O perturbador risco digital das organizações embutidas nas cadeias de valor dos fornecedores
18 de fevereiro de 2021Uma análise das técnicas utilizadas em campanhas recentes de ataques evidenciaram a fragilidade no ecossistema do modelo digital de negócio do pré-covid
Por Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management
Em sequência a artigos anteriores onde destaquei a necessidade crítica de reavaliação das cadeias produtivas num cenário de tensões macroeconômicas e eventos geopolíticos enfatizados pela crise mundial sem precedentes provocada pelo coronavírus.
Nada poderia comprovar minhas reflexões do que todos os desdobramentos da campanha cyber criminosa SolarWinds Orion, iniciada em dezembro 2020, já considerada como o ataque mais devastador da década.
De forma sucinta e sem aprofundar os detalhes técnicos, a organização criminosa denominada UNC2452 inicialmente inseriu um trojan infectando o software Orion, utilizado mundialmente por milhares de empresas, que ao fazerem uma atualização normal, involuntariamente comprometeram seus sistemas.
Desta forma iniciou-se a segunda etapa que foi a irradiação para os clientes dos clientes (cadeias de valor) que tinham comunicação digital e transacional através desta plataforma.
Rápida e continuamente os atores externos sequestraram identidades e credenciais legitimas (etapa 6 da matriz MITRE ATT@CK) e desta forma, com os acessos disponíveis obtiveram controle a tudo que tinham planejado.
Estima-se que as empresas de tecnologia foram as mais afetadas (cerca de 44%) além de diversos departamentos do governo americano (27%) sendo os restantes entre empresas dos mais diversos setores.
Mantendo meu foco nos impactos aos negócios, na ultra rápida necessidade de transformação digital que as organizações estão enfrentando, torna-se evidente a mudança do eixo de prioridades da segurança cibernética corporativa para todos os participantes do ecossistema produtivo e não mais restrito a áreas, unidades ou qualquer outra segmentação, a princípio mais a menos crítica sob a ótima predominantemente tecnológica.
A Toyota crio o Just-in-time nos anos 50 que se tornou o padrão determinante para a obtenção de máxima eficiência, redução de custos e produtividade.
Como exemplo, uma das maiores empresas fabricantes de computadores para uso pessoal e corporativo tem cerca de 40.000 fornecedores, numa intrincada cadeia produtiva visando entregar ao mercado um produto de alto desempenho, em escala mundial além da rápida ou mesmo imediata disponibilidade.
Em pesquisas recentes com as grandes multinacionais, 80% afirmou ter sofrido ao menos uma invasão proveniente de fornecedores nos últimos 12 meses, em média 2,7 ataques ao mês e cerca de 77% não tem total visibilidade e/ou controle dos níveis de segurança cibernética da sua cadeia produtiva.
Apenas 2% responderam monitorar diariamente em tempo real seu ecossistema, sendo que 11% apenas semanalmente.
Numa analogia aos mosaicos com milhares de pequenas pecas que se somam em complexos arranjos para, no todo, apresentar uma imagem espetacular, qualquer um destes fornecedores, mesmo de pequena relevância no todo, se torna uma porta de entrada para as campanhas de ataques contra o alvo principal.
Apresenta-se, portanto, um dilema: manter a estrutura atual da cadeia produtiva e condicionar os participantes a aderirem num determinado período as defesas cibernéticas definidas pela organização principal, aplicar penalidades e/ou restrições aos que não aderirem (considerando que 29% afirmaram não ter qualquer condição de identificar quando uma invasão ocorre) ou reavaliar e reclassificar os participantes pelos seus níveis de segurança dando-lhes preferência mesmo em condições de maiores preços e prazos de entrega com eventuais níveis de qualidade e produtividade inferiores?
Potencialmente surgirão disputas internas advindas dos conceitos, formações e valores dos gestores entre as áreas técnicas (CIOs e CISOs) com seus pares (CPOs, CFOs e COOs) para chegarem a um consenso ou ponto de equilíbrio aceitável na relação custos x benefícios de manter ou substituir determinados fornecedores que atendam ao modelo e pré-requisitos do Just-in-time, mas não aderentes tecnologicamente.
Estas decisões certamente irão impactar empregos associados em cidades ou mesmo países envolvidos, eventuais acordos anteriores envolvendo isenção ou benefícios fiscais e demais estruturas criadas, talvez a dezenas de anos, para sustentar este ambiente produtivo.
As evidências da propagação e prejuízos da campanha criminosa através da SolarWinds Orion não deixam dúvidas aos tomadores de decisão que este dilema terá de ser enfrentado rapidamente nos seus processos de transformação digital visando afastar sua organização de manchetes futuras, súbitas interrupções além de substanciais prejuízos diversos dos novos ataques que certamente viram a ocorrer neste padrão.
Fonte: CIO
Contran suspende certificação e licenciamento unicamente digital
Digitalização no sistema das prefeituras de São Paulo faz licenças serem aprovadas 5x mais rápido
Segurança digital ainda esbarra no comportamento das pessoas
