Os ciberataques sofridos pela Colonial Pipeline, SolarWinds e o Microsoft Exchange são os mais recentes exemplos flagrantes de que a cibersegurança é um dos principais problemas das cadeias de abastecimento e que as ameaças cibernéticas estão a crescer em termos de frequência e impacto. A Colonial Pipeline personifica as cadeias de abastecimento no seu sentido mais verdadeiro, fornecendo 45% do combustível à Costa Leste dos EUA. A cadeia de abastecimento de desenvolvimento de software da SolarWinds foi comprometida, o que afetou uma atualização para 18.000 utilizadores do seu software de gestão de rede, incluindo diversas das principais agências governamentais dos EUA. Entretanto, o ataque ao Microsoft Exchange afetou pelo menos 30.000 utilizadores.
Estes são exemplos perfeitos da importância que tem a cibersegurança da cadeia de abastecimento. Os hackers estão sistematicamente a atacar as organizações de forma direta e a utilizar as empresas indiretas da cadeia de abastecimento como uma porta de acesso a alvos de elevado valor.
Tudo isto está a acontecer num período de mudança do local de trabalho motivado pela pandemia da COVID-19. As empresas estão a acelerar a sua transformação digital para criar maior visibilidade, agilidade e resiliência aquando do processo de comercialização e satisfação das necessidades dos clientes. Todos os dias são partilhados mais dados essenciais em cadeias de abastecimento globais de grande alcance. Hoje em dia, todas as empresas estão ligadas. Nenhuma empresa é, nem pode ser, um castelo de informações rodeado por um fosso impenetrável.
A SolarWinds é um exemplo desagradável de que se as empresas do seu ecossistema estiverem vulneráveis, a sua empresa também está vulnerável. A partir deste momento, nunca mais deve voltar a pensar sobre a cibersegurança sem levar em conta o risco de terceiros. Por outro lado, as empresas da sua cadeia de fornecimento, mesmo as mais pequenas, nunca devem pensar que estão seguras porque “não têm nada que os hackers possam querer.”
No mundo atual com cadeias de abastecimento cada vez mais digitais e interligadas, todas as organizações, seja qual for tamanho, são um alvo potencial. Os hackers tentarão passar pelos seus sistemas para chegar a uma outra empresa e tentarão passar pelos seus clientes e fornecedores para chegar a si. Toda a situação complica-se ainda mais devido aos novos modelos de negócio híbridos. Os seus colaboradores podem deslocar-se de casa para o escritório, utilizando diferentes dispositivos e conectores. Embora possa sentir que tem a situação sob controlo, o que dizer dos seus fornecedores, parceiros e outros terceiros da sua cadeia de abastecimento?
No caso das grandes empresas, seguem-se algumas medidas básicas que deve adotar imediatamente junto das partes interessadas da cadeia de abastecimento para as ajudar a proteger-se e, em última instância, proteger-se a si próprio.
Antes do mais, deve assegurar que tanto você como todas as empresas da sua cadeia de abastecimento têm um plano de resposta a incidentes que inclui cópias de segurança de dados essenciais programadas regularmente. Tal como é evidenciado pelo incidente com a Colonial, saber o que fazer durante e após um evento (e ter cópias de segurança dos dados essenciais em caso de um ataque de ransomware) pode constituir a diferença entre um golpe duro para o seu negócio e um ligeiro aborrecimento.
Para ajudar a implementar esta e outras ações, as empresas da sua cadeia de abastecimento devem ter um Líder cibernético designado e formado. Uma pessoa que seja responsável por criar uma cultura de cibersegurança centrando-se no comportamento humano. Não é necessário ser um especialista em tecnologia. Deve saber comunicar até que ponto é importante que todos desenvolvam bons hábitos cibernéticos. Deve assegurar-se de que a empresa implementa algumas políticas simples centradas em quatro problemas principais:
- Frases de acesso: incentive-o a substituir as palavras-passe por frases de acesso com 15 carateres. Foi noticiado que alguns funcionários da SolarWinds estavam a usar “solarwinds123” como respetiva palavra-passe. Não facilite a vida aos hackers para decifrarem as suas palavras-passe. Qualquer palavra-passe de 8 carateres pode ser decifrada em 3 minutos, mas uma palavra-passe de 13 carateres pode levar 5,2 milhões de anos a decifrar.
- Autenticação multifator: Utilize-a sempre que for disponibilizada. Se não for disponibilizada, pense em mudar para um software ou serviço que o faça.
- Phishing: peça-lhes que realize uma formação de reciclagem para os colaboradores sobre como detetar um e-mail ou texto de phishing. O e-mail pode mesmo aparentemente ter sido enviado por uma pessoa de outra empresa ou da sua. Reforce a mensagem para nunca abrirem um anexo ou ligação se houver qualquer suspeita. Diga-lhe que contacte o remetente através de canais alternativos para verificar se é real.
- Dispositivos: Incentive terceiros a analisar que dispositivos os respetivos colaboradores estão a utilizar para se ligarem à rede deles ou à sua. Se estiverem a utilizar dispositivos pessoais, certifique-se de que seguem as regras sobre frases de acesso e autenticação multifator. Evite a utilização de dispositivos USB e unidades de armazenamento amovíveis.
Estes conselhos básicos e outras recomendações desenvolvidas em conjunto pelo Digital Supply Chain Institute (DSCI) e o Cyber Readiness Institute (CRI) podem ajudá-lo a fortalecer a sua segurança e a da sua cadeia de abastecimento criando uma cultura de trabalho de cibersegurança. Comece hoje mesmo a sensibilizar os terceiros com quem trabalha. Incentive-os a desenvolver bons hábitos cibernéticos. É fundamental para a sua empresa e para todas as empresas com as quais colabora.
Ao trabalharmos em conjunto, podemos melhorar a cibersegurança para todos. Craig Moss é o Vice-Presidente Executivo da Ethisphere. É também Diretor da Gestão de Mudanças para o Digital Supply Chain Institute e Diretor de Conteúdos para o Cyber Readiness Institute.
Christopher G. Caine é o Presidente do Center for Global Enterprise, uma organização sem fins lucrativos com sede em Nova Iorque dedicada ao estudo das empresas atuais na era da integração económica global. Também é Presidente e CEO da Mercator XXI, uma empresa de serviços profissionais que ajuda os clientes a participar na economia global.