Home  >  Segurança

Quais os riscos de um ataque à cadeia de suprimentos?

Saiba o que fazer para gerenciar as ameaças de empresas terceiras

Maria Korolov | CSO (EUA)

01/02/2019 às 11h26

Foto: Shutterstock

Um ataque à cadeia de suprimentos, conhecido como supply chain attack, no termo em inglês, ocorre quando alguém se infiltra em um sistema por meio de um parceiro ou provedor externo com acesso a sistemas e dados. Isso mudou drasticamente a superfície de ataque de empresas nos últimos anos, com mais fornecedores e provedores de serviços tocando dados sigilosos como nunca.

Os riscos associados a um ataque na cadeia de suprimentos nunca foram tão altos, devido a novos tipos de ataques, além da crescente conscientização pública sobre as ameaças e maior supervisão dos órgãos reguladores. Enquanto isso, os invasores têm mais recursos e ferramentas à sua disposição do que nunca, criando uma tempestade perfeita.

Foco dos ataques à cadeia de suprimentos

Estes não são casos isolados. De acordo com uma pesquisa realizada pelo Ponemon Institute, 56% das organizações tiveram uma violação causada por um de seus fornecedores. Enquanto isso, o número médio de terceiros com acesso a informações confidenciais em cada organização aumentou de 378 para 471. Esse número pode ser um pouco baixo. Apenas 35% das empresas tinham uma lista de todos os terceiros com quem compartilhavam informações confidenciais.

Ainda, apenas 18% das empresas afirmam que sabiam se esses fornecedores, por sua vez, compartilhavam essas informações com outros fornecedores. Isso é um problema, porque os clientes não se importam se foi o fornecedor da empresa que perdeu os dados, não a própria empresa.

Por estas razões, as empresas estão prestando mais atenção ao risco de terceiros. Em dezembro de 2018, o Relatório de Risco Cibernético do Instituto Ponemon concluiu que o uso indevido ou o compartilhamento não autorizado de dados confidenciais por terceiros foi a segunda maior preocupação de segurança para 2019 entre os profissionais de TI, com 64% do total dos respondentes. Outros 41% disseram que tiveram incidentes relacionados a terceiros nos últimos 24 meses.

O problema piora ao considerar que os riscos não terminam quando o relacionamento com o fornecedor é finalizado. Há pouco tempo, a Domino's Australia teve uma violação de segurança e disse que o sistema de um antigo fornecedor vazou nomes de clientes e endereços de e-mail. "A maioria dos contratos que analiso não inclui detalhes adequados para gerenciar o complicado processo de rescisão de fornecedores", comenta Brad Keller, diretor sênior de estratégia de terceiros da Prevalent.

Além disso, os reguladores estão cada vez mais olhando para os riscos de terceiros. No ano passado, os reguladores financeiros do Estado de Nova York, nos EUA, começaram a exigir que as empresas financeiras com presença no Etado garantissem que as proteções de segurança cibernética de seus fornecedores estivessem no mesmo nível.

No próximo ano, a Europa fará o mesmo, com seu Regulamento Geral de Proteção de Dados (GDPR), que se aplica a todas as empresas que coletam informações pessoais de europeus. As multas do PIBR são altas - até 4% do total das receitas globais.

Os regulamentos de risco de terceiros ainda estão em seus estágios iniciais, e muitas empresas não têm um bom controle sobre esses riscos, alerta Peter Galvin, vice-presidente de estratégia e marketing da Thales e-Security. "As empresas financeiras estão acostumadas com isso e estão muito mais preparadas", acrescentou. "Mas muitas empresas não entendem os riscos, e você verá um aumento nas violações, e você verá mais ações legais."

Os especialistas esperam que mais reguladores comecem a exigir que as empresas façam mais a respeito do risco de terceiros do que atualmente. "Tem sido uma tendência contínua", aponta Eric Dieterich, líder em práticas de privacidade de dados na Focal Point Data Risk.

Riscos ocultos

Quase todas as empresas usam software e hardware externos. Ninguém constrói toda a sua tecnologia a partir do zero, graças a um boom na economia de open source. Mas há um risco considerável associado a essa mentalidade. Cada dispositivo adquirido e cada aplicativo baixado precisa ser verificado e monitorado quanto a possíveis riscos de segurança, e todas as correções precisam estar atualizadas.

Em abril, pesquisadores da Flashpoint Intelligence disseram que os criminosos estavam aumentando os ataques contra a popular plataforma de e-commerce Magento, forçando senhas para raspar registros de cartão de crédito e instalar malware focado na mineração de criptografia.

Os pesquisadores descobriram pelo menos mil painéis de administração Magento comprometidos e disseram que o interesse na própria plataforma na deep web e dark web continua inabalável desde 2016. Além disso, há também um interesse notável no Powerfront CMS e no OpenCart.

Não apenas os dados da própria empresa correm risco, mas se o componente de software ou hardware estiver embutido em um produto, isso pode causar mais problemas de segurança. Um chip de computador infectado com um backdoor de segurança, uma câmera sem autenticação forte ou um mal componente de software pode causar danos generalizados. O bug Heartbleed, por exemplo, afetou milhões de sites e dispositivos móveis, bem como software por muitos fornecedores importantes, incluindo Oracle, VMware e Cisco.

"Preocupamo-nos com a manipulação, com a espionagem, tanto nacional quanto industrial, e com a interrupção", afirma Edna Conway, diretora de segurança da cadeia de valor global da Cisco Systems. Por exemplo, produtos de hardware ou software pode ter sido deliberadamente adulterado em algum ponto da cadeia de suprimentos ou substituído por falsificações.

A Cisco também está preocupada com a perda de informações confidenciais ou propriedade intelectual sensível devido a uma violação de terceiros, diz Conway. "Estamos comprometidos em fornecer soluções que operam da maneira que elas pretendem operar", diz ela. "Se seus clientes não estão satisfeitos, se sua reputação está prejudicada, isso afeta os resultados. Esse elemento de confiança é absolutamente essencial, e a reputação é o local de negócios onde a confiança se manifesta."

Muitas empresas possuem padrões de qualidade que os fornecedores devem cumprir. A Cisco está usando a mesma abordagem para segurança. "O método que tenho implantado nos permite estabelecer níveis de tolerância para os membros da adesão do ecossistema de terceiros aos nossos valores e objetivos, personalizados para a natureza única dos produtos e serviços que o terceiro nos fornece", diz Conway. "Uma vez que você tenha níveis de tolerância, você pode começar a medir se você está acima ou abaixo dos níveis de tolerância. Se eles estão fora da tolerância, nos sentamos juntos e dizemos: 'Como podemos trabalhar juntos para resolver isso?'”.

Riscos de segurança do provedor de nuvem

A organização única e simplificada foi substituída por um ecossistema digital em que tudo, de aplicativos individuais a data centers inteiros, foi transferido para provedores de nuvem. "O que você precisa proteger está longe do ambiente", diz Fred Kneip, CEO da CyberGRX. "E os hackers são espertos. Eles seguem o caminho da menor resistência", alertou.

Até o hardware agora vem habilitado para a nuvem, diz Kneip. "A configuração padrão para uma ferramenta de soldagem de IoT para uma linha automotiva é enviar diagnósticos para o fabricante para que eles possam fazer manutenção preditiva. Isso parece incrível, mas isso também pode ser um canal de volta para todo o seu ambiente”.

Empresas de serviços podem ser ainda menos seguras

"A segurança é realmente tão boa quanto o elo mais fraco", diz John Titmus, diretor de engenharia de vendas EMEA da CrowdStrike. "Os ataques da cadeia de suprimentos estão se tornando mais difundidos e crescendo em frequência e sofisticação. É preciso entender a natureza dos riscos e desenvolver um roteiro de segurança em torno disso”.

A Deep Root Analytics, empresa de marketing usada pelo Comitê Nacional Republicano, vazou os dados pessoais de 200 milhões de eleitores. Esta é uma pequena empresa que, de acordo com seu perfil no LinkedIn, tem menos de 50 funcionários. O Deep Root Analytics acidentalmente coloca os dados em um servidor publicamente acessível.

Empresas de serviços, de maior porte, também são vulneráveis. A violação da Verizon, que envolveu seis milhões de registros de clientes, foi causada pela Nice Systems, uma fornecedora de análise de atendimento ao cliente. Nice colocou seis meses de registros de chamadas de atendimento ao cliente, que incluíam informações pessoais e de conta, em um servidor de armazenamento público do Amazon S3.

"Não ficaríamos surpresos se víssemos mais organizações do lado da oferta sendo atingidas por invasores para atingir sua meta final", diz Kurt Baumgartner, pesquisador de segurança da Kaspersky Lab.

Como gerenciar o risco de terceiros

Quando uma empresa entende quem são todos os fornecedores e quais deles têm acesso a dados confidenciais, várias ferramentas estão disponíveis para ajudar a avaliar o nível de segurança. Por exemplo, algumas empresas estão incluindo a segurança nos contratos de nível de serviço com seus fornecedores, explica Tim Prendergast, CEO da Evident.io.

"Estamos vendo um movimento em direção a exigir um acordo do provedor mostrando seu compromisso com a segurança. Eles pedem a esses fornecedores que reforcem controles semelhantes em seus parceiros. Estamos vendo uma cascata legal desses contratos”, complementa.

Os fornecedores podem ser solicitados a fazer autoavaliações, permitir visitas e auditorias a clientes ou adquirir seguro cibernético. Às vezes, uma avaliação mais completa é necessária. "Vimos muitas empresas realizarem auditorias em seus provedores de serviços", afirma Ryan Spanier, diretor de pesquisa da Kudelski Security. "Uma grande instituição financeira com a qual trabalhamos exige auditorias e chega ao local e executa seus próprios testes de penetração e vê onde estão os dados e como estão protegidos."

Clientes menores, no entanto, podem não ter esse tipo de influência. "Eles apenas exigem evidências de auditorias de terceiros, veem os resultados e os revisam. Então eles determinam que algumas coisas sejam consertadas antes de continuarem a fazer negócios com a empresa. Você também pode se limitar a empresas que sabe que estão fazendo um bom trabalho com segurança, o que é difícil, porque não há muitas deles agora”, revela ele.

Além disso, existem organizações que fornecem pontuações de segurança. Por exemplo, a BitSight Technologies e a SecurityScorecard analisam os fornecedores terceirizados, classificando as empresas quanto à segurança de suas redes aos ataques.

Para avaliações mais profundas, observando as políticas e processos internos dos fornecedores, a Deloitte e a CyberGRX se uniram para fazer as avaliações, bem como avaliações contínuas, evitando que os fornecedores respondessem a cada um de seus clientes individualmente.

Alguns grupos da indústria financeira estão fazendo algo semelhante. Em novembro, a American Express, o Bank of America, o JPMorgan e o Wells Fargo se uniram para criar um serviço de avaliação de fornecedores chamado TruSight. Em junho, o Barclays, o Goldman Sachs, o HSBC e o Morgan Stanley anunciaram que estavam adquirindo uma participação na solução de gerenciamento de risco Know Your Third Party da IHS Markit.

O fato é qeu as empresas devem analisar como terceiros acessam seus dados confidenciais para garantir que apenas as pessoas certas possam acessar os dados apenas para fins conhecidos.

 

Tags