Cibersegurança na cadeia de abastecimento: Melhores práticas de gestão de riscos

A cibersegurança da cadeia de abastecimento é a principal preocupação dos consumidores globais em 2024. Os recentes acontecimentos geopolíticos desde 2022 colocaram um risco ainda maior de violações de dados. Só em 2023, foram pagos mil milhões de dólares em taxas a nível mundial por ataques de ransomware. 2023 foi o ano mais devastador até o momento, repleto de infelizes ataques de ransomware, e 2024 não será diferente.

As empresas mais expostas são cruciais para as economias nacionais; especificamente, as que estão em grande perigo, dependem do comércio internacional. Este risco está a afetar a fiabilidade da cadeia de abastecimento. Atualmente, as empresas são mais cautelosas quanto à segurança do fluxo de bens e matérias-primas.

Para se tornarem mais resistentes, as empresas estão a prestar mais atenção à gestão do risco cibernético da cadeia de abastecimento. A cibersegurança da cadeia de fornecimento envolve a tomada de medidas para avaliar todos os riscos e delinear ações para evitar perdas.

Este artigo analisa os efeitos devastadores de um trabalho inadequado sobre a cibersegurança na cadeia de abastecimento. Ficará a saber mais sobre as melhores práticas de gestão de riscos para a cibersegurança. Graças a estes conhecimentos, descobrirá o valor de proteger melhor as suas operações comerciais. Ficará a saber o que é a resposta a incidentes de segurança e como seguir os indícios quando a sua cadeia de abastecimento é alvo de um ataque.

Em que consiste a cibersegurança na cadeia de abastecimento?

A pressão das organizações internacionais, a COVID-19 e os desafios da cadeia de abastecimento foram as únicas questões que tivemos de considerar nos últimos anos. As empresas integradas nas cadeias de abastecimento são, de fato, as mais expostas ao risco de ataques de ransomware. Elas se esforçam todos os dias para reduzir os riscos.

Uma vez que a maioria das cadeias de abastecimento nas economias atuais se baseia em importações e exportações, consideramos que a cibersegurança nas cadeias de abastecimento é um desafio global. Apenas um número muito reduzido de países é capaz de fabricar produtos completos de ponta a ponta sem importar matérias-primas. Isto torna-se ainda mais difícil para as empresas envolvidas na indústria tecnológica, como a indústria automóvel ou a robótica e automação. É por isso que, mesmo que a sua empresa esteja a operar no mercado local, será muito provavelmente desafiados pelas preocupações com a cibersegurança.

Veja como funciona:

Primeira violação: Os cibercriminosos utilizam mensagens de phishing ou malware para acessar o sistema de um fornecedor ou prestador de serviços.

Falsificação de identidade de remetentes de confiança: Uma vez lá dentro, os hackers podem imitar contas de correio eletrónico legítimas no sistema infetado.

Atingir clientes e parceiros: Os hackers utilizam estas contas falsas para lançar campanhas de phishing, faturas fraudulentas ou outros ataques a clientes e parceiros de fornecedores.

Ameaça ampliada: Se o sistema de um cliente for comprometido, os atacantes podem roubar dados sensíveis, implementar ransomware ou utilizar o acesso para lançar outros ataques.

Os problemas de segurança podem afetar os fornecedores externos que entregam à sua fábrica peças ou componentes sobressalentes para montagem, a fim de completar o seu produto na linha de produção. Por consequência, pode não ser um impacto direto, mas sim indireto.

Em última análise, a falta de gestão dos riscos de cibersegurança pode afetar as exportações, quer se trate de transporte aéreo, marítimo, ferroviário ou rodoviário. Estas são as formas mais comuns de transporte marítimo, e a entrada de hackers significativamente impacta o seu negócio.

Exemplo de uma violação da cibersegurança na cadeia de abastecimento

Um exemplo pode ser encontrado na indústria ferroviária, que é altamente importante para o transporte intermodal e pode ser afetada de várias formas. É evidente que o transporte de mercadorias em contentores é o mais eficiente, mas pode, na verdade, combinar o transporte marítimo, o transporte ferroviário e o transporte rodoviário.

Além disso, na indústria automóvel, podemos ver empresas como a Škoda Auto ou outros fabricantes que encomendam componentes para produção a partir de Taiwan. O transporte marítimo demora cerca de 20 dias. Quando o carregamento chega ao Porto de Roterdão, nos Países Baixos, os contentores serão descarregados e colocados em comboios de carga para se moverem até Česká Třebová, na República Checa (o principal ponto de trânsito para contentores na direção NL-CZ). Posteriormente, devem ser descarregados em reboques de camiões e entregues numa das instalações da Škoda Auto. No entanto, nos casos em que os transportadores ligados à rede do grupo MENTRANS, o principal transportador do Porto de Roterdão para a Europa Central e Oriental, são afetados por um ataque informático, a cadeia de abastecimento é interrompida.

A Agência da União Europeia para a Cibersegurança (ENISA) fornece um exemplo mais detalhado de estatísticas. A ENISA afirma que o ransomware é a principal ameaça para o setor ferroviário, o que representa 45% dos ciberataques. As ameaças relacionadas com dados representaram 25%, assim como os ataques de negação de serviço (DoS), negação de serviço distribuída (DDoS) e negação de serviço de resgate (DDoS).

O relatório afirma que a proporção crescente de ataques DDoS no setor ferroviário se deve ao aumento da atividade de hackers que se seguiu à invasão da Ucrânia, realizado por grupos pró-russos ou anti-Nato. Por isso que neste é mencionado no início deste artigo.

Quais são os diferentes tipos de ataques à cadeia de abastecimento?

Como já foi explicado, os ataques à cadeia de abastecimento representam uma ameaça crescente à cibersegurança. Ao contrário dos ciberataques tradicionais que visam diretamente uma organização, os ataques à cadeia de abastecimento exploram a confiança entre as empresas e os seus fornecedores ou prestadores de serviços. A longo prazo, podem afetar todas as partes interessadas da cadeia de abastecimento.

Quer se trate de uma carreira como a rede do grupo MENTRANS ou de um centro de distribuição, o risco é visível em toda a sua extensão. No entanto, podemos avaliar a evolução da forma como os ciberataques funcionam.

Os piratas informáticos podem explorar a sua cadeia de abastecimento de várias formas. Podem enviar mensagens de correio eletrónico falsas para que forneça credenciais de início de sessão (account takeovers), plantar malware como o Stuxnet, NotPetya, Sunburst ou Kwampirs ou fazer-se passar por alguém em quem confia (como no caso do esquema Business Email Compromise).

Sabemos que as redes internas estão bastante bem protegidas e que a forma como os hackers podem entrar na sua organização está aberta a dois tipos de ataques à cadeia de abastecimento.

Business email compromise (BEC)

A fraude por correio eletrónico ocorre quando os atacantes se fazem passar por indivíduos de confiança, como parceiros comerciais, fornecedores ou vendedores. O destinatário é então enganado para fazer transferências bancárias, pagar faturas falsas ou redirecionar fundos de salários, tudo com o objetivo de alterar os detalhes de pagamentos futuros. Por vezes, os atacantes violam a conta de correio eletrónico genuína de um fornecedor para se fazerem passar por ele ou infiltrarem-se em conversas de correio eletrónico existentes.

Outra tática envolve o envio de e-mails de spam para endereços de e-mail individuais específicos. Esta abordagem baseia-se em técnicas típicas em que os remetentes de spam utilizam padrões na elaboração de mensagens de correio eletrónico. Por exemplo, se um endereço de correio eletrónico for criado com um nome, ponto e apelido, como “Patric.Leman@easycargo.com,” torna-se fácil identificar os endereços de correio eletrónico de outras pessoas dentro da organização para enviar spam para as suas caixas de correio e fazer phishing.

Ataques à cadeia de fornecimento de software

Os ataques à cadeia de abastecimento visam sistemas de software como o WMS (Warehouse Management System) ou o TMS (Transport Management System). Estes ataques ocorrem quando os atacantes se infiltram nos sistemas de software de um fornecedor.

No entanto, a violação mais comum está associada a plataformas B2B que gerem atividades de aquisição para a cadeia de abastecimento para reduzir o risco financeiro. Muitas vezes, estas violações afetam futuras distribuições enviadas a clientes e parceiros. Isto significa que os administradores podem receber falsos pedidos de transporte ou ordens de compra. Embora menos comuns do que outros ataques, estas violações podem afetar várias vítimas em simultâneo e conduzir a métodos de programas de gestão de riscos.

A sequência de eventos associada aos ataques é normalmente semelhante a esta:

1. Recebe uma mensagem no e-mail com um arquivo Office ou PDF.
2. O software antivírus analisa o arquivo, mas não encontra nenhum vírus porque o ransomware não está incluído no seu código.
3. Abre-se a mensagem de correio eletrónico e o documento com o MS Office ou o Adobe Acrobat para ver ou criar uma pré-visualização/ícone do ficheiro.
4. O código do documento é executado.
5. O malware é descarregado da Internet, muitas vezes de um sítio controlado por um hacker. O malware pode ser encriptado durante o descarregamento, pode enganar o verificador de vírus, que vê apenas dados irreconhecíveis.
6. O malware descarregado é executado, provavelmente num script host do Windows.
7. Ocorre uma “elevação de privilégio”, que concede direitos de sistema ao código malicioso. Isto requer uma falha no sistema operativo ou software com os direitos administrativos.
8. O malware instala-se no sistema, normalmente de uma forma que é muito difícil de remover.
9. Opera em segundo plano, potencialmente sem ser percebido durante dias ou semanas, inclusive:

a) Encriptação de dados

b) Filtragem simultânea desses dados para um servidor controlado pelo hacker.

c) Propagação simultânea através da rede e rápida infeção e encriptação de mais dados e sistemas.

Melhores práticas da cadeia de fornecimento cibernético

A cibersegurança na cadeia de abastecimento não se limita aos departamentos de TI. Temos de estar conscientes de que as ciberameaças na cadeia de abastecimento se estendem a estas áreas:

Compras: As ciberameaças podem surgir nas aquisições através de mensagens de phishing direcionadas que se fazem passar por fornecedores legítimos, que conduz a transacções fraudulentas ou a violações de contas.

• Gestão de fornecedores: As deficiências nas práticas de cibersegurança dos fornecedores, tais como medidas inadequadas de proteção de dados, podem expor informações sensíveis a um acesso não autorizado ou a violações de dados.
• Continuidade da cadeia de abastecimento: Os ataques cibernéticos a sistemas ou infraestruturas críticas, como o ataque de ransomware a instalações de fabrico ou centros de distribuição, podem perturbar as operações da cadeia de abastecimento, ao provocar atrasos na produção ou escassez.
• Gestão da qualidade: Os incidentes de cibersegurança, como a adulteração das especificações dos produtos ou a introdução de malware nos sistemas de produção, ameaçam as normas de qualidade e segurança dos produtos.
• Segurança dos transportes: As ciberameaças aos sistemas de transporte incluem ataques de falsificação de GPS em contentores de transporte ou ransomware que afeta o software de logística. Estas ameaças podem perturbar o fluxo de mercadorias e ameaçar a sua segurança durante o transporte.

Como podemos prevenir os ciberataques?

A abordagem das ameaças mencionadas acima requer um esforço coordenado em toda a organização. Aqui estão as melhores práticas para evitar o comprometimento de um sistema.

1. Assuma a falha e gerencie o risco

Desenvolva as suas defesas com base no pressuposto de que os seus sistemas serão violados. Isto permite-lhe concentrar-se não só na prevenção de violações, mas também na atenuação e recuperação das mesmas.

2. Pessoas, processos e conhecimentos

A cibersegurança não é apenas uma questão de tecnologia, mas também de pessoas, processos e conhecimentos. As violações são frequentemente causadas por erro humano. Os sistemas de segurança de TI exigem práticas seguras por parte dos funcionários em toda a cadeia de abastecimento.

3. Não negligenciar o risco operacional

Não negligencie a gestão do risco. Evitar o risco e não prestar atenção ao risco não são a mesma coisa. As potenciais vulnerabilidades devem ser reconhecidas e eliminadas para minimizar o seu impacto na organização. Isto envolve a avaliação contínua e a melhoria das proteções.

4. Segurança total

A segurança é completa. Não deve existir qualquer lacuna entre a segurança física e a cibersegurança. As lacunas na segurança física podem conduzir a ciberataques e as lacunas na cibersegurança podem ser exploradas para obter acesso físico.

Exemplo de um software de carregamento de contentores para transporte

Relativamente à segurança dos transportes, podemos dar um excelente exemplo do nosso nicho específico. Enquanto fornecedor de software de carregamento de contentores, podemos partilhar formas diretas de cibersegurança para a sua empresa no que diz respeito ao transporte marítimo.

Diversificação do sistema

Em primeiro lugar, deve considerar a diversificação até certo ponto. É preferível utilizar um software de carregamento que não seja apenas parte de uma solução maior, mas um sistema separado. Desta forma, pode gerir o planeamento de carga e a expedição sem os problemas que surgem quando todos os sistemas estão em baixo devido a um ciberataque que afeta os sistemas principais, como o ERP ou o WMS.

Continua a ser possível realizar ações relacionadas com a expedição sem perder capacidades operacionais. A natureza interligada das cadeias de abastecimento modernas torna a diversificação ainda mais crítica. O poder das soluções autónomas pode melhorar o negócio e evitar um efeito dominó. Por conseguinte, o sistema ERP pode ser integrado, mas ao levar em conta a diversificação.

Controlar o acesso

A questão estratégica relativa à segurança da informação e às violações de dados gira em torno do acesso. O software de carregamento de contentores funciona apenas internamente, mas se necessitar de determinadas funcionalidades para partilhar dados com os seus fornecedores ou vendedores, pode utilizar um link público para um plano de carga em 3D totalmente interativo.

Embora esta opção seja limitada e impeça integração no seu planeamento da carga, permite que as partes interessadas revejam os layouts dos contentores. Além disso, como em qualquer outra situação, não é necessário fornecer contas de sistema aos intervenientes ou credenciais para iniciar sessão, o que pode levar a fugas de dados ou servir de pontos de entrada vulneráveis para os hackers.

Gestão do risco de cibersegurança

Para lidar melhor com a cibersegurança, as principais ameaças na cadeia de abastecimento cibernético são importantes. São apresentadas a seguir as principais considerações de cibersegurança para a cadeia de abastecimento:

• Os prestadores de serviços ou fornecedores terceiros, desde serviços de limpeza a engenharia de software, podem ter acesso aos seus sistemas.
• Más práticas de segurança dos fornecedores a jusante.
• Software ou hardware danificado por fornecedores.
• Vulnerabilidades de software em sistemas de gestão da cadeia de abastecimento ou de fornecedores.
• Hardware falsificado ou hardware com malware.
• Armazenamento de dados por terceiros ou pelos agregadores de dados.

Como indicado acima, o tema conduz ao processo designado na atividade como gestão do risco. Nestes casos, cada empresa necessita de uma abordagem verdadeiramente individual ao problema. O aspeto mais importante pode ser a identificação de todos os pontos de contato vulneráveis. Se a sua empresa estiver exposta a uma destas ameaças de cima, deve tomar as devidas precauções para lidar com ela antes que seja tarde demais.

Os inconvenientes dos atuais problemas de cibersegurança na cadeia de abastecimento são bem conhecidos e compreensíveis. Está exposto a riscos potenciais e pode perder a possibilidade de executar as suas operações comerciais. Atualmente, a tecnologia oferece uma gestão independente do risco empresarial para assegurar a sua atividade na cadeia de abastecimento.

Há três etapas no processo de gerenciamento de riscos em um programa robusto de gerenciamento de riscos:

1. Avaliação dos riscos

Classificação da informação: Categorização dos ativos de informação com base na sua sensibilidade e importância para identificar riscos.

Identificação do risco do processo: Reconhecer potenciais ameaças à confidencialidade, integridade e disponibilidade da informação.

Identificação de vulnerabilidades: Identificar pontos fracos nos sistemas, processos ou controlos que possam ser explorados.

Análise de risco para ativos de informação: Avaliar a probabilidade e o impacto dos riscos identificados para os ativos de informação.

Seleção do método: Seleção de uma metodologia adequada de gestão e avaliação do risco, como a análise qualitativa ou quantitativa. Tudo isto serve para pôr em prática as medidas de redução dos riscos que os gerem.

Resumir e comunicar os riscos: Condensar as conclusões em conhecimentos práticos e comunicar eficazmente os riscos às partes interessadas através de relatórios claros e concisos.

2. Mitigação dos riscos e plano de gestão dos riscos

Identificar opções: Explorar diferentes linhas de ação para abordar os riscos identificados.

Seleção de opções: Seleção da abordagem mais adequada, tendo em conta o custo, a viabilidade e a eficácia.

Implementação: Aplicação rápida e eficaz da estratégia de atenuação selecionada.

Aceitar: Reconhecer e tolerar os riscos que se situam dentro de limiares aceitáveis.

Transferência: Transferência do risco para outra parte através de subcontratação, seguros ou acordos contratuais.

Mitigação de riscos: Implementação de controlos e garantias para reduzir o impacto do risco.

Prevenção de riscos: Tomar medidas proativas para eliminar ou minimizar a exposição a cenários de alto risco.

3. Avaliação do risco e gestão do risco empresarial

Acompanhamento e revisão: Acompanhamento contínuo da eficácia das atividades de gestão do risco.

Atualização das avaliações de risco: as avaliações de risco devem ser revistas e atualizadas regularmente para refletir as alterações no ambiente empresarial ou no panorama de risco.

Ajustar as normas de gestão do risco: Modificar as estratégias de atenuação dos riscos com base em novas informações ou na alteração dos riscos. Elaborar novas normas de gestão do risco.

Aprender com os incidentes e os controlos dos riscos: Aprenda com os incidentes passados ou com os erros de gestão estratégica, bem como com os quase-acidentes, para melhorar as futuras atividades de gestão do risco. Estabeleça uma forte conformidade regulamentar na sua estratégia empresarial. Os analistas de segurança podem considerar a aquisição de uma companhia de seguros para se protegerem contra ameaças de cibersegurança.

Resumo da gestão dos riscos e das ciberameaças

A cibersegurança da cadeia de abastecimento tornou-se uma questão premente para os consumidores globais em 2024. As recentes tensões geopolíticas e a ameaça contínua de violações de dados aumentaram os riscos. Só os ataques de ransomware custaram biliões às empresas em 2023, o que destaca a natureza em constante evolução das ciberameaças e dos seus desafios.

As empresas críticas para as economias nacionais, especialmente as que dependem fortemente do comércio internacional, são particularmente vulneráveis. Este risco acrescido realça a necessidade urgente de práticas sólidas de gestão do risco na cadeia de abastecimento cibernético. É necessária uma gestão de riscos eficaz e uma menor partilha de riscos entre as partes interessadas.

Deve considerar normas e estratégias sólidas de gestão do risco para proteger a sua empresa das ciberameaças na cadeia de abastecimento. Deve começar por aplicar práticas de avaliação do risco para identificar vulnerabilidades e potenciais ameaças.

Avalie e atualize continuamente as suas estratégias de gestão do risco para se manter alerta perante as ameaças em constante mudança que afetam as cadeias de abastecimento. Os líderes empresariais devem saber que, ao diversificarem as suas soluções de software, podem aumentar a segurança cibernética na sua cadeia de abastecimento. Pode proteger as suas operações, minimizar potenciais interrupções e garantir o futuro do seu negócio. Contacte-nos hoje se quiser saber mais sobre a nossa solução de cibersegurança, que é o nosso software de carregamento de contentores.