é demonstrado por campanhas de alto nível patrocinadas por estados-nação que visam tecnologias incorrigíveis – como o Volt Storm. A resposta a esta ameaça exige uma atenção urgente e concentrada, começando por um entendimento comum da dimensão e do âmbito do problema.
Quando a tecnologia atinge o fim de vida programado, os fornecedores param de fornecer patches de segurança ou suporte. A dependência contínua de tecnologia não suportada cria um risco significativo e crescente de exploração.
As estimativas disponíveis sugerem que, a nível mundial, quase metade dos activos de infra-estruturas de redes empresariais estavam obsoletos ou obsoletos no início desta década. Até à knowledge, não existem dados adequados para avaliar eficazmente como esta exposição varia entre sectores críticos e mercados nacionais, ou para comparar os riscos de não gerir a “dívida técnica” com os custos dos investimentos de substituição.
Nova pesquisa preenche uma lacuna crítica
Estratégia WPI relatório, “Atualização crítica: contando o custo dos riscos de segurança cibernética desde o fimTechno da Vidalogia em Infraestrutura Nacional Crítica”, destaca este crescente desafio world e oferece recomendações para os formuladores de políticas e o setor privado llíderes. Encomendada pela Cisco, esta pesquisa fornece uma abordagem inovadora para a análise comparativa do risco de EoL em mercados-chave (EUA, Reino Unido, França, Alemanha e Japão) e setores críticos, incluindo cuidados de saúde, energia, água, indústria transformadora e finanças.
As descobertas são surpreendentes. EUNos EUA, 80% dos gastos federais com TI vão para a operação e manutenção de sistemas existentes – muitas vezes legados –, aumentando o risco para infraestruturas críticas. Alguns 60% das ciberviolações na UE em 2022-2023 exploraram vulnerabilidades conhecidas para as quais existiam patches, mas não foram aplicadas, sublinhando que a ciber-higiene básica continua a ser um desafio basic. O relatório examinou países e sectores, com os cuidados de saúde a emergirem consistentemente como particularmente vulneráveis. Concluiu que o combate proativo à tecnologia de fim de vida oferece um caminho claro e estratégico para aumentar significativamente a resiliência cibernética em setores críticos — e que, ao abordar as vulnerabilidades antes de serem exploradas, podemos proteger melhor os serviços essenciais e os cidadãos.
Recomendações práticas de políticas
À medida que os governos e o setor privado consideram a melhor forma de alocar recursos e implementar a IA com segurança, o relatório oferece várias recomendações práticas:
- Gestão de ativos como base: Todos os operadores de infra-estruturas críticas devem manter registos activos de activos tecnológicos que identifiquem equipamentos em situação de fim de vida ou em fim de vida. Você não pode gerenciar o que não pode ver.
- Gerenciamento claro do ciclo de vida Avaliações: Os operadores devem avaliar continuamente se a tecnologia obsoleta deve ser substituída ou, se a substituição não for imediatamente viável, exigir planos documentados de mitigação de riscos com prazos específicos.
- Relatórios de incidentes aprimorados: Onde existirem mecanismos de notificação de incidentes, garantir que eles capturem dados sobre o papel da tecnologia EoL nas violações. Esta transparência cria responsabilização e ajuda a identificar padrões sistémicos.
- Reformar os modelos de investimento em TI: EUNo sector público, o financiamento da tecnologia é normalmente dividido em dois orçamentos separados: um para a compra de novos sistemas (despesas de capital) e outro para a manutenção dos existentes (custos operacionais). Esta abordagem pode levar a que a maior parte do orçamento seja utilizada apenas para manter os sistemas atuais em funcionamento, deixando pouco espaço para investir em novas tecnologias. Para resolver esta questão, os governos devem considerar se os modelos baseados em subscrição ou no consumo oferecem eficiência de custos e benefícios de segurança.
O caminho a seguir
Esta pesquisa é particularmente relevante não apenas durante o Mês de Conscientização sobre Segurança e Resiliência de Infraestruturas Críticas, mas também à medida que as nações investem em criptografia resistente a quantum e infraestrutura de IA – e trabalham para fornecer serviços aos cidadãos de forma mais eficiente. Estas iniciativas fracassarão se forem construídas sobre bases repletas de tecnologia obsoleta e não corrigida e onde os orçamentos são consumidos na manutenção de sistemas envelhecidos em vez de os remediar. Os equipamentos que funcionam silenciosamente em salas de servidores podem não aparecer nos balanços, mas do ponto de vista da segurança, são passivos ocultos.
Esta investigação fornece aos decisores políticos e ao sector privado a base de evidências e quadros práticos para enfrentar este desafio de forma sistemática. Ao melhorar a visibilidade dos ciclos de vida da tecnologia, reformar os modelos de financiamento e estabelecer requisitos de gestão claros, podemos passar de uma resposta reativa a incidentes para uma redução proativa de riscos – combatendo as vulnerabilidades antes que possam ser exploradas.
Para esse fim, a Cisco está focada em garantir que governos e organizações tenham a infraestrutura segura, resiliente e pronta para dados necessária para aproveitar a IA e se defender contra ameaças cibernéticas em evolução. A Cisco está impulsionando uma infraestrutura resiliente por meio de uma novo esforço que o vice-presidente sênior e diretor de segurança e confiança da Cisco, Anthony Grieco, anunciou hoje aumentar a segurança padrão dos nossos próprios produtos, removendo capacidades que são reconhecidas como inseguras e introduzindo novos recursos de segurança que fortalecem a postura de segurança da infraestrutura de rede, bem como fornecem melhor visibilidade das atividades dos atores da ameaça. A Cisco também apela aos clientes, parceiros e outras organizações para que avaliem os seus comportamentos de alto risco e atualizem tecnologias desatualizadas para enfrentar a dívida técnica e melhorar a resiliência da infraestrutura à medida que desbloqueamos esta period da IA.