Navegando pelos crescentes riscos cibernéticos em transporte e logística
Estudo publicado pelo Boston Consulting Group.
Autores: Sugar Chan, Eitan Yehuda, Russell Schaefer, Alain Schneuwly, Sharon Zicherman, Stefan Deutscher, and Or Klier
A digitalização tornou-se predominante entre as empresas de
transporte e logística (T&L), melhorando todas as facetas upstream e
downstream da indústria. Este processo criou um ciclo sem precedentes de eficiências
direcionadas à expansão dos fluxos de receita. Essa é a boa notícia. A
desvantagem é que a digitalização expôs uma série de deficiências entre as
Empresas de T&L que as tornaram extremamente vulneráveis ??a ataques
cibernéticos.
Cada setor da indústria — incluindo marítimo, ferroviário,
rodoviário, fornecedores de logística e entregadores de pacotes — é afetado. O
impacto é caro, perturbador para as operações e tem o potencial de criar mais
responsabilidade, especialmente quando dados confidenciais de clientes são
violados.
Existem várias razões para o aumento da ameaça. Por um lado,
o uso expandido de tecnologia (OT), que abre novas comunicações e canais sem
fio que são conectados diretamente aos ecossistemas digitais das empresas
T&L, as tornam um alvo fácil para os hackers. Além disso, a indústria de
T&L sofre de regulamentos e padrões cibernéticos atrasados, conscientização
inadequada de segurança cibernética e uma escassez de talentos de defesa
cibernética.
Os ataques cibernéticos costumavam ocorrer a cada poucos
anos no setor de T&L. Agora, parecem ocorrer um ou dois cada mês. Alguns
são proeminentes. Por exemplo, um ataque cibernético em maio de 2021 derrubou
efetivamente a Colonial Pipeline, que fornece gasolina para quase metade da costa
leste dos Estados Unidos, por cerca de uma semana. A empresa afirmou que o
custo do resgate e a interrupção dos negócios chegaram a mais de US$ 50
milhões. Outros ataques cibernéticos, mesmo aqueles direcionados a grandes
transportadores, recebem menos atenção da imprensa, mas geralmente envolvem a
interrupção dos sistemas de e-mail e logística.
Além disso, os hackers estão cada vez mais tentando roubar
dados armazenados em redes que são críticas para a modernização e o crescimento
da indústria de T&L, porque fornecem uma solução mais eficiente e atraente
experiência do cliente. Essas redes permitem melhorias digitais como pedidos
automatizados, rastreamento e acesso às informações da conta.
Embora extremamente valiosas, essas iniciativas customer centrics exigem depósitos de informações confidenciais coletadas por meio de plataformas online, aplicativos de celular e outros dispositivos móveis, que, por carecerem de protocolos rígidos de proteção cibernética, estão entre os canais mais inseguros. E, à medida que a superfície potencial de ataque no setor de T&L se expande e a natureza do risco se amplia de forma continua, o custo de riptura caiu significativamente.
ONDE ESTÃO AS FRAQUEZAS
A maneira mais fácil de encarar o dilema enfrentado pelas
empresas de T&L é separar seus vulnerabilidades em três categorias:
tecnologia, regulamentação e pessoas e processos. Cada um desses pilares precisa
ser considerada com cuidado para lidar com as ameaças emergentes que afetam a
indústria.
Tecnologia. Em todos os segmentos da indústria de
T&L, a superfície ampliada de ataques cibernéticos é evidente. Por exemplo,
entre as companhias marítimas, sistemas de socorro e segurança relativamente
simples foram substituído por redes locais completas, baseadas em nuvem, como o
programa de e-navegação da International Maritime Organization(IMO). Essas
redes são um alvo tentador para hackers porque coletam, integram e analisam
informações a bordo continuamente para rastrear os navios locais, detalhes de
carga, questões de manutenção e uma série de considerações ambientais
oceânicas.
Enquanto essas redes em proliferação – que basicamente
conectam sistemas de TO com equipamentos internos de TI, como servidores, PCs e
dispositivos móveis - são, por padrão, novos caminhos para hackers, elAs são às
vezes ainda mais vulneráveIS pela falta de urgência demonstrada em relação a
ataques cibernéticos pelos fornecedores das soluções e empresas de T&L. Em
alguns casos, os fornecedores exigem interfaces de gerenciamento a serem
incorporadas em seus equipamentos para acesso remoto, controle e solução de
problemas. Além disso, os cenários de computação em mpresas de T&L
raramente são modernizados para serem compatíveis com protocolos de segurança
rigorosos.
Igualmente alarmante, além de seus relacionamentos com fornecedores individuais de OT, as empresas de T&L estão a estabelecer parcerias mais eficientes e tecnologicamente orientadas com seus fornecedores e distribuidores, que são cada vez mais dependentes de links de rede. Protocolos de cibersegurança mantidos por esses parceiros geralmente não são policiados, deixando as empresas de T&L no escuro sobre se seus ecossistemas integrados são um risco crescente.
Regulamentação. Embora os aspectos comerciais e
operacionais da indústria de transporte e logística sejam regulamentados em
muitas regiões, há um número relativamente pequeno de regras que cobrem a cibersegurança.
Apesar das operações globais do setor – ou talvez por causa delas – os
reguladores têm dificuldade em concordar ou se concentrar em um conjunto de
padrões de segurança cibernética que as empresas de T&L deveriam seguir, onde
quer que operem. Dado esse vácuo, os investimentos em segurança cibernética não
são otimizados para reduzir a exposição geral ao risco das organizações.
No entanto, consciente do possível impacto perigoso sobre o
comércio global e a estabilidade econômica de um ataque cibernético
generalizado no setor de T&L, os reguladores estão começando a tomar uma
atitude mais proativa em exigir melhores proteções de segurança para as redes
das empresas. Entre os regulamentos propostas ou já estabelecidas estão a
diretiva de segurança de rede e informação (NIS) da UE e as normas CLC/TS 50701
e EN 50126 para ferrovias que serão implementadas em breve, bem como uma série de
regras para navios promulgadas pela Organização Marítima Internacional.
Em graus variados, essas regulamentações tentam impor
padrões mínimos para proteger os dados mais confidenciais das empresas e operações,
em particular registros de clientes e informações de remessa.
Pessoas e Processos. As ameaças cibernéticas evoluem
continuamente, mas o fio condutor para algumas das áreas mais vulneráveis ??são
as pessoas. Por exemplo, funcionários que não conseguem identificar um e-mail
de phishing poderiam permitir a exploração inicial fácil para hackers. Na
verdade, aberturas auto-infligidas são geralmente o primeiro passo de uma
cadeia de ataque, uma vez que bem mais da metade das violações cibernéticas
podem ser rastreadas diretamente para falhas nos processos organizacionais e
capacidades dos funcionários ou sua falta de conhecimento sobre ataques
cibernéticos.
Para piorar as coisas, há um grande e crescente déficit
global de talentos de especialistas em proteção cibernética. A falta de
funcionários cibernéticos altamente treinados decorre, em parte, do fato de que
graus acadêmicos de segurança cibernética são um fenômeno relativamente novo
que existe apenas para os últimos dez anos mais ou menos. Em nossa experiência,
essa escassez é sentida de forma aguda na indústria, especialmente porque
estudantes graduados com credenciais de segurança cibernética e especialistas
experientes geralmente não consideram TL como uma opção de carreira primária.
A percepção é parte do problema. A maioria dos candidatos a
emprego não vê as empresas de T&L como locais de trabalho inovadores onde
pessoas com mentalidade tecnológica podem abrir suas asas criativas em áreas
como robótica e automação, análise de dados, blockchain, veículos autônomos e
similares. Ao invés de fazer um trabalho de segurança cibernética mais atraente
- talvez oferecendo melhores salários e benefícios, bem como incentivando a
inovação - muitas empresas de T&L tratam a segurança cibernética como um
centro de custo que deve atender orçamentos de recursos rigorosos.
COMO TRATAR DOS RISCOS DE CIBERSEGURANÇA
As empresas de T&L devem começar a conduzir uma agenda
de segurança cibernética avaliando o nível de proteções em seus equipamentos e
programas de TA e TI. A partir daí, eles podem configurar salvaguardas nas aplicações
e redes mais críticas e vulneráveis.
O Mapeamento da exposição a ataques cibernéticos e identificar
um portfólio de iniciativas de proteção pode ser facilitado usando modelos e
ferramentas, como um programa de gestão e quantificação de riscos cibernéticos.
As empresas devem classificar suas vulnerabilidades por meio de uma abordagem
baseada em risco que dá prioridade à probabilidade e ao impacto das ameaças de
segurança em ativos. Elas podem classificar os projetos com base na capacidade
de cada um de melhorar a resiliência em relação ao seu custo, e, ao fazer isso,
otimizar efetivamente seus orçamentos de investimento em segurança cibernética.
Depois de tomar essas medidas de precaução, as empresas de
T&L devem se concentrar em adotar conceitos de proteção cibernética, como
arquitetura de confiança zero. Essa metodologia pressupõe que cada dispositivo,
usuário ou aplicativo tentando interagir com a rede é uma ameaça potencial. A
estratégia pode ser implementada segmentando e segregando redes usando DMZ
(demilitarized zone), que fornece um ambiente rigidamente controlado que
monitora as conexões de fora da organização. O mesmo princípio também deve ser
adotado para calibrar os processos
internos onde possível, incluindo a verificação da identidade de usuários,
programas e dispositivos terminais antes de permitir acesso a informações ou
ativos.
Para isso é fundamental transformar a cultura da empresa de
uma que minimiza a segurança cibernética para uma que reconhece a necessidade
urgente de combater as ameaças. Em todos os departamentos, a noção de reforçar
a segurança cibernética na organização deve ser processo aberto e crítico. Treinamento frequente de
conscientização sobre segurança cibernética podem ser uma grande ajuda para
estabelecer uma força de trabalho consciente dos riscos.
Em segundo lugar, usar esse foco reforçado no gerenciamento
de riscos cibernéticos para recrutar os melhores profissionais de segurança
cibernética ou buscar um parceiro capaz de suprir a demanda por inteligência,
tecnologia e força de trabalho de cibersegurança.