Como os cibercriminosos podem iniciar um ataque por meio de um parceiro da cadeia de suprimentos
Por sua própria natureza, uma cadeia de suprimentos requer uma parceria colaborativa entre pessoas e organizações. Embora isso possa ajudar a atingir um objetivo comum e promover o crescimento, também pode representar uma série de problemas.
Por meio dessas relações simbióticas, as empresas, sem saber, expuseram aspectos sensíveis de seus negócios. No entanto, essa fraqueza esquecida abriu oportunidades para os cibercriminosos estabelecerem uma posição segura em suas organizações-alvo.
Ressaltando a prevalência de tais ataques, um estudo do Opus and Ponemon Institute mostra que pelo menos 59% das organizações sofreram ataques cibernéticos por meio de empresas terceirizadas. Ainda mais preocupante é o fato de que apenas 16% das organizações no estudo afirmaram mitigar efetivamente os riscos de segurança cibernética de terceiros.
É lógico que o primeiro passo para proteger sua empresa de tais riscos é identificá-los. A seguir estão algumas maneiras pelas quais os agentes mal-intencionados podem iniciar um ataque por meio de um parceiro da cadeia de suprimentos, ilustradas por exemplos da vida real.
Quase todas as organizações usam hardware e software externos. Poucos querem construir tecnologia do zero. Em vez disso, o boom no campo do código aberto levou a uma onda massiva de terceirização em quase todos os aspectos das operações de negócios.
Apesar de sua conveniência, essa oportunidade apresenta um risco considerável. A infame violação da Equifax em 2018 resultou de uma falha no software responsável pela execução de bancos de dados online. A Equifax também atribuiu a ela um link de download malicioso em seu site, que veio de outro fornecedor.
Como resultado dessas deficiências em sua cadeia de suprimentos, os criminosos colocaram as mãos nos dados pessoais de pelo menos 143 milhões de pessoas.
Inúmeras empresas usam sistemas de aquecimento, ventilação e ar condicionado (HVAC) que estão conectados à Internet, mas carecem de medidas de segurança adequadas. Isso dá aos hackers um portal potencial para os sistemas corporativos, como foi o caso da violação maciça do Target de 2014.
Os hackers obtiveram acesso às credenciais de login que pertenciam à empresa fornecedora do sistema HVAC da Target. Eles então se logaram e entraram em seus sistemas de pagamento, roubando informações pertencentes a cerca de 70 milhões de pessoas. Incluía nomes, endereços físicos, endereços de e-mail e números de telefone, entre outros dados confidenciais.
Outra forma de risco vem de provedores de serviços em nuvem que armazenam dados confidenciais das empresas. Com certeza, essas entidades investem significativamente na segurança de seus sistemas; suas reputações dependem disso.
Mas, como qualquer outro sistema organizacional, eles também estão sujeitos a concessões. Esse foi o caso no infame hack do Paradise Papers em 2018. Aproximadamente 13,4 milhões de arquivos confidenciais vazaram revelando negociações financeiras delicadas de corporações globais e indivíduos super-ricos de todo o mundo. Pelo menos metade desses arquivos, cerca de 6,8 milhões, veio da Appleby, uma prestadora de serviços jurídicos offshore.
Um ataque semelhante ocorreu no verão de 2018, quando o Deep Root Analytics vazou os dados pessoais de cerca de 200 milhões de eleitores. Deep Root é uma empresa de marketing usada pelos partidos Republicano e Democrata. A violação resultou da empresa colocar acidentalmente os dados em um servidor que estava acessível ao público.
Embora seja uma empresa relativamente pequena, com apenas cerca de 50 funcionários, incidentes semelhantes ocorreram em organizações maiores. No caso da violação da Verizon, a Nice Systems colocou 6 milhões de registros de clientes em um servidor de armazenamento Amazon S3 público. Os registros consistiam em registros de chamadas de atendimento ao cliente de seis meses. Eles incluíram informações pessoais e de conta. Nice tem mais de 3.500 funcionários.
A Deloitte, com mais de 250.000 funcionários, experimentou uma violação de dados semelhante. Em setembro de 2018, os hackers tiveram acesso a planos confidenciais e e-mails de alguns de seus clientes de primeira linha. A brecha, neste caso, eram os controles de acesso fracos em uma de suas contas administrativas.
Para grandes empresas, a segurança pode ser internamente estanque. No entanto, isso pode não ser verdade mesmo para sistemas de TI de fornecedores. Isso parece ser o que aconteceu na Domino's Pizza na Austrália no outono passado. De acordo com relatórios da época, o incidente resultou de sistemas de segurança cibernética fracos de um antigo fornecedor. Como resultado, o sistema vazou nomes de clientes e endereços de e-mail. A violação só veio à tona quando os clientes afetados começaram a receber e-mails de spam personalizados. Embora a Domino's tenha insistido que não houve nenhum hack malicioso de dados pessoais e que seus sistemas não eram culpados, o dano já estava feito.
Outra lacuna que os cibercriminosos podem explorar são os sensores da Internet das coisas (IoT). Muitos operadores de negócios estão alertas aos riscos de segurança de computador, telefone e rede. Mas eles costumam ignorar os dispositivos IoT, o que pode permitir que os invasores entrem nos sistemas corporativos.
Esses dispositivos possuem sensores que os conectam à internet para fins de comunicação. São comuns em cadeias de suprimentos, pois podem auxiliar na previsão de falhas de máquinas e gerenciamento de estoque, entre outras áreas. Apesar de seu valor funcional, eles são um vetor de ataque popular que pode dar aos invasores acesso a dados confidenciais e facilitar a sabotagem e ataques de botnet.
Um exemplo de tal ataque usou um botnet conhecido como Mirai para comprometer a Dyn, uma empresa que fornece serviços de nomes de domínio para Reddit, Netflix e Github, entre outros. Mirai é um botnet específico da IoT projetado para perpetrar ataques distribuídos de negação de serviço (DDOS).
Os exemplos acima dão crédito ao fato de que os invasores podem usar um elo fraco em sua cadeia de suprimentos para obter acesso aos sistemas. Infelizmente, você não pode exercer controle direto sobre as medidas de segurança que seus parceiros da cadeia de suprimentos implementam. Mas, no final do dia, os clientes não se importam em como você foi comprometido. Eles simplesmente querem saber se seus dados estão seguros. E isso coloca em suas mãos a responsabilidade de garantir uma segurança rígida.
A devida diligência na avaliação de sistemas de segurança de terceiros e suas políticas de privacidade é essencial. Como vimos, organizações grandes e pequenas podem ser vítimas dessas táticas. Não importa o tamanho de seus parceiros, é essencial avaliar seu compromisso com a segurança.
Defina como objetivo principal avaliar onde estão seus pontos fracos e priorize a vedação de todas as lacunas.
Olivia Scott é gerente de marketing da VPNpro.com.
Tecnologia industrial
- Como o CMMS pode melhorar o gerenciamento do armazém
- Como a automação pode ajudar os trabalhadores de depósito de hoje
- Inovação em aquisições:como os CPOs podem agregar valor
- Como o financiamento da cadeia de suprimentos pode ajudar as empresas a proteger o capital de giro
- Como as empresas da cadeia de suprimentos podem construir roteiros com IA
- Como aceleramos a digitalização da cadeia de suprimentos?
- Seis maneiras de os sistemas de saúde economizarem milhões em 2020
- Como tornar os dados da cadeia de suprimentos confiáveis
- Como se proteger contra terremotos na cadeia de suprimentos
- Como microinvestigações podem aumentar a conformidade da cadeia de suprimentos