O que são riscos cibernéticos?
Riscos cibernéticos são considerados como a probabilidade de exposição, perda resultante de um ataque cibernético ou violação de dados em uma organização, causando danos não somente à infraestrutura técnica como também à reputação do negócio e prejuízo financeiro como um todo.
Com as organizações dependentes cada vez mais de sistemas, infraestrutura de redes e dados compartilhados, há maior suscetibilidade nas violações de informações que são insuficientemente protegidas, colocando em risco toda a operação da empresa. Assim, os ataques podem se originar desde um vírus compartilhado por e-mail, fornecedores que apresentam falhas de segurança até mesmo falhas internas da empresa que facilitam ataques cibernéticos.
E é este cenário que tem feito com que o risco cibernético seja uma das grandes preocupações das empresas. Um estudo global da Venafi, empresa especializada em segurança cibernética, revela que 82% dos CIOs entrevistados pontuam que suas respectivas organizações são vulneráveis a ciberataques direcionados à cadeia de suprimentos, o que tem tornado os desafios de segurança muito mais complexos.
Foi o que ocorreu, por exemplo, com a fabricante americana de software SolarWinds que sofreu um ataque cibernético em grande escala e como resultado afetou 18 mil organizações entre empresas públicas e privadas ligadas à sua cadeia de suprimentos.
Ignorar questões relacionadas à segurança cibernética dos fornecedores, contratar um software, por meio destes, e sofrer um ciberataque que comprometa a segurança dos seus dados e da operação como um todo são ações comuns, mas que proporcionam grandes estragos em toda a cadeia.
Dessa forma, aumentar investimentos para prevenção de tais problemas têm sido quase que obrigatório. Dados do relatório da consultoria britânica GlobalData apontam que nos próximos anos estão previstos gastos com segurança cibernética na casa dos U$$ 200 bilhões em empresas em nível global, estimando uma taxa de crescimento anual de 8,7% de 2021 a 2026, se comparada aos períodos anteriores.
O que causa um risco cibernético?
Os riscos cibernéticos não estão atrelados apenas a vírus recebidos por e-mails. Há outros fatores de risco que no dia a dia parecem inofensivos, mas que também trazem preocupação para os gestores, como por exemplo:
- IoT (Internet of Things): Com a Internet das Coisas possibilitando a ampla conectividade entre dispositivos, tal facilidade também abre precedentes para riscos de segurança, principalmente se estes são atrelados à rede principal.
- Segurança da cadeia de fornecimento: não estar a par da política de segurança de informação dos fornecedores abre grandes precedentes para ciberataques originados de terceiros.
- Operações automatizadas: a partir do momento que as áreas possuem fluxos de trabalho automatizados e uma rotina mais conectada, torna-se também vulnerável à exposição de diversos ciberataques.
- Equipe interna: seja por falta de conhecimento ou até mesmo desonestidade, a equipe interna pode ser um elo frágil da organização abrindo precedentes para a instalação de softwares maliciosos.
Quais os tipos de riscos cibernéticos que afetam a cadeia de suprimentos?
Malware
Malware é um dos mais comuns programas maliciosos inseridos em um sistema para comprometer a confidencialidade, integridade ou disponibilidade dos dados.
Um dos efeitos colaterais do malware é a redução de velocidade do seu sistema operacional, seja navegando na internet ou aplicativos locais. Uma gama de anúncios surgem inesperadamente na tela do computador que desliga repentinamente.
Por isso é de fundamental importância que os anexos de um arquivo de e-mail, por exemplo, sejam verificados e salvos em unidades locais. Além disso, limitar o número de usuários com acesso em nível de administrador, e solicitar que os os sistemas sejam atualizados regularmente são grandes armas para evitar que e-mails aparentemente inofensivos causem grandes prejuízos.
Phishing
Através do Phishing, o invasor utiliza e-mail de pessoas conhecidas dentro da organização para compartilhar links, anexos maliciosos ou induzir a clicar em sites falsos com o intuito de executar várias funções, desde extrair credenciais de login, informações pessoais ou financeiras das vítimas.
Embora e-mails de phishing sejam mal-escritos, os ciberataques estão cada vez mais sofisticados, onde profissionais têm utilizado técnicas para enviar mensagens cada vez mais eficazes.
Por exemplo, uma empresa contrata um fornecedor cujo colaboradores acessam um e-mail de phishing permitindo que cibercriminosos tenham acesso a dados de contas, serviços e outras informações confidenciais que podem prejudicar não só o fornecedor como a empresa contratante também.
Foi o caso da General Electric, uma organização com mais de 205 mil colaboradores em suas subsidiárias, onde cibercriminosos tiveram acesso a computadores de um de seus parceiros comerciais no ano de 2020. Dessa forma puderam acessar informações confidenciais, documentos de colaboradores e formulários fiscais, que poderiam facilmente ser vendidos em fóruns clandestinos e trazer um prejuízo incalculável para o negócio.
Ransomware
Ransomware é um software projetado para negar a um usuário ou organização o acesso a arquivos em seu computador. Ao conseguir criptografar esses arquivos, os cibercriminosos exigem um pagamento de resgate para que as empresas recuperem o acesso a seus arquivos.
Os ataques de ransomware à cadeia de suprimentos têm o potencial de causar sérios danos financeiros e de reputação. Cibercriminosos tentam tirar proveito de empresas que possuem extensas redes digitais ligando-as a fornecedores e clientes.
E infelizmente tem se tornado cada vez mais desafiador para as empresas saírem ilesas em toda a cadeia. Estudo da Trend Micro, empresa especializada em cibersegurança, aponta que mais da metade (52%) das organizações globais mantém relações comerciais com ao menos um parceiro que foi comprometido por ransomware.
Em 2022, entre os meses de fevereiro e março, três fornecedores da Toyota foram vítimas de um ataque cibernético, o que obrigou a gigante a interromper as operações em 14 de suas fábricas japonesas. Este incidente trouxe uma queda de cerca de 5% na capacidade de produção mensal da empresa, no período dos ataques.
Há uma série de medidas defensivas que podem ser tomadas para evitar a infecção por ransomware, consideradas boas práticas para proteger a operação da empresa. Entre elas estão medidas simples mais eficazes como manter o sistema operacional corrigido e atualizado, para garantir menos vulnerabilidade, e instalação de softwares antivírus que detectam programas maliciosos. E claro, realizar backups dos arquivos periodicamente.
Por que ter uma estratégia de segurança contra ataques cibernéticos, para a cadeia de suprimentos?
Como vimos até aqui, a proteção que as empresas precisam manter para se prevenir de ataques cibernéticos ultrapassa seus portões. A estratégia de segurança envolve não somente boas práticas internas, mas também deve considerar todos os atores que fazem parte do processo, incluindo fornecedores que podem ser uma porta de entrada fácil para comprometer os dados da empresa. A questão é como fazer isso?
Listamos algumas práticas que podem auxiliar neste processo.
1. Controle os acessos às informações confidenciais
Você sabe quais os fornecedores entram em contato com seus dados ou em qual nível de profundidade isto ocorre? Para gerenciar e controlar esses acessos às informações confidenciais as empresas devem constantemente mapear os seus terceiros verificando os dados que manipulam e gerenciando de forma mais efetiva os riscos relacionados a terceiros.
2. Aplicar controles de acesso do fornecedor
É comum que hackers busquem caminhos onde encontram menor dificuldade ou resistência. E isso pode incluir o acesso à sua rede por meio da cadeia de fornecimento. Por isso é importante a implementação de fortes controles de acesso do fornecedor a dados e informações, ou seja, os parceiros comerciais devem acessar apenas as informações necessárias para fornecimento de serviços e durante prazo determinado.
Uma das práticas que podem auxiliar no controle de acesso é a identificação multifatorial, que implica em exigir do usuário o fornecimento de duas ou mais evidências para verificar sua identidade. Assim adiciona uma camada extra de proteção, tornando mais difícil o trabalho dos cibercriminosos na obtenção de acesso às contas.
3. Incluir linguagem de segurança em contrato com fornecedores
Quando se trata de políticas de segurança de informação no relacionamento com os fornecedores é importante verificar a linguagem de segurança cibernética nos contratos com os parceiros comerciais.
Isso inclui o direito de avaliar práticas e controles de segurança de terceiros, bem como os dados serão tratados durante o ciclo de vida do contrato.
Como mitigar e monitorar riscos cibernéticos na cadeia de suprimentos
Não é incomum que as empresas, no decorrer dos anos, desenvolvam um nível de confiança em seus fornecedores e vão deixando de verificar boas práticas relacionadas não só aos negócios, mas em relação à segurança como um todo. E é nesse comportamento equivocado que a empresa se expõe a riscos que podem ser evitados, desde que adotadas boas práticas.
Ao contratar novos fornecedores, a empresa deve realizar as avaliações necessárias para verificar se os fornecedores atendem aos requisitos de proteção cibernética solicitados. É importante que a área de suprimentos esteja alinhada com o time de segurança de TI da organização, para avaliar quais as melhores práticas que devem ser adotadas e desenvolver uma estratégia conjunta efetiva.
Além disso é importante o monitoramento constante dos fornecedores e de suas práticas de segurança, através de atividades programadas tais como:
1. Identificação.
É preciso compreender todos os riscos de segurança cibernética envolvendo sistemas, pessoas, ativos e recursos. É necessário realizar o mapeamento de riscos e ter ciência das ameaças cibernéticas representadas pelas diferentes partes da cadeia de suprimentos, incluindo a tecnologia, o ciclo de vida de seus produtos e os fornecedores.
2. Criação de plano de ação para monitoramento contínuo
Implementar atividades relacionadas a detecção e monitoramento contínuos, bem como instalação de proteções apropriadas, garante uma infraestrutura adequada no decorrer do processo e também permite que a equipe se antecipe a situações anômalas que podem ocorrer dentro da cadeia de suprimentos, trazendo mais rapidez e eficácia na resolução de problemas relacionados a este fim.
- Criação de planos de contingência. Se mesmo com monitoramento um ataque cibernético ocorrer, os planos de contingência possibilitam agilidade na restauração de quaisquer recursos que foram prejudicados em um ataque.
Qual a importância do treinamento da equipe interna?
Mais do que olhar para as relações que envolvem a cadeia de suprimentos, uma empresa deve tornar a segurança cibernética uma parte regular do regimento de treinamento de sua empresa.
Se os colaboradores não entendem a importância de tomar os cuidados necessários na hora de receber um e-mail de um fornecedor, por exemplo, ou não se atentem a sites e sistemas que acessam, todo o trabalho de segurança cairá por terra, uma vez que a equipe interna pode ser tornar o elo mais frágil de toda a cadeia.
Mas quais práticas devem ser enfatizadas para que a equipe interna tenha uma responsabilidade consciente no relacionamento com fornecedores e em toda a cadeia de suprimentos.
- Responsabilidade pelos dados da empresa: Deve ser enfatizada a importância dos colaboradores de respeitar e proteger a privacidade das informações, assim como integridade e confidencialidade.
- Notificação em caso de incidentes: Os colaboradores devem ser treinados com procedimentos para casos em que o computador seja infectado por algum vírus ou não esteja operando normalmente (como execução lenta, alterações em configurações, etc.), a fim de mitigar ou investigar qualquer ameaça possível, bem como ressaltada a importância de comunicação urgente à área de TI.
- Uso de senhas: é recomendado que os colaboradores envolvidos na cadeia de suprimentos selecionem senhas fortes e também configurem os sistemas para que periodicamente alterem a senha.
- Software não autorizado: é importante frisar a importância da não permissão de instalar software não licenciado já que podem tornar a empresa suscetível a downloads de programas maliciosos.
- Abertura de e-mail suspeito. Não é recomendado abrir e-mails com links suspeitos que possibilitem a liberação de software malicioso ou roubo de dados da empresa, por mais que o e-mail seja de um fornecedor. Nessas horas é importante verificar se realmente o e-mail em questão está sendo aguardado, possui informações coerentes com a operação em si, ou se não há algo fora do padrão apresentado no e-mail como grafia incorreta ou caracteres incomuns.
Conclusão
Riscos cibernéticos são ações criminosas em ambientes virtuais com o principal objetivo de danificar e roubar dados relevantes, impedir acessos e comprometer a infraestrutura de tecnologia e operação de toda a empresa.
Diversas podem ser as ameaças que deixam a empresa bem como sua cadeia de suprimentos expostas a riscos. Softwares maliciosos como malware, ransonware ou phishing são tipos de riscos que podem afetar a empresa das mais diferentes formas.
Isso inclui desde o relacionamento com fornecedores que possuem práticas de segurança duvidosas, uso de sistemas automatizados sem ações preventivas, programas conectados à rede principal e também a própria ação da equipe interna.
Por isso o treinamento da equipe interna é fundamental para que os colaboradores se tornem um elo forte e atuem proativamente na prevenção de riscos. Boas práticas relacionadas a uso de dados empresariais, acesso controlado, uso de softwares licenciados e atenção no contato com fornecedores e as informações recebidas dos mesmos
E por gerar tantos impactos negativos é que as empresas devem estar cada vez mais atentas durante a homologação de fornecedores. É imprescindível verificar como os fornecedores lidam com questões relacionadas à segurança de informação para que estes parceiros comerciais não sejam uma porta de entrada para futuros riscos.
A plataforma G-Certifica é uma ótima aliada para ajudar empresas a homologar fornecedores de forma segura mitigando riscos e trazendo mais segurança para a cadeia de suprimentos da sua empresa. Clique aqui e consulte nosso time de especialistas.
