Especialistas em segurança estão alarmados porque, se as cadeias de suprimentos já eram uma fonte lucrativa de receita para cibercriminosos e, em 2022, elas estão se tornando um celeiro. Basta uma vulnerabilidade, um hacker bem-sucedido e uma vítima comprometida ao longo da cadeia para atingir o alvo mais lucrativo e penetrar em mais redes corporativas.
Por mais simples que sejam os métodos dos invasores, muitas cadeias de suprimentos são projetadas para serem complexas e confusas. Então, como as cadeias de suprimentos podem ser protegidas contra as ameaças crescentes? E quais fatores precisam ser considerados?
Para o diretor de engenharia de soluções da Tanium para a América Latina, Felipe Nascimento, gerenciar cadeias de suprimentos de ponta a ponta é um desafio. “Infelizmente, muitas empresas ainda dependem de confiança ou planilhas manuais quando se trata de proteger contra riscos cibernéticos. No entanto, a falta de visibilidade sobre os próprios ativos de TI e a dependência de parceiros e fornecedores representam uma ameaça real para as organizações — em parte porque, atualmente, há mais fornecedores terceirizados em seus ecossistemas”, diz o especialista.
Portanto, o primeiro passo é responder perguntas fundamentais do tipo: Quem são os fornecedores? Como é a segurança deles? E como eles estão usando seus dados?
Nascimento destaca ainda que os fornecedores terceirizados precisam ser capazes de fornecer um inventário abrangente e preciso de seus ativos de TI para entender o status dos terminais e versões de software instaladas e aplicar patches em tempo hábil para mitigar os riscos. “Como as vulnerabilidades de segurança de software no gerenciamento da cadeia de suprimentos ou nos sistemas de fornecedores podem ter consequências drásticas, assim como práticas inadequadas de segurança da informação, é importante não apenas realizar uma auditoria rigorosa antes da integração, mas também reavaliar o relacionamento regularmente. Neste ponto, os padrões de segurança obrigatórios devem ser estabelecidos”, destaca.
No entanto, muitas empresas consideram o tópico de segurança da cadeia de suprimentos como uma tarefa única. Além disso, as equipes de segurança geralmente são chamadas tardiamente no processo de onboarding para serem capazes de eliminar riscos emergentes.
Importante salientar que às vezes, uma única vulnerabilidade é suficiente para os invasores: uma vez que eles tenham acesso, são capazes de passar direto para os dados mais valiosos de uma empresa. O método é chamado de movimento lateral: os hackers se concentram no roubo e no uso indevido de credenciais e abrem caminho para os principais ativos por meio de movimentos laterais em toda a rede. Assim, as organizações precisam de visibilidade máxima para analisar os direitos de acesso e vulnerabilidades associadas.
Além disso, as equipes de segurança de TI precisam verificar se o hardware usado não contém componentes fraudulentos ou malware e não é falsificado para que, por exemplo, o armazenamento de dados de terceiros possa ocorrer. As falhas de segurança de software no gerenciamento da cadeia de suprimentos ou nos sistemas dos fornecedores também podem atuar como uma porta de entrada para criminosos.
Aumento das demandas nas cadeias de suprimentos
O que diferencia os ataques às cadeias de suprimentos de outros ataques cibernéticos direcionados é o fato de que é necessário que o gerenciamento de riscos seja aplicado além das fronteiras corporativas. Ao fazer isso, os requisitos de segurança cibernética da cadeia de suprimentos não podem ser deixados de lado. A NIST vê a identificação, avaliação e mitigação de riscos cibernéticos na cadeia de suprimentos como um fator crítico para alcançar um nível adequado de segurança de TI e lembra que a globalização, a terceirização e a digitalização estão levando ao aumento da dependência em cadeias de suprimentos complexas. Não menos importante, a SolarWinds e a Kaseya expuseram o alto risco potencial de ataques cibernéticos. Devido à crescente terceirização de ataques às cadeias de suprimentos, as medidas de segurança de TI que se concentram exclusivamente nas operações da própria empresa não são mais suficientes.
Dessa forma, fica claro que os requisitos legais para a segurança cibernética na cadeia de suprimentos estão se tornando cada vez mais importantes. No entanto, uma vez que regulamentos legais e medidas técnicas não podem mapear suficientemente o nível de segurança exigido, as empresas devem confiar em regulamentos contratuais para conter riscos na medida do possível. No final do dia, as empresas que possuem as melhores práticas de segurança em vigor funcionarão com mais sucesso.
Os riscos cibernéticos abrangem compras, gerenciamento de fornecedores, continuidade e qualidade da cadeia de suprimentos e segurança do transporte. Por isso, é importante fazer as perguntas certas dos fornecedores.
Os ataques à cadeia de suprimentos provaram ser alvos extremamente recompensadores para os cibercriminosos em 2021 e o número de ataques a essa vertical continuará aumentando em 2022. Empresas que dependem de plataformas e serviços em vários níveis de uma cadeia de suprimentos precisam revisar suas estratégias atuais e estar cientes de que a segurança não para em seus próprios limites de rede.