Cibersegurança na cadeia de suprimentos, uma tendência ascendente

02 nov 2022

Luca Urciuoli, professor do MIT-Zaragoza

POR LUCA URCIUOLI
Professor adjunto de Gerenciamento da Cadeia de Suprimentos do Programa MIT-Zaragoza

As ameaças cibernéticas preocupam cada vez mais as empresas. Somente em 2021, especialistas em segurança de informática detectaram um aumento de 15,1% no número de ataques cibernéticos e violações de dados em relação ao ano anterior. A previsão é que o número continua crescendo devido a tendências prósperas, como a indústria 4.0 e a digitalização de processos, que são adotadas por empresas em todo o mundo. Tanto as indústrias quanto os governos em escala global devem gerenciar essas tendências com cautela, garantindo a implementação correta de soluções e estratégias que melhorem a segurança e a robustez de toda a cadeia de suprimentos.

Motivações por trás dos ataques cibernéticos

As razões para os ataques cibernéticos podem ser muito diversas, embora três se destaquem: motivações econômicas, ideológicas e geopolíticas. Questões de segurança, como roubo e falsificação nas cadeias de suprimentos, não são novidades para as empresas. No entanto, reforçar a proteção com medidas de segurança física pode deslocar os ataques para camadas mais vulneráveis, nomeadamente sistemas informáticos. Através de ataques cibernéticos, como manipulação e cópia de dados ou sabotagem de dispositivos de segurança, as organizações criminosas têm maior facilidade para roubar dinheiro ou qualquer outro tipo de ativo, bem como cometer crimes contra a propriedade intelectual.

Em alguns casos, os ataques são realizados com base em ideologias específicas, o que é conhecido como hacktivismo, enviando uma mensagem "para perturbar, constranger ou punir exemplarmente seu objetivo, ou todos" (Urciuoli et al. 2013). Por exemplo, ataques cibernéticos foram registrados para condenar ações de indústrias que não respeitam as políticas de sustentabilidade. Terrorismo e ideais religiosos também podem estar por trás de ataques para punir grupos de pessoas e até mesmo mergulhar um país em medo ou pânico.

Em última análise, as tensões geopolíticas geralmente se transformam em guerra cibernética, com grupos de hackers causando danos e interrompendo funções vitais da sociedade. Recentemente, as empresas italianas de energia e eletricidade foram alvo de ataques cibernéticos que levaram à interrupção do fornecimento de gás e eletricidade. Além disso, os hackers podem roubar e coletar informações confidenciais de países ou usar a mídia e os canais de comunicação para fins de propaganda para minar os regimes existentes.

Sofisticação em ataques à cadeia de suprimentos

Ameaça cibernética é qualquer atividade que visa realizar ações ilícitas contra indivíduos ou organizações através de computadores, redes ou dispositivos de hardware. As empresas podem ficar comprometidas não apenas no acesso a dados confidenciais de funcionários, clientes ou fornecedores, mas também à propriedade intelectual, como novos designs de produtos.

Cibersegurança é fundamental com a expansão da Indústria 4.0

As infrações cibernéticas podem paralisar qualquer empresa, afetando a produtividade, as vendas, o atendimento de pedidos e a satisfação do cliente. Em casos muito extremos, os hackers poderiam manipular o PLC (Controlador Lógico Programável, PLC em inglês) das plantas de produção, o que impactaria na qualidade e reputação da marca e poderia até gerar problemas de segurança para a sociedade.

Ataques isolados

Olhando para trás, os hackers causaram danos substanciais ao atacar nós isolados em uma cadeia de suprimentos. Por exemplo, em 4 de dezembro de 2020, um grupo de hackers atacou a PickPoint, uma empresa de comércio eletrônico, especializada em armários de cacifos. A empresa tinha uma rede de 8.000 cacifos localizados nas cidades de Moscou e São Petersburgo, em espaços abertos com acesso livre. Através de um ataque cibernético, eles abriram 2.732 armários localizados em Moscou e roubaram os pacotes que continham, demonstrando a vulnerabilidade da última milha nas cadeias de suprimentos.

Ataques relacionados ao sequestro de dados

Outra técnica para atacar as cadeias de suprimentos é utilizar um software malicioso que pode infectar os computadores da cadeia. Por exemplo, em 2017, o vírus NotPetya comprometeu os sistemas do conglomerado logístico Maersk e se espalhou por indústrias e portos marítimos, infectando mais de 200.000 computadores em 150 países e causando bilhões de dólares em prejuízos. Quando a Maersk percebeu a rapidez com que o vírus estava se espalhando por sua rede de parceiros e clientes, decidiu encerrar completamente seus sistemas de TI por três dias. Como consequência, os terminais portuários tiveram que interromper suas operações, deixando milhares de embarcações marítimas esperando nas docas ou ancoradas no mar.

O vírus NotPetya seguiu um padrão semelhante ao ciberataque WannaCry, bloqueando o acesso a computadores com a mensagem “um disco contém erros e precisa ser reparado.” Para desbloquear os computadores, as pessoas afetadas foram solicitadas a pagar um resgate. A Maersk conseguiu reconstruir toda a infraestrutura de TI em 10 dias e restaurar gradualmente suas operações. No entanto, estima-se que a empresa tenha sofrido perdas de US$ 300 milhões e danos imensuráveis à sua reputação, principalmente como resultado da cobertura da mídia após o ataque cibernético.

Ataques à cadeia de suprimentos

Nos últimos anos, os ataques cibernéticos tornaram-se mais complexos e seus perpetradores estão mais conscientes da importância da cadeia de suprimentos nas organizações atacadas. Como consequência, muitas grandes empresas reforçaram sua proteção contra ataques cibernéticos. Apesar disso, os hackers descobriram que empresas menores que fazem parte da mesma cadeia de suprimentos são mais vulneráveis e podem ser usadas como trampolim para infectar seus fornecedores ou compradores, incluindo grupos maiores de vendedores. Especialistas cibernéticos cunharam o termo “supply chain attack” para categorizar esses eventos.

Por exemplo, em 2020, hackers conseguiram se infiltrar na SolarWind, fornecedor de soluções de software para a cadeia de suprimentos. Introduziram um vírus conhecido como backdoor (porta dos fundos) no software Orion utilizado por SolarWind, comprometendo os dados, redes e sistemas de todas as empresas que utilizam o software Orion. Esse hack afetou mais de 18.000 organizações e acredita-se que tenha comprometido nove agências federais e uma centena de empresas do setor privado. O aspecto mais preocupante é que os hackers não foram detectados por vários meses, provavelmente roubando e expondo enormes quantidades de dados. Este não foi um ataque isolado, pois, incidentes semelhantes foram registrados em maio e julho de 2021 com os ataques cibernéticos à Colonial Pipeline (principal operadora de oleodutos dos EUA) e Kaseya (empresa de software), respectivamente.

Etapas importantes para proteger as cadeias de suprimentos contra ameaças cibernéticas

É claro que as atuais cadeias de suprimentos e tendências como automação e digitalização trazem inúmeros benefícios para as empresas e a sociedade. Pesquisadores demonstraram repetidamente que essas tecnologias podem melhorar significativamente a produtividade, a lucratividade das operações, o tempo de lançamento no mercado e o tempo de resposta aos clientes, entre outras coisas.

Uma responsabilidade das empresas é a proteção dos dados dos clientes

A troca de informações que ocorre em toda a cadeia de suprimentos reduz o efeito chicote e ajuda os gerentes a otimizar o estoque de segurança e sincronizar as transferências no supply chain. Outra informação que as empresas devem compartilhar na cadeia de suprimentos é o desenho de novos produtos ou outros documentos internos relacionados a planos estratégicos vinculados a programas de desenvolvimento de fornecedores. Tudo isso contribui para tornar a cadeia de suprimentos mais competitiva e ganhar quota de mercado.

Medidas de segurança cibernética

A interconexão entre os atores logísticos, deve ser reforçada com proteção cibernética especializada que garanta uma cadeia de suprimentos livre de ataques cibernéticos do início ao fim. Em outras palavras, uma organização sozinha não pode proteger suas operações e equipamentos sem envolver todos os seus provedores e profissionais de segurança informática.

Existem normas e certificações para apoiar organizações que desejam melhorar sua proteção contra ameaças cibernéticas, por exemplo, a norma internacional, ISO/IEC 27001 e NIST 800-55 do Instituto Nacional de Normas e Tecnologia (NIST), uma agência do Departamento de Comércio dos Estados Unidos. A norma ISO/IEC 27001 incorpora diversos procedimentos de controle para que as empresas possam garantir a segurança de suas camadas de TIC. Esses procedimentos incluem controle de acesso, segurança física, aquisição de sistemas, procedimentos de manutenção e relacionamento com fornecedores, entre outros. O padrão NIST 800-55 propõe uma metodologia robusta para identificar e medir os impactos dos controles de segurança em três categorias: implementação, eficiência e eficácia, e medidas de impacto organizacional.

O NIST, em particular, desenvolveu uma abordagem especializada, o guia NIST Cybersecurity Supply Chain Risk Management (C-SCRM) practices, para abordar a segurança cibernética nas cadeias de suprimentos, concentrando-se principalmente na aquisição, contratação de fornecedores e compartilhamento de informações. Portanto, atividades como seleção de fornecedores, ofertas, solicitações de orçamentos, avaliação de propostas e prazos contratuais devem ser realizadas de acordo com os requisitos estabelecidos de segurança cibernética.

La interconexión entre los actores logísticos debe reforzarse con una protección especializada que asegure una cadena de suministro libre de ciberataques de principio a fin

Da mesma forma, espera-se que a auditoria e o monitoramento do desempenho dos fornecedores integrem riscos de cibersegurança e as condições contratadas com os fornecedores são reavaliados de forma a estabelecer uma resposta que mitiga os danos em caso de detecção de uma infração. O guia NIST também abrange práticas relevantes para treinar os responsáveis, como regulamentos e acordos no compartilhamento de informações, fluxos de trabalho para publicação e consumo de informações, proteção de dados ou suporte contínuo para qualquer tipo de informação compartilhada com fornecedores.

Proteção de dados do consumidor

Outra responsabilidade primordial das empresas está relacionada à proteção dos dados do consumidor em toda a cadeia de suprimentos. As empresas que atuam no setor de comércio eletrônico e varejo devem ter sistemas que protejam as informações de seus clientes para evitar que hackers realizem ataques e roubem identidades ou cartões de crédito (um grupo de hackers, por exemplo, se apropriou de dados de milhões de cartões de crédito em PlayStation Network da Sony). Para a sociedade, privacidade é sinônimo de confiança, respeito e liberdade de pensamento. E, mais importante, limita o poder político: "quanto mais alguém sabe sobre nós, mais poder pode ter sobre nós." Portanto, a proteção de dados torna-se ainda mais crítica do ponto de vista geopolítico e de segurança nacional quando, por exemplo, é utilizada para implementar estratégias de propaganda por grupos de hackers.

Os países europeus estão trabalhando intensamente na preparação de quadros legislativos que possam garantir a proteção de dados pessoais. Sites ou outros aplicativos, como lojas online, espaços digitais de aprendizagem ou aplicativos de transporte, muitas vezes solicitam dados pessoais para se cadastrar. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) 2016/679 contém regras rígidas para proteger o processamento de dados, estabelecendo diretrizes para “o processamento por um indivíduo, empresa ou organização de dados pessoais relacionados a indivíduos da União Europeia."

De acordo com GDPR, dados pessoais referem-se as informações ou partes das informações que podem ser coletadas para identificar uma determinada pessoa. No entanto, as políticas e regulamentos existentes não foram elaborados para reger especificamente as operações de Transporte Público Inteligente (IPT), portanto, é provável que haja progresso em novas estruturas legislativas nos próximos anos.

A cibersegurança, em conclusão, desempenha um papel preponderante no processo de transformação que a cadeia de suprimentos está passando como resultado das práticas recomendadas pela indústria 4.0. Os conselhos de administração devem enfrentar esses desafios desenvolvendo novas estratégias que incorporem um modelo de segurança cibernética, conhecido como Zero Trust (redes de confiança zero), bem como sistemas que permitam a detecção e resposta a ataques cibernéticos.

A segurança informática precisa melhorar e se estender a toda a cadeia de suprimentos, do início ao fim, bem como às suas funções internas. Da mesma forma, os padrões existentes estão disponíveis para implementar medidas de segurança em toda a cadeia de suprimentos, eliminando as fraquezas do sistema que os hackers podem explorar para realizar seus ataques.

 

 

Dr. Luca Urciuoli é professor adjunto do Programa de Logística Internacional de MIT-Zaragoza. Ele também é professor associado de KTH Royal Institute of Technology (Estocolmo, Suécia) e pesquisador afiliado no Centro de Transporte e Logística de MIT.

 

 

Referências