A digitalização tornou-se predominante entre as empresas de transporte e logística (T&L), melhorando todas as facetas upstream e downstream da indústria. Este processo criou um ciclo sem precedentes de eficiências direcionadas à expansão dos fluxos de receita. Essa é a boa notícia. A desvantagem é que a digitalização expôs uma série de deficiências entre as Empresas de T&L que as tornaram extremamente vulneráveis a ataques cibernéticos.
Cada setor da indústria — incluindo marítimo, ferroviário, rodoviário, fornecedores de logística e entregadores de pacotes — é afetado. O impacto é caro, perturbador para as operações e tem o potencial de criar mais responsabilidade, especialmente quando dados confidenciais de clientes são violados.
Existem várias razões para o aumento da ameaça. Por um lado, o uso expandido de tecnologia (OT), que abre novas comunicações e canais sem fio que são conectados diretamente aos ecossistemas digitais das empresas T&L, as tornam um alvo fácil para os hackers. Além disso, a indústria de T&L sofre de regulamentos e padrões cibernéticos atrasados, conscientização inadequada de segurança cibernética e uma escassez de talentos de defesa cibernética.
Os ataques cibernéticos costumavam ocorrer a cada poucos anos no setor de T&L. Agora, parecem ocorrer um ou dois cada mês. Alguns são proeminentes. Por exemplo, um ataque cibernético em maio de 2021 derrubou efetivamente a Colonial Pipeline, que fornece gasolina para quase metade da costa leste dos Estados Unidos, por cerca de uma semana. A empresa afirmou que o custo do resgate e a interrupção dos negócios chegaram a mais de US$ 50 milhões. Outros ataques cibernéticos, mesmo aqueles direcionados a grandes transportadores, recebem menos atenção da imprensa, mas geralmente envolvem a interrupção dos sistemas de e-mail e logística.
Além disso, os hackers estão cada vez mais tentando roubar dados armazenados em redes que são críticas para a modernização e o crescimento da indústria de T&L, porque fornecem uma solução mais eficiente e atraente experiência do cliente. Essas redes permitem melhorias digitais como pedidos automatizados, rastreamento e acesso às informações da conta.
Embora extremamente valiosas, essas iniciativas customer centrics exigem depósitos de informações confidenciais coletadas por meio de plataformas online, aplicativos de celular e outros dispositivos móveis, que, por carecerem de protocolos rígidos de proteção cibernética, estão entre os canais mais inseguros. E, à medida que a superfície potencial de ataque no setor de T&L se expande e a natureza do risco se amplia de forma continua, o custo de riptura caiu significativamente.
ONDE ESTÃO AS FRAQUEZAS
A maneira mais fácil de encarar o dilema enfrentado pelas empresas de T&L é separar seus vulnerabilidades em três categorias: tecnologia, regulamentação e pessoas e processos. Cada um desses pilares precisa ser considerada com cuidado para lidar com as ameaças emergentes que afetam a indústria.
Tecnologia. Em todos os segmentos da indústria de T&L, a superfície ampliada de ataques cibernéticos é evidente. Por exemplo, entre as companhias marítimas, sistemas de socorro e segurança relativamente simples foram substituído por redes locais completas, baseadas em nuvem, como o programa de e-navegação da International Maritime Organization(IMO). Essas redes são um alvo tentador para hackers porque coletam, integram e analisam informações a bordo continuamente para rastrear os navios locais, detalhes de carga, questões de manutenção e uma série de considerações ambientais oceânicas.
Da mesma forma, na indústria ferroviária, os sistemas tradicionais de controle e gerenciamento de trens baseados em fios (TCMS), que tinham a comunicação limitada com sistemas externos por redes cabeadas, estão dando lugar a padrões sem fio como GSM-Railway, uma rede relativamente ampla que liga trens a centros de controle de regulação ferroviária. Como é o caso de todos os provedores de mobilidade atualmente, as empresas de T&L usam veículos com serviços de info entretenimento e outros equipamentos que adicionam outra camada de comunicações.
Enquanto essas redes em proliferação – que basicamente conectam sistemas de TO com equipamentos internos de TI, como servidores, PCs e dispositivos móveis – são, por padrão, novos caminhos para hackers, elAs são às vezes ainda mais vulneráveIS pela falta de urgência demonstrada em relação a ataques cibernéticos pelos fornecedores das soluções e empresas de T&L. Em alguns casos, os fornecedores exigem interfaces de gerenciamento a serem incorporadas em seus equipamentos para acesso remoto, controle e solução de problemas. Além disso, os cenários de computação em mpresas de T&L raramente são modernizados para serem compatíveis com protocolos de segurança rigorosos.
Igualmente alarmante, além de seus relacionamentos com fornecedores individuais de OT, as empresas de T&L estão a estabelecer parcerias mais eficientes e tecnologicamente orientadas com seus fornecedores e distribuidores, que são cada vez mais dependentes de links de rede. Protocolos de cibersegurança mantidos por esses parceiros geralmente não são policiados, deixando as empresas de T&L no escuro sobre se seus ecossistemas integrados são um risco crescente.
Regulamentação. Embora os aspectos comerciais e operacionais da indústria de transporte e logística sejam regulamentados em muitas regiões, há um número relativamente pequeno de regras que cobrem a cibersegurança. Apesar das operações globais do setor – ou talvez por causa delas – os reguladores têm dificuldade em concordar ou se concentrar em um conjunto de padrões de segurança cibernética que as empresas de T&L deveriam seguir, onde quer que operem. Dado esse vácuo, os investimentos em segurança cibernética não são otimizados para reduzir a exposição geral ao risco das organizações.
No entanto, consciente do possível impacto perigoso sobre o comércio global e a estabilidade econômica de um ataque cibernético generalizado no setor de T&L, os reguladores estão começando a tomar uma atitude mais proativa em exigir melhores proteções de segurança para as redes das empresas. Entre os regulamentos propostas ou já estabelecidas estão a diretiva de segurança de rede e informação (NIS) da UE e as normas CLC/TS 50701 e EN 50126 para ferrovias que serão implementadas em breve, bem como uma série de regras para navios promulgadas pela Organização Marítima Internacional.
Em graus variados, essas regulamentações tentam impor padrões mínimos para proteger os dados mais confidenciais das empresas e operações, em particular registros de clientes e informações de remessa.
Pessoas e Processos. As ameaças cibernéticas evoluem continuamente, mas o fio condutor para algumas das áreas mais vulneráveis ??são as pessoas. Por exemplo, funcionários que não conseguem identificar um e-mail de phishing poderiam permitir a exploração inicial fácil para hackers. Na verdade, aberturas auto-infligidas são geralmente o primeiro passo de uma cadeia de ataque, uma vez que bem mais da metade das violações cibernéticas podem ser rastreadas diretamente para falhas nos processos organizacionais e capacidades dos funcionários ou sua falta de conhecimento sobre ataques cibernéticos.
Para piorar as coisas, há um grande e crescente déficit global de talentos de especialistas em proteção cibernética. A falta de funcionários cibernéticos altamente treinados decorre, em parte, do fato de que graus acadêmicos de segurança cibernética são um fenômeno relativamente novo que existe apenas para os últimos dez anos mais ou menos. Em nossa experiência, essa escassez é sentida de forma aguda na indústria, especialmente porque estudantes graduados com credenciais de segurança cibernética e especialistas experientes geralmente não consideram TL como uma opção de carreira primária.
A percepção é parte do problema. A maioria dos candidatos a emprego não vê as empresas de T&L como locais de trabalho inovadores onde pessoas com mentalidade tecnológica podem abrir suas asas criativas em áreas como robótica e automação, análise de dados, blockchain, veículos autônomos e similares. Ao invés de fazer um trabalho de segurança cibernética mais atraente – talvez oferecendo melhores salários e benefícios, bem como incentivando a inovação – muitas empresas de T&L tratam a segurança cibernética como um centro de custo que deve atender orçamentos de recursos rigorosos.
COMO TRATAR DOS RISCOS DE CIBERSEGURANÇA
As empresas de T&L devem começar a conduzir uma agenda de segurança cibernética avaliando o nível de proteções em seus equipamentos e programas de TA e TI. A partir daí, eles podem configurar salvaguardas nas aplicações e redes mais críticas e vulneráveis.
O Mapeamento da exposição a ataques cibernéticos e identificar um portfólio de iniciativas de proteção pode ser facilitado usando modelos e ferramentas, como um programa de gestão e quantificação de riscos cibernéticos. As empresas devem classificar suas vulnerabilidades por meio de uma abordagem baseada em risco que dá prioridade à probabilidade e ao impacto das ameaças de segurança em ativos. Elas podem classificar os projetos com base na capacidade de cada um de melhorar a resiliência em relação ao seu custo, e, ao fazer isso, otimizar efetivamente seus orçamentos de investimento em segurança cibernética.
Depois de tomar essas medidas de precaução, as empresas de T&L devem se concentrar em adotar conceitos de proteção cibernética, como arquitetura de confiança zero. Essa metodologia pressupõe que cada dispositivo, usuário ou aplicativo tentando interagir com a rede é uma ameaça potencial. A estratégia pode ser implementada segmentando e segregando redes usando DMZ (demilitarized zone), que fornece um ambiente rigidamente controlado que monitora as conexões de fora da organização. O mesmo princípio também deve ser adotado para calibrar os processos internos onde possível, incluindo a verificação da identidade de usuários, programas e dispositivos terminais antes de permitir acesso a informações ou ativos.
Para isso é fundamental transformar a cultura da empresa de uma que minimiza a segurança cibernética para uma que reconhece a necessidade urgente de combater as ameaças. Em todos os departamentos, a noção de reforçar a segurança cibernética na organização deve ser processo aberto e crítico. Treinamento frequente de conscientização sobre segurança cibernética podem ser uma grande ajuda para estabelecer uma força de trabalho consciente dos riscos.
Em segundo lugar, usar esse foco reforçado no gerenciamento de riscos cibernéticos para recrutar os melhores profissionais de segurança cibernética ou buscar um parceiro capaz de suprir a demanda por inteligência, tecnologia e força de trabalho de cibersegurança.
Estudo publicado pelo Boston Consulting Group.
