O mundo é construído sobre cadeias de suprimentos. Elas são o tecido conjuntivo que facilita o comércio global e a prosperidade. Mas essas redes de empresas sobrepostas e interligadas estão cada vez mais complexas e opacas. A maioria delas está envolvida no fornecimento de software e serviços digitais ou, pelo menos, depende de alguma forma de interações on-line.
As PMEs, em particular, podem não buscar proativamente, ou não ter os recursos, para gerenciar a segurança em suas cadeias de suprimentos. Mas confiar cegamente na postura de cibersegurança de seus parceiros e fornecedores não é sustentável no clima atual. Na verdade, já passou da hora de levar a sério o gerenciamento de riscos da cadeia de suprimentos.
O que é risco na cadeia de suprimentos?
Os riscos na cadeia de suprimentos podem assumir várias formas, desde ransomware e roubo de dados até negação de serviço (DDoS) e fraude. Eles podem afetar fornecedores tradicionais, como empresas de serviços profissionais (advogados, contadores, etc.) ou fornecedores de software empresarial. Os invasores também podem ter como alvo os provedores de serviços gerenciados (MSPs), pois, ao comprometer uma única empresa dessa forma, eles podem obter acesso a um número potencialmente grande de empresas clientes. Um estudo realizado no ano passado revelou que 90% dos provedores de serviços gerenciados sofreram um ataque cibernético nos 18 meses anteriores.
Veja a seguir alguns dos principais tipos de ataques cibernéticos à cadeia de suprimentos e como eles ocorrem:
- Software proprietário comprometido: os cibercriminosos estão ficando mais ousados e, em alguns casos, conseguiram encontrar maneiras de comprometer os desenvolvedores de software e inserir malware no código que é então entregue aos clientes posteriores. Foi isso que aconteceu na campanha do ransomware Kaseya. Em um caso mais recente, o popular software de transferência de arquivos MOVEit foi comprometido por uma vulnerabilidade zero-day e teve dados roubados de centenas de usuários corporativos, afetando milhões de seus clientes. Enquanto isso, o ataque ao software de comunicações 3CX entrou para a história como o primeiro incidente documentado publicamente em que um ataque à cadeia de suprimentos levou a outro.
- Ataques à cadeia de suprimentos de código aberto: a maioria dos desenvolvedores usa componentes de código aberto para acelerar o lançamento de seus projetos de software no mercado. Os cibercriminosos estão cientes disso e começaram a inserir malware nos componentes e a disponibilizá-los em repositórios populares. Um relatório afirma que houve um aumento de 633% em relação ao ano anterior nesses ataques. Os cibercriminosos também exploram vulnerabilidades em códigos-fonte abertos antes que alguns usuários os corrijam. Foi o que aconteceu quando uma falha crítica foi encontrada em uma ferramenta quase onipresente conhecida como Log4j.
- Roubo de identidade de fornecedores para cometer golpe: ataques sofisticados conhecidos como "comprometimento de e-mail comercial (BEC)" às vezes envolvem golpistas que se fazem passar por fornecedores para enganar um cliente e fazê-lo transferir dinheiro para eles. Normalmente, o invasor sequestra uma conta de e-mail pertencente a uma ou outra parte, monitorando os fluxos de e-mail até chegar o momento certo de intervir e enviar uma fatura falsa com dados bancários alterados.
- Roubo de credenciais: os invasores roubam os nomes de usuário dos provedores na tentativa de violar a identidade deles ou de seus clientes (cujas redes eles podem acessar). Foi o que aconteceu no enorme vazamento de dados da Target em 2013, quando os hackers roubaram as credenciais de um de seus fornecedores de sistemas de ar condicionado para ambientes.
- Roubo de dados: muitos fornecedores armazenam dados confidenciais sobre seus clientes, especialmente empresas como escritórios de advocacia que têm acesso a segredos corporativos. Eles representam um alvo atraente para cibercriminosos que buscam informações que possam monetizar por meio de extorsão, por exemplo.
Como avaliar e atenuar o risco do fornecedor?
Seja qual for o tipo específico de risco na cadeia de suprimentos, o resultado final pode ser o mesmo: danos financeiros e à reputação e risco de ações judiciais, interrupções operacionais, perda de vendas e clientes irritados. Entretanto, é possível gerenciar esses riscos seguindo algumas práticas recomendadas do setor. Aqui estão oito sugestões:
1. Realize a devida diligência em qualquer novo fornecedor. Isso significa verificar se seus programas de segurança estão em conformidade com as expectativas e se eles têm medidas básicas de proteção, detecção e resposta a ameaças em vigor. No caso de fornecedores de software, verifique também se eles têm um programa de gerenciamento de vulnerabilidades e qual é a reputação deles em relação à qualidade de seus produtos.
2. Gerencie os riscos de código aberto. Isso pode significar o uso de ferramentas de análise de composição de software (SCA) para obter visibilidade dos componentes de software, juntamente com a varredura contínua de vulnerabilidades e malware e a rápida correção de quaisquer erros. Certifique-se também de que as equipes de desenvolvimento compreendam a importância da segurança desde a concepção ao desenvolver produtos.
3. Realize uma análise de risco de todos os fornecedores. Comece sabendo quem são os fornecedores e verificando se eles têm medidas básicas de segurança em vigor, estendendo a análise à cadeia de suprimentos do próprio fornecedor. Realize auditorias frequentes e verifique se eles estão em conformidade com os padrões e as normas do setor.
4. Mantenha uma lista de todos os fornecedores aprovados e atualize-a regularmente com base nos resultados das auditorias. A auditoria e a atualização regulares da lista de fornecedores permitirão que as organizações realizem avaliações de risco completas, identifiquem possíveis vulnerabilidades e garantam que os fornecedores cumpram os padrões de cibersegurança.
5. Estabeleça uma política formal de fornecedores, descrevendo os requisitos para mitigar o risco do fornecedor, incluindo os acordos de nível de serviço que devem ser cumpridos. Dessa forma, ela serve como um documento fundamental que descreve as expectativas, os padrões e os procedimentos aos quais os fornecedores devem aderir para garantir a segurança de toda a cadeia de suprimentos.
6. Gerenciar os riscos de acesso dos fornecedores. Aplicar o princípio do menor privilégio entre os fornecedores quando eles precisarem acessar a rede corporativa. Isso pode ser implementado como parte de uma abordagem de confiança zero, em que todos os usuários e dispositivos não são confiáveis até que sejam verificados, com autenticação contínua e monitoramento da rede, acrescentando uma camada adicional de atenuação de riscos.
7. Desenvolva um plano de resposta a incidentes. Na pior das hipóteses, assegure-se de que haja um plano bem ensaiado para conter a ameaça antes que ela tenha a chance de afetar a organização.
8. Considere a implementação de normas do setor. A ISO 27001 e a ISO 28000 têm muitas maneiras úteis de realizar algumas das etapas listadas acima para minimizar o risco do fornecedor.
No ano passado, nos EUA, houve 40% mais ataques à cadeia de suprimentos do que ataques baseados em malware, de acordo com um relatório. O resultado foram vazamentos de dados que afetaram mais de 10 milhões de pessoas. É hora de recuperar o controle por meio de um gerenciamento mais eficaz dos riscos do fornecedor.
Veja mais: Ataque à cadeia de suprimento cresce e representa um grande risco