Um guia de 10 pontos para estabelecer a segurança cibernética da cadeia de suprimentos

À medida que as cadeias de suprimentos globais se tornam cada vez mais digitais, as empresas estão expostas a riscos de inúmeras fontes indiretas. Um sistema é tão forte quanto seu elo mais fraco, e os hackers vão caçar meticulosamente para descobrir um componente vulnerável.

Essa exploração tem um preço alto. De acordo com o Relatório de custo de segurança de violação de dados da IBM, US $ 5,52 milhões é o custo total médio de uma violação para empresas com mais de 25.000 funcionários e US $ 2,64 milhões para organizações com menos de 500 funcionários. A maioria das empresas paga aos hackers o resgate que eles exigem. Neste verão, a Colonial Pipeline Co. e a JBS SA pagaram aos hackers US $ 4,4 milhões e US $ 11 milhões, respectivamente, para recuperar dados criptografados após ataques cibernéticos massivos.

Outros impactos incluem atendimento ao cliente interrompido, confiança prejudicada e perda de vantagem competitiva.

Os cibercriminosos estão evitando barreiras e identificando pontos fracos para explorar as cadeias de suprimentos com mais eficácia do que nunca. No caso do Colonial Pipeline, os hackers abusaram de um perfil de rede privada virtual (VPN) legado que exigia apenas autenticação de fator único.

Os ataques não apenas prejudicam as empresas, mas também prejudicam os clientes. Oitenta por cento das violações envolvem informações de identificação pessoal (PII). Hackers usam PII e senhas para acessar várias contas de um indivíduo na web. Além disso, qualquer quebra na cadeia de suprimentos - seja seu negócio ou fornecedores terceirizados - impacta a produção de bens e serviços ao mesmo tempo em que aumenta os preços.

No CrowdStrike Security Report - uma pesquisa com mais de 1.000 participantes - dois terços dos principais tomadores de decisão de TI e profissionais de segurança cibernética revelaram que suas organizações haviam sofrido um ataque à cadeia de suprimentos de software. O mesmo número confessou que sua empresa não está adequadamente preparada para se defender de uma futura violação. As empresas devem ser proativas e focar na construção de resiliência cibernética para prevenir a exploração.

O Instituto Nacional de Padrões e Tecnologia (NIST), parte do Departamento de Comércio dos Estados Unidos, recomenda as seguintes etapas para proteger adequadamente os ativos de TI.

Identificação

Localize os vetores de ameaças potenciais - rotas que os ataques maliciosos podem seguir para passar por suas defesas e infectar sua rede - conduzindo avaliações internas de risco e vulnerabilidade. Considere contratar uma empresa para realizar uma avaliação avançada.

Proteção

Tome as medidas necessárias para proteger sua organização e evitar eventos de ameaça:

• Redução da exposição. Além da proteção básica fornecida por firewalls e software antivírus, é vital estabelecer procedimentos de acesso privilegiado. Siga o princípio de privilégio mínimo - apenas funcionários que precisam de acesso a dados confidenciais têm acesso permitido.

Ferramentas como análise comportamental, detecção e resposta de endpoint (EDR), inteligência artificial (AI) e inteligência contra ameaças podem fortalecer as defesas. As empresas devem adotar práticas de codificação seguras e consultar os dez principais riscos de segurança de aplicativos da Web do Open Web Application Security Project (OWASP).

• Compromisso e treinamento dos funcionários. Os funcionários são a última linha de defesa em segurança cibernética e um dos vetores de ameaças mais comuns. É fundamental envolver todos os funcionários; a suíte executiva não está isenta. Estabeleça uma cultura de suspeita saudável entre os funcionários. Essa abordagem pode parecer excessivamente paranóica, mas os riscos podem ser altos.

Institua treinamento de conscientização e campanhas internas de phishing para expor os funcionários às mais novas técnicas de spam e engenharia social. Qualquer funcionário que cair em uma campanha de phishing deve ser submetido imediatamente a um treinamento. Incentive uma forte cultura de senha na qual os funcionários tenham senhas variadas e seguras. Certifique-se de que eles entendem que, se uma senha for violada em um lugar, é possível e relativamente simples para os hackers usá-la em outras contas associadas ao mesmo e-mail.

Existem inúmeros recursos úteis (e gratuitos) de segurança cibernética disponíveis para complementar o aprendizado dos funcionários e mantê-los atualizados sobre as últimas tendências do setor, como os módulos de treinamento virtual fornecidos pelo Departamento de Homeland dos EUA Segurança.

• Seguro. Certifique-se de ter seguro adequado no caso de um ataque. Algumas seguradoras incluem proteções contra ransomware. Informe-se sobre o que não é coberto por um ataque cibernético.
• Segurança física . Proteja pessoal, hardware, software, redes e dados de invasão física e ações. Considere soluções como câmeras de vigilância, guardas de segurança, sistemas de segurança, barreiras, fechaduras, cartões-chave de acesso, alarmes de incêndio, sprinklers e outros sistemas projetados para proteger funcionários e propriedades.

Cuidado com as caronas. Manter a porta aberta para alguém que entra no escritório com as mãos ocupadas pode parecer educado, mas representa uma ameaça à segurança. Certifique-se de que todos os que entram nas instalações da empresa são pessoal autorizado.

• Relações comerciais seletivas . Ataques cibernéticos por meio de redes de fornecedores estão se tornando cada vez mais comuns. De acordo com o 2020 Cyber ​​Resilient Organization Study do Ponemon Institute, 56% das organizações relatam que experimentaram uma violação de segurança cibernética causada por um fornecedor terceirizado. Ao determinar um nível de risco aceitável, seja seletivo ao escolher contratados ou parceiros para trabalhar com sua empresa.
• Relatório de incidentes . Incutir uma boa cultura e educação para relatar incidentes. Os profissionais de TI são mais capazes de reduzir os danos potenciais se souberem disso antes.

Detectar

Já foi dito que uma casa sem detectores de fumaça é o mesmo que uma rede sem monitoramento. O monitoramento contínuo de eventos de segurança deve incluir ambientes físicos, redes, provedores de serviços e atividades do usuário. Varreduras de vulnerabilidade são uma ótima ferramenta e devem ser realizadas regularmente em sistemas que contêm informações confidenciais.

Resposta e recuperação

É evidente uma correlação entre o tempo de resposta e o custo de um ataque. Os setores que demoram mais para detectar, reagir, responder e remediar incorrem nos custos mais elevados. Uma resposta rápida pode ajudar a mitigar o impacto. Ainda assim, não pode eliminar a possibilidade, por isso há sempre uma ênfase na prevenção.

Um plano de recuperação de desastres é fundamental para restaurar o acesso aos dados e a infraestrutura de TI após um desastre. A recuperação depende da extensão do dano.

Elabore um plano de resposta e um roteiro de remediação para todos os cenários de incidentes potenciais na forma de um plano de continuidade de negócios. Inclua táticas que manterão o negócio operacional durante um desastre. Determine a criticidade do fornecedor e um curso de ação se os principais fornecedores forem atacados. Recrute fornecedores de backup e backups para seus backups no caso de precisar mudar para outro provedor para acomodar os clientes.

Como parte de um plano de recuperação de desastre eficaz, é recomendável simular uma violação de segurança cibernética pelo menos uma vez por ano. Por meio desses exercícios, o pessoal relevante entende seu papel e os procedimentos a serem seguidos.

A segurança cibernética será um obstáculo importante para empresas de todos os tamanhos à medida que as cadeias de suprimentos se tornam mais complexas. Identifique os elos fracos na cadeia de abastecimento para garantir que as vulnerabilidades sejam minimizadas e para evitar eventos de ameaça. Criar resiliência cibernética preparará sua empresa para o pior cenário que, de outra forma, seria mais caro e prejudicial.

Marc Lewis é chefe de segurança da informação na Visible Supply Chain Management.