Gestão de riscos e ameaças cibernéticas: retornando aos princípios fundamentais
Por Mike Lester
Todos os dias surgem notícias de um novo ataque cibernético. Houve o hack do SolarWinds que afetou as principais empresas, incluindo Microsoft, Intel e Cisco; o ataque da Colonial Pipeline que interrompeu o fornecimento de petróleo e gás devido à paralisação operacional preventiva; e os ataques de ransomware LockBit que afetaram mais recentemente a empresa de consultoria global Accenture, e a lista continua. Revelações de hacking de organizações criminosas independentes e grupos patrocinados pelo estado estão causando crescentes níveis de preocupação dentro dos conselhos da empresa, diretorias do governo e órgãos legislativos.
Esses ataques cibernéticos não estão usando necessariamente novas técnicas de ataque e, infelizmente, estão se tornando mais graves e mais frequentes. Embora nenhuma organização de fabricação possa garantir que nunca será afetada por um, existem ações fundamentais que os líderes de negócios e segurança cibernética podem tomar para remover silos, operar de forma holística e implementar as práticas recomendadas para reduzir o risco desses tipos de ameaças.
Sabemos que essas preocupações são muito importantes para a indústria e trabalhamos com os clientes todos os dias para ajudar a criar uma base sólida e minimizar os riscos. Seguem abaixo as orientações básicas que mais recomendamos aos nossos clientes de fabricação.
Envolva-se no mapeamento de operações comerciais
Os fabricantes devem mapear seus sistemas de negócios e fabricação para cada função, fluxo de receita ou missão. Isso ajudará na compreensão e propriedade de cada processo e a alcançar os objetivos de continuidade de negócios e resiliência em torno de ataques cibernéticos, assim como em cenários de gerenciamento de crises de negócios. Normalmente, o mapeamento das operações comerciais requer patrocínio executivo para que dele participem partes interessadas multifuncionais como operações de fabricação, segurança cibernética da planta, segurança de TI, sistemas de fabricação e sistemas empresariais. Isso pode ser um grande passo, então esteja preparado para aprender muito e buscar orientação para ajudar na implementação de uma abordagem em toda a estrutura.
Analise completamente as ameaças
Os fabricantes também devem realizar uma análise completa de ameaças. É uma prática recomendada, como parte desse processo, revisar as matrizes MITRE ATT&CK, especificamente a Matriz MITRE ICS ATT&CK desenvolvida recentemente, fundamentada em uma base de conhecimento global de táticas e técnicas adversas usadas em ataques do mundo real.
Avalie a proteção da segurança cibernética
É importante determinar e avaliar os controles e operações de segurança cibernética atualmente em vigor por meio de uma avaliação ou auditoria de segurança cibernética. Isso deve incluir a avaliação de três pilares principais: pessoas, processos e tecnologia, com foco nas pessoas e na qualificação de novas tecnologias e processos. A tecnologia funciona, mas são as pessoas que impulsionam o sucesso. Para a avaliação, é melhor trabalhar com um fornecedor de automação, como a Emerson, que tem experiência na área e está familiarizado com sistemas e operações de controle industrial.
Desenvolva uma estratégia de defesa
Usando aprendizados da análise de ameaças e avaliação de segurança cibernética, as empresas devem desenvolver uma estratégia de defesa profunda para corrigir fraquezas e mitigar riscos em todas as operações que poderiam ser impactadas por ataques cibernéticos diretos, ataques cibernéticos indiretos ou perda de capacidades operacionais. Essa estratégia deve incluir uma priorização baseada em riscos de quaisquer lacunas ou ameaças para garantir que os principais riscos sejam corrigidos primeiro, garantindo a resiliência dos controles.
Ao avaliar esses mesmos três pilares de pessoas, processos e tecnologia, muitas vezes, vemos os clientes encontrar valor na busca de recursos externos, treinamento ou aprimoramento de seu pessoal, ou na alteração de certos processos, controles tecnológicos, sistemas ou arquiteturas para garantir uma defesa robusta. O plano de ação também deve estar alinhado aos planos de continuidade de negócios e recuperação de desastres da organização. Assim como uma paralisação operacional de sistemas com erros ou hardware com falha, os planos de resposta a ataque cibernético precisam de processos definidos e ativos com objetivos focados na contenção e tempo de recuperação.
Essa estratégia defensiva deve incluir o planejamento para os piores cenários. Para uma instalação de fabricação, por exemplo, ter um plano de backup claro para sistemas de computador danificados, além de cópias impressas de pedidos, etiquetas e contatos, pode ser vital para manter as operações manuais em funcionamento se os computadores falharem. Isso pode não ser possível em todos os cenários, mas ter planos de backup e continuidade frequentemente revisados colocará as empresas na posição certa para permanecerem operacionais mesmo no caso de um ataque cibernético.
Revise e atualize frequentemente para maior eficácia
Após implementar a estratégia de defesa profunda, ela deve ser testada e revisada de maneira metódica, proposital e frequente para garantir que seja eficaz e não comprometa as operações contínuas nem apresente outros riscos. As funções, responsabilidades e treinamentos dos funcionários devem ser atualizados quando qualquer nova prática e tecnologia forem implementadas.
Os fabricantes devem tomar medidas agora para entender a magnitude e os tipos de ameaças cibernéticas que suas empresas estão enfrentando. As ameaças e ataques cibernéticos são reais e estão crescendo a um ritmo significativo. A Segurança cibernética deve ser o foco principal dos fabricantes e de todas as empresas para garantir que operações e controles proativos e defensivos apropriados de segurança cibernética estejam em vigor para proteger dados, processos e operações de negócios importantes. Os líderes empresariais devem entrar em contato com seus líderes de segurança cibernética para descobrir o que eles realmente precisam para ter êxito nisso e, em seguida, estabelecer urgência e apoio, partindo da diretoria, para avaliar, entender e gerenciar esses riscos.
