Imagine que você está no meio de um surto nacional de intoxicação alimentar que está atingindo a população a cada minuto.
Você verifica duas vezes os registros de processamento. Todos os lotes de frango cozido parecem estar dentro das normas. Então, o que está acontecendo?
Sem o seu conhecimento, um hacker, possivelmente um ex-funcionário insatisfeito, entrou e alterou processos operacionais críticos acessados remotamente via um dispositivo de IoT desprotegido, resultando num lote de frango mal cozido e prejudicial à saúde humana. Mas você não sabe quais lotes foram afetados e, por isso, será necessário realizar um recall nacional.
A vantagem de seu produto está neutralizada porque um concorrente acabou de lançar um produto idêntico, usando propriedade intelectual roubada obtida por meio de hackers. Um hacker roubou informações comerciais e sobre a cadeia de suprimentos sigilosas pertencentes a um de seus grandes clientes de varejo e está exigindo um resgate astronômico. O que você faz?
Exagero? Pense novamente.
Historicamente, os setores financeiro e de varejo sempre receberam mais atenção dos cibercriminosos, com golpes que geralmente envolvem violações de dados. Mais recentemente, sistemas de saúde e governamentais têm sofrido ciberataques e, à medida que esses setores melhoraram suas defesas, os cibercriminosos começam a se voltar para alvos mais fracos e fáceis, e o setor de alimentos se destaca entre eles.
Parte do problema é que o setor acredita estar imune. Por que alguém atacaria uma empresa alimentícia? Organizações criminosas nacionais e internacionais com frequência têm como alvo a cadeia de alimentos para cometer adulterações em grande escala, falsificações, fraudes, roubos e contrabandos, inclusive a invasão de sistemas empresariais de armazenamento e distribuição para promover o aumento de produtos falsificados e inseri-los na cadeia de suprimentos legítima. O perigo é real e as empresas alimentícias de todos os portes devem tomar medidas para fortalecer a resiliência das informações. Aqui explicamos o motivo:
- TI e cibersegurança não são a mesma coisa. Na maioria das empresas, o departamento de TI também é responsável pela cibersegurança. Este é um erro elementar. As duas disciplinas são distintamente diferentes e requerem abordagens, pensamentos e competências separados.
- "Somos uma empresa de pequeno/médio porte, por que nos preocupar?" Relatórios demonstram que as pequenas e médias empresas são atacadas com a mesma frequência que as grandes empresas, geralmente por e-mail.
- "Toda nossa estrutura de TI e cibersegurança é terceirizada, isso é problema deles". Os prestadores de serviços de TI são um prato cheio para os hackers e, consequentemente, recebem atenção especial. O problema deles pode rapidamente tornar-se o seu problema.
- O cibercrime está ficando mais fácil e mais acessível. No passado, o cibercrime estava sob o domínio exclusivo dos "mestres da codificação", mas evoluiu e tornou-se um negócio em si. Hoje, é mais lucrativo – e definitivamente mais seguro – para os autores de malware oferecer seus serviços e vender seus produtos para que outros lancem ataques.
- Sistemas antigos. Os sistemas de processamento de alimentos de hoje geralmente dependem de plataformas de software obsoletas, como Linux ou Windows 98 – sistemas que foram instalados há mais de 20 anos. Além disso, o código antigo não pode ser atualizado ou corrigido.
- Conexões poderosas. Ao conectar os processos internos de produção com sistemas e redes de dados externas via internet, a conectividade significa que é possível alcançar ganhos de produtividade e eficiências processuais. O problema é que para que os sistemas modernos funcionem com os pontos obsoletos, a segurança é frequentemente sacrificada. Isso também significa que a violação de segurança em um determinado ponto pode se espalhar rapidamente.
- Se não está quebrado, não conserte. Existe uma grande relutância por parte da administração em investir em sistemas melhores e mais seguros quando um sistema antigo funciona bem e quando acreditam que os riscos são imaginados. Trata-se de uma falsa economia.
- Falta de conhecimento. A equipe operacional está treinada para manter os sistemas existentes funcionando e não tem conhecimento do mundo cibernético.
- Debandada "inteligente". Os chamados "dispositivos burros", como as armadilhas, estão sendo substituídos por dispositivos habilitados para IoT. Muitas vezes, eles contêm sensores "padronizados" com inseguranças integradas em software mal projetado e com suporte precário. Essas questões essenciais são frequentemente ignoradas durante o processo de aquisição.
Uma empresa alimentícia pode sofrer diferentes tipos de ciberataque. Talvez, a vantagem de seu produto esteja neutralizada porque um concorrente acabou de lançar um produto idêntico, usando propriedade intelectual roubada obtida por meio de hackers. Ou talvez um hacker roubou informações comerciais e sobre a cadeia de suprimentos sigilosas pertencentes a um de seus grandes clientes de varejo e está exigindo um resgate astronômico. Em qualquer caso, ser capaz de gerenciar os riscos é uma habilidade essencial.
O que pode ser feito?
- Adote o sistema APPCCC – Análise de Perigos e Pontos Críticos de Controle Cibernético Há 30 anos o sistema APPCC oferece garantia de qualidade e funções técnicas para o setor de alimentos. Pense no APPCCC como uma ampliação da mesma abordagem baseada em riscos para considerar as vulnerabilidades e conexões cibernéticas em um ambiente de produção, aplicada como uma extensão do sistema integrado de gestão da segurança alimentar.
- Implemente normas de segurança cibernética. A maioria das empresas não pensaria em identificar seu nível de segurança com um teste de invasão nem contratar a BitSight (uma empresa de classificação de segurança cibernética) para determinar o risco cibernético imposto por seus fornecedores e incorporar esse procedimento na escolha, monitoramento e avaliação de seus fornecedores. Uma melhoria adequada seria a implementação da norma ISO 27001 para sistemas de gestão da informação e exigir o mesmo de seus principais fornecedores, especialmente os das plataformas de TI integradas aos sistemas de sua empresa.
- Trabalhe na cultura. Todos os funcionários devem ter conhecimento do mundo cibernético por meio de treinamentos específicos como parte de seu processo de admissão e ser encorajados a sinalizar qualquer coisa fora do normal, caso acreditem que possa estar relacionada a questões cibernéticas, antes que os problemas saiam do controle.
A boa notícia é que as empresas que implementam essas medidas de senso comum não apenas eliminam os riscos de seus negócios, mas percebem que isso contribui substancialmente para uma defesa forte e diligente, podendo, inclusive, ser pioneiras no setor e obter uma vantagem sobre a concorrência.
Author: Richard Werran
Director of Food ─ EMEA