Gerenciamento de riscos e ameaças cibernéticas: retornando aos princípios fundamentais

Todos os dias surgem notícias de um novo ataque cibernético. No início deste ano houve um ataque hacker ao SolarWinds, que afetou grandes empresas como Microsoft, Intel e Cisco, um ataque à Colonial Pipeline, que interrompeu o fornecimento de petróleo e gás devido a uma parada operacional por precaução; e os ataques de ransomware ao LockBit , que mais recentemente afetaram a empresa de consultoria global Accenture. E a lista continua. Revelações sobre hacking de organizações criminosas independentes e grupos patrocinados pelo Estado estão causando crescente preocupação dentro das diretorias de empresas, do governo e órgãos legislativos.

Esses ataques cibernéticos não estão necessariamente usando novas técnicas porém, infelizmente, estão se tornando mais graves e mais frequentes. Embora nenhuma organização de fabricação possa garantir que nunca será afetada por um ataque, existem ações fundamentais que os líderes de negócios e segurança cibernética podem tomar para remover silos, operar de forma holística e implementar as melhores práticas para reduzir o risco desses tipos de ameaças.

Sabemos que essas preocupações são muito importantes para o setor e é por isso que nós trabalhamos com os clientes todos os dias para ajudar a criar uma base forte e minimizar os riscos. Seguem abaixo as orientações básicas que mais recomendamos aos nossos clientes de fabricação.

Ter um mapeamento das operações comerciais
Os fabricantes devem mapear seus sistemas de negócios e fabricação para cada função, fluxo de receita ou missão. Isso ajudará na compreensão e propriedade de cada processo e a alcançar os objetivos de continuidade de negócios e resiliência em torno de ataques cibernéticos, assim como em cenários de gerenciamento de crises de negócios. Normalmente, o mapeamento das operações comerciais requer patrocínio executivo para que dele participem partes interessadas multifuncionais como operações de fabricação, segurança cibernética da planta, segurança de TI, sistemas de fabricação e sistemas empresariais. Isso pode representar uma grande mudança, então esteja preparado para aprender muito e buscar orientação para ajudar na implementação de uma abordagem de estrutura.

Analise completamente as ameaças
Os fabricantes também devem realizar uma análise completa de ameaças. A prática recomendada, como parte desse processo, é analisar as matrizes MITRE ATT&CK, especificamente a matriz MITRE ICS ATT&CK desenvolvida recentemente, que se baseia em uma base de conhecimento global de táticas e técnicas de adversários usadas em ataques do mundo real.

Avaliar a proteção de segurança cibernética
É importante determinar e avaliar os controles e operações de segurança cibernética em vigor atualmente por meio de uma avaliação ou auditoria de segurança cibernética. Isso deve incluir a avaliação de três pilares principais: pessoas, processos e tecnologia, com foco nas pessoas e na qualificação de novas tecnologias e processos. A tecnologia funciona, mas são as pessoas que impulsionam o sucesso. Para a avaliação, é melhor trabalhar com um fornecedor de automação, como a Emerson, que tem experiência na área e está familiarizado com os sistemas e operações de controle industrial.

Desenvolver uma estratégia de defesa
Usando aprendizados da análise de ameaças e avaliação de segurança cibernética, as empresas devem desenvolver uma estratégia de defesa aprofundada para lidar com vulnerabilidades e mitigar o risco em todas as operações que poderiam ser impactadas por ataques cibernéticos diretos e indiretos ou pela perda de capacidades operacionais. Essa estratégia deve incluir uma priorização baseada em riscos de quaisquer lacunas ou ameaças para garantir que os maiores riscos sejam abordados primeiro, garantindo a resiliência dos controles.

Avaliando esses mesmos três pilares de pessoas, processos e tecnologia, muitas vezes vemos os clientes encontrando valor em recursos externos, treinamento ou qualificação de seu pessoal, ou alterando certos processos, controles tecnológicos, sistemas ou arquiteturas para garantir uma defesa robusta. O plano de ação também deve estar alinhado aos planos de continuidade de negócios e recuperação de desastres da organização — assim como uma paralisação operacional de sistemas de emergência ou hardware com falha, os planos de resposta a ataque cibernético precisam estar definidos e ter processos ativos com objetivos focados na contenção e tempo de recuperação.

Essa estratégia defensiva deve incluir o planejamento para os piores cenários. Para uma instalação de fabricação, por exemplo, ter um plano de backup claro para sistemas de computador danificados, além de cópias impressas de pedidos, etiquetas e contatos, pode ser vital para manter as operações manuais em funcionamento se os computadores falharem. Isso pode não ser possível em todos os cenários, mas revisar frequentemente planos de backup e continuidade colocará as empresas em posição de permanecerem operacionais mesmo no caso de um ataque cibernético.

Revisão regular e atualização de eficácia 
Uma vez implementada a estratégia de defesa aprofundada, ela deve ser testada e revisada metódica, proposital e regularmente para garantir que seja eficaz e não comprometa as operações contínuas ou introduza novos riscos. As funções, responsabilidades e treinamentos dos funcionários devem ser atualizados quando qualquer nova prática e tecnologia for implementada.

Os fabricantes devem tomar medidas agora para entender a magnitude e os tipos de ameaças cibernéticas que suas empresas estão enfrentando. As ameaças e ataques cibernéticos são reais e estão crescendo a um ritmo significativo. A segurança cibernética deve ser prioridade máxima para que fabricantes e todas as empresas possam garantir que as operações e controles proativos e defensivos apropriados de segurança cibernética estarão em vigor para proteger dados, processos e operações de negócios importantes. Os líderes empresariais devem entrar em contato com seus líderes de segurança cibernética para descobrir o que eles realmente precisam para ter êxito nisso e, em seguida, estabelecer urgência e apoio, partindo da diretoria, para avaliar, entender e gerenciar esses riscos.