Autora: Marta Helena Schuh, diretora de Cyber Risk da Marsh Brasil
O mundo está com uma velocidade de transformação muito grande quando comparado a 20 ou 30 anos atrás. Hoje, novas tecnologias transformadoras surgem todos os dias. Empresas estão passando por um ciclo de transformações com maior frequência, precisamos nos familiarizar e ter humildade em entender que ao adotar isso, há riscos atrelados a esses avanços.
Com tantas evoluções e aplicação de tecnologia massiva, que deve escalar ainda mais com a entrada do 5G, o que vai permitir maior conectividade e evoluções ainda maiores que o uso de IOT, resultando inclusive em ganho de produtividade. Mesmo com a tecnologia cada vez mais inserida na realidade das pessoas, ainda há muitos mitos em relação a isso — só os profissionais de background técnico têm obrigações relacionadas à gestão dos impactos correlacionados, quando algo dá errado em relação ao uso da tecnologia.
É tudo muito bonito na prática e a tecnologia é ótima, traz velocidade, inovação, mas se não for bem gerenciada a tecnologia pode trazer impactos negativos. Quando consideramos processos operacionais em um negócio, riscos são avaliados com a definição de processos e ferramentas. Em tecnologia, não deve ser diferente.
Quando falamos de segurança cibernética, os métodos utilizados atualmente para prevenir violações incluem o uso de ferramentas protecionais e mesmo assim, essa abordagem de segurança cibernética está se tornando cada vez mais obsoleta, especialmente num contexto industrial. A Indústria 4.0 visa a confundir as fronteiras entre os mundos digital e físico. Do ponto de vista de um profissional (um gerente, engenheiro, especialista em segurança cibernética) num setor em evolução, vale a pena notar que a natureza integrada e distribuída da Indústria 4.0 torna impossível proteger completamente um negócio contra ameaças cibernéticas devido a uma série de razões:
Compartilhamento de dados. Com a Indústria 4.0, o compartilhamento de dados e propriedade intelectual é feito entre cadeias de suprimentos e várias partes interessadas. Os sistemas estão sendo integrados e os dados são distribuídos por todos os sistemas, o que significa um maior escopo de segurança.
Pontos de ataque. Uma vez que esses sistemas envolvem várias partes interessadas na cadeia de valor, o número de pontos de acesso aumenta drasticamente, e eles se tornam possíveis pontos de ataque. Quanto mais pontos de ataque para cobrir, mais difícil (e mais caro) se torna proteger todo o sistema.
Convergência de Tecnologia da Informação e Tecnologia Operacional. Para proteger esses sistemas da Indústria 4.0 de ponta a ponta, é importante considerar os componentes digitais, bem como os físicos. Os métodos usados anteriormente, como antimalware, sistemas de detecção de intrusão e firewalls, podem ficar aquém quando envolvem software e diferentes tipos de sistemas de hardware.
Mudança Cultural: Se antes equipamentos operacionais estavam apenas sob a gestão da área de engenharia, já que normalmente envolviam apenas a questão elétrica/mecânica, hoje com o uso de softwares há necessidade de uma mudança cultural e trabalhar em conjunto com a área de tecnologia, a qual deve ter uma visibilidade sobre todos os pontos de conectividade. Em algumas organizações ainda há resistência ou a não adoção dessa prática, o que resulta em maiores riscos.
Novas Ameaças: A possibilidade de novas ameaças aumenta todos os dias de forma exponencial. Estima-se que 1,9 mil novas vulnerabilidades críticas surjam a cada mês em 2023, 13% a mais que a média mensal registrada no ano passado, de acordo com um novo relatório “Cyber Threat Index” da Coalition.
Custo Financeiro e Danos
No ano de 2022, houve um aumento de 86% dos ataques voltados a sistemas operacionais, o que trouxe um grande acúmulo de perdas a diversos setores. Devido à prevalência de ameaças cibernéticas em sistemas de controle industrial, ações proativas de segurança cibernética são tomadas pelas partes interessadas e empresas em toda a cadeia de suprimentos. Há um custo financeiro associado a essa priorização e implementação proativa. A avaliação de riscos, a identificação do cenário de ameaças em constante mudança e crescimento, bem como a colocação de medidas para prevenir e mitigar são cada vez mais caras para as empresas. Especialmente considerando uma abordagem proativa, onde as ameaças podem não se traduzir exatamente em realidade.
Alternativamente, uma abordagem reativa pode ser mais custosa, pois informações e sistemas críticos podem ser comprometidos, corrompidos ou, por fim, destruídos. Por exemplo, considere um ataque de ransomware, em que empresas e usuários ficam à mercê dos invasores. Ataques a sistemas ciberfísicos podem causar danos físicos a equipamentos críticos. O ambiente físico em torno desses sistemas pode ser afetado, por exemplo, no caso de um incêndio. Reputações manchadas podem levar à redução de lucros e ações judiciais podem resultar desse tipo de ataque com base na falha na proteção de dados ou na recuperação de violações que terminam em ações regulatórias. Além disso, a resposta a incidentes pode ser cara, dependendo da urgência e gravidade do ataque.
Empresas não hesitam em investir em ações de mitigação em relação a impactos que se originam no ambiente físico. Quando falamos em riscos tradicionais como chance de incêndio, roubo ou uma quebra de equipamento, há investimentos sendo feitos na prevenção e até mesmo na adoção de seguros para minimizar os impactos financeiros.
Diante da adoção da tecnologia na indústria 4.0 o risco pode ser invisível, mas os impactos não — e o aspecto financeiro da prevenção, mitigação e resposta a ataques não pode ser ignorado.
Marta Helena Schuh, diretora de Cyber Risk da Marsh Brasil