A segurança cibernética é um fato cotidiano para as empresas. Um relatório publicado pelo Department for Digital, Culture, Media and Sport do Reino Unido em 2018 mostrou que 43% das empresas pesquisadas sofreram um ataque cibernético nos últimos 12 meses. Segundo Oz Alashe, fundador e CEO da CybSafe e Embaixador de segurança cibernética da Achilles, a natureza do risco está mudando e os ataques cibernéticos estão a tornar-se um problema importante na cadeia de fornecimento.
“Quando a maioria das pessoas pensa em crimes cibernéticos, elas imaginam ataques sofisticados direcionados a empresas da FTSE 250, mas não é sempre assim”, explica Oz. “Geralmente, a maioria dos criminosos não tem como alvo as empresas prósperas e com bons sistemas de defesa. Eles atacam as empresas despreparadas. Isso significa que, especialmente para empresas globais, normalmente não são encontradas brechas em estratégia de segurança em suas próprias redes robustas, mas nos fornecedores menores com quem fazem negócios ou até mesmo em fornecedores de fornecedores.”
Isso foi apontado no setor de serviços públicos em 2017, quando hackers russos tiveram acesso à rede elétrica dos EUA por meio de fornecedores importantes das empresas de energia. O fato de muitos sistemas de controle e análise usados na produção e distribuição de energia, aviação, empresas de água e fabricação não terem sido projetados considerando a ameaça de ataques cibernéticos tornam os serviços públicos e infraestrutura particularmente vulneráveis. As empresas agora enfrentam três principais ameaças, segundo Oz, e todas estão interligadas.
Principais riscos de segurança cibernética
1 – Engenharia social
Isso acontece quando uma pessoa é manipulada para fornecer informações ou introduzir uma ameaça nos sistemas da sua empresa. O phishing e o 419 scam são exemplos básicos que a maioria das pessoas conhece, no entanto métodos mais sofisticados podem envolver presentes, testes gratuitos e persuasão usando redes sociais. “Há uma variação entre setores, mas brechas relacionadas ao ser humano são onipresentes”, explica Oz. “Quatro das cinco principais causas de violação de dados são devido a erro humano ou de processo.”
2 – Malware/ransomware
“Por que? Em parte, porque é muito simples. É relativamente fácil de implantar e executar. Kits de ferramentas prontos significam que até um amador pode montar e distribuir um pacote de ransomware. Os riscos ou custos associados à realização de um ataque são mínimos”, diz Oz.
3 – Vulnerabilidade em dispositivos IoT
“O crescimento da Internet tem causado mudanças drásticas ao panorama da segurança cibernética nos últimos anos. À medida que a circulação de dispositivos conectados aumenta dia a dia, a área de superfície de ataques também aumenta. Vulnerabilidades nesses dispositivos são quase inevitáveis. Quando uma massa crítica de máquinas é comprometida, os criminosos podem executar ataques DDoS”, explica Oz.
Como mitigar riscos de segurança cibernética
Para se proteger melhor, as empresas precisam considerar as questões técnicas e o papel que as pessoas desempenham na segurança cibernética. No sentido técnico, ter a solução correta para o nível corporativo é crucial. Ela deve abranger criptografia de arquivos, backups, registros financeiros, dados de clientes, sistemas de pagamento on-line, segurança em nuvem, sistemas de controle industrial e segurança de endpoint, inclusive de dispositivos IoT. Isso deve ser associado a práticas de TI que abranjam acesso de rede, administração de sistemas, patches eficientes e controles de aplicativos.
“No lado humano das coisas, significa introduzir programas educativos que reforcem o conhecimento, melhorem comportamentos e incentivem a equipe a praticar boa higiene na segurança cibernética. Introduzir políticas de segurança sensatas: não dificultar a vida da equipe. Elas devem ser centradas nas pessoas, mais do que em uma lista de verificação e devem ser sustentadas por evidências científicas”, afirma Oz.
Torne a segurança cibernética parte da sua política de CSR
Com os hackers voltados aos fornecedores para infiltrar-se em organizações maiores, é importante que empresas de grande e pequeno porte tratem a segurança cibernética como um problema da cadeia de fornecimento e que haja ações para que essa se torne uma área completa dentro da política de CSR. Em 2018, o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor na União Europeia. Ele contém proteções fortes para dados pessoais dos clientes e os ataques cibernéticos são uma forma como eles podem ser ameaçados. No entanto, como destacado na Pesquisa de violações de segurança cibernética do Reino Unido mencionada acima, apenas 27% das empresas têm uma política de segurança cibernética em vigor.
“Regulamentos à parte, há um benefício comercial inerente em administrar adequadamente o risco de segurança cibernética na cadeia de fornecimento”, diz Oz. “Como os leitores verão, cadeias de fornecimento interrompidas consomem as margens. O tempo de inatividade de apenas algumas horas pode ser catastrófico. Uma linha de produção desativada pode levar a perdas enormes. Fundamentalmente, a boa segurança cibernética faz bom sentido comercial.”
Reduza o risco para sua cadeia de fornecimento
Como os ataques cibernéticos representam uma ameaça cada vez maior para as cadeias de fornecimento, é importante para compradores e fornecedores terem certeza de que suas empresas estão preparadas. O estudo do Reino Unido mostrou que 74% das empresas consideram que a segurança cibernética é um problema de alta prioridade, mas 73% delas não têm uma política em vigor. Com nosso Programa de recompensas, os fornecedores do Reino Unido são qualificáveis para descontos exclusivos de 20% sobre treinamento de segurança cibernética e conformidade com o CybSafe e o CyberSmart. Evite estar entre os 43% que podem sofrer uma violação em 2019.
