As cadeias de suprimentos dos EUA podem ser salvas de ataques cibernéticos?

Em fevereiro, o presidente Joe Biden assinou a Ordem Executiva 14017, pedindo uma revisão abrangente das cadeias de abastecimento críticas dos EUA. A ação foi em resposta à escassez de suprimentos médicos, como equipamento de proteção individual (EPI) para profissionais de saúde da linha de frente durante o auge da pandemia COVID-19. Outras necessidades identificadas pelo pedido incluem chips semicondutores para a indústria automotiva e outras aplicações de alta tecnologia.

Esses problemas prejudicam a capacidade dos americanos de obter produtos essenciais e criam instabilidade para os trabalhadores das indústrias afetadas. O objetivo da nova ordem, de acordo com a Casa Branca, é resolver proativamente essas questões antes que elas se repitam.

“Embora não possamos prever que crise nos atingirá, devemos ter a capacidade de responder rapidamente diante dos desafios”, disse a Casa Branca. “Os Estados Unidos devem garantir que a escassez de produção, interrupções comerciais, desastres naturais e ações potenciais de concorrentes e adversários estrangeiros nunca mais deixem os Estados Unidos vulneráveis ​​novamente.”

A campanha do presidente deixou claro que seu governo está empenhado em abordar os riscos da cadeia de abastecimento de forma abrangente. Mas a iniciativa terá sucesso?

Do ponto de vista da segurança, há uma série de questões que a administração deve considerar. Deixar de fazer isso resultará em tempo e esforços duplicados, desperdiçando recursos e, ao mesmo tempo, não mitigando os riscos cibernéticos que poderiam resultar em outro ataque à cadeia de suprimentos.

A primeira etapa para garantir a segurança das cadeias de abastecimento dos EUA é identificar suas vulnerabilidades e riscos. A ordem executiva de Biden concentra-se em seis setores:base industrial de defesa, saúde pública, tecnologia da informação e comunicações, energia e energia, transporte e agricultura.

A dependência das cadeias de suprimentos em produtos e serviços digitais criou vulnerabilidades graves, tornando a segurança cibernética uma parte essencial da revisão. O medo de que um ator estadual possa decidir bloquear a cadeia de suprimentos por meio do crime cibernético é real. A seção 4.4 da ordem executiva deixa claro que o gerenciamento de riscos cibernéticos é uma preocupação principal e uma área de foco. Dentro de um ano, os relatórios devem ser enviados cobrindo o estado atual da dependência das cadeias de suprimentos em nações concorrentes. A maneira como o governo envolve a comunidade de segurança da informação para esse propósito determinará ou quebrará a iniciativa em todos os setores.

Garantia de resultados em um ano

O empreendimento cobre muito território por um período de um ano. É fundamental que a comunidade de tecnologia e segurança da informação, aproveitando as lições do ano passado, forneça contribuições para as partes que estão impulsionando a iniciativa. Os esforços de grupos da indústria, como centros de análise e compartilhamento de informações (ISACs) e o Conselho de Coordenação do Setor de TI (ITSCC), serão essenciais para o sucesso. Além disso, há uma montanha de dados e análises saindo das quatro grandes empresas de consultoria sobre quais riscos priorizar ao lidar com terceiros.

O Departamento de Defesa dos Estados Unidos deve desempenhar um papel fundamental em ajudar a iniciativa a ser implementada sem problemas. Um esforço comparável sendo supervisionado pelo DOD é o Cybersecurity Maturity Model Certification (CMMC), exigindo que os fornecedores de materiais contratados pelo governo atendam a padrões específicos. Um conselho importante, com base na reação pública e privada ao CMMC até agora, é evitar ao máximo misturar processos de adjudicação e revisão de contratos. Os líderes do setor e as agências governamentais devem trabalhar juntos para decidir sobre um padrão simples, mas eficaz, para a cibernética nas várias cadeias de suprimentos de forma simples.

A importância da padronização

Criar as parcerias certas e obter informações de especialistas em segurança da informação é uma coisa, mas garantir maior maturidade em segurança cibernética nas cadeias de suprimentos dos EUA é outra bem diferente. A comunicação é o único elemento que pode fazer ou quebrar novos requisitos quando implementado em um ecossistema tão grande. É impulsionado por medição, com resultados padronizados entre os grupos, independentemente de seu nível de maturidade em segurança cibernética. Padrões como a subcategoria NIST CSF Supply Chain Risk Management ou CMMC mencionados anteriormente são ótimas ferramentas para tornar os requisitos claros e implementá-los de forma eficaz nas cadeias de suprimentos. As metodologias de avaliação cibernética no NIST CSF são especialmente valiosas para fornecer contexto para fornecedores com pouco conhecimento de segurança da informação.

Quando se trata de medição, jogar fora todos os riscos potenciais nas cadeias de abastecimento dos EUA é impossível, dada a complexidade dos ecossistemas da cadeia de abastecimento global. No entanto, é valioso identificar cenários que examinam vários pontos potenciais de falha. Aproveitar as metodologias de quantificação de risco existentes de maneiras criativas é a chave para alcançar a verdadeira resiliência. É essencial que as empresas entendam o risco da cadeia de abastecimento como um meio de alcançar uma boa governança, valendo-se de contribuições de equipes de segurança, compartilhamento de dados e informações e avanços no software de gestão de risco.

Só podemos esperar que a iniciativa de cadeia de suprimentos de Biden aproveite os dados existentes de eventos anteriores e análises preditivas sobre o futuro. Toda a cadeia de abastecimento pode ser comparada e todas as vulnerabilidades identificadas em um único ano? E podemos mitigar o risco cibernético grave nas cadeias de abastecimento dos EUA? Isso ainda está para ser visto.

Padraic O'Reilly é cofundador e diretor de produtos da CyberSaint.