Segurança
16 de outubro de 2023
Segurança física e cibernética: São vários os tipos de ataques, e também as formas de se defender
A segurança sempre foi uma preocupação para as empresas. Mas, hoje, com a evolução da criminalidade, nos dois casos ela é mais necessária ainda. Os riscos são enormes no Brasil, tanto para embarcadores quanto para transportadoras.
H oje, as empresas que atuam na cadeia logística enfrentam um duplo dilema quanto aos desafios de segurança, estando expostas tanto a nível físico quanto cibernético. Na parte física, cada vez mais os criminosos estão se especializando no roubo de cargas com grande facilidade de revenda, bem como de produtos de grande valor agregado, alimentando um mercado paralelo fruto desses crimes.
Na questão cibernética, o ransomware é a principal ameaça, podendo paralisar operações que necessitam de uma rápida resposta e que não podem ficar dias esperando a regulamentação de sistemas, forçando, desta maneira, o pagamento de resgates.
Com esta análise, falando sobre os principais desafios de segurança, tanto física quanto cibernética, enfrentados pelas empresas na cadeia de logística no Brasil, André Carneiro, diretor geral da Sophos no Brasil – empresa considera líder mundial em inovação e fornecimento de cibersegurança como serviço, incluindo Detecção e Resposta Gerenciada (MDR), serviços de atendimento a incidentes e um vasto portfólio de tecnologias – inicia esta matéria especial da Logweb.
De fato, são grandes os desafios para a segurança na área de logística – e considerar a segurança física também é um ponto no qual a Segurança da Informação deve dar apoio. ”Para iniciar, é fundamental que a empresa defina seu apetite e tolerância ao risco e que sejam mapeados os riscos de acordo com cada realidade, seja ela a de contratante ou fornecedor”, apregoa Paulo Trindade, gerente de Inteligência de Ameaças Cibernéticas da ISH Tecnologia, empresa de Tecnologia da Informação que oferece soluções integradas de segurança e infraestrutura cibernéticas.
Neste sentido, ele aponta os principais desafios gerais, dividindo-os nesses dois grupos e apontando os riscos com potencial mais alto de impacto:
• Riscos físicos ou não cibernéticos: roubo de carga, segurança nos Centros de Distribuição, roubo de estoque, desvio de cargas, fraudes internas, desastres naturais e regulamentações – “sim, elas devem ser tratadas como um risco, com o apoio a área de GRC – Governança, Risco e Compliance”;
• Riscos cibernéticos: sistemas expostos para a internet e sem proteção adequada, o que pode abrir brechas para outras técnicas maliciosas, falta de processos de validação da segurança (varreduras de vulnerabilidades), falta de atualização dos sistemas, falha no processo de seleção de pessoas, fraudes, vazamentos de informações estratégicas, falta de alinhamento entre segurança da informação e o negócio, risco com sistemas estratégicos alocados em ambientes de terceiros – “havendo a transferência do risco, a responsabilidade legal e com a imagem ainda é da contratante”.
O que ocorre é que, no ambiente logístico contemporâneo, a adaptação a sistemas legados tornou-se uma tarefa complexa e desafiadora. “Muitas empresas de logística operam com sistemas que foram implementados muito antes da revolução digital, incompatíveis ou ineficientes em relação às demandas atuais. Esses sistemas, muitas vezes, não possuem as camadas de segurança necessárias para enfrentar as ameaças cibernéticas modernas, deixando as empresas vulneráveis a ataques e vazamentos de dados. Além disso, a integração desses sistemas com tecnologias emergentes, como Inteligência Artificial e aprendizado de máquina, pode ser um processo árduo, mas é essencial para otimizar operações, prever demandas e melhorar a eficiência geral”, pontua Lucas Galvão, CEO da Trust Governance – empresa considerada pioneira na integração de governança corporativa, compliance e proteção de dados.
Por outro lado – continua ele –, o cenário logístico também é marcado por eventos disruptivos imprevisíveis. Desastres naturais, como inundações ou incêndios, podem interromper abruptamente as operações, causando atrasos e perdas financeiras.
No entanto, os ataques cibernéticos representam uma ameaça ainda mais insidiosa. Eles podem paralisar sistemas, sequestrar dados e exigir resgates, impactando não apenas a operação, como também a reputação da empresa. A gestão desses riscos exige uma abordagem proativa, com investimentos em infraestrutura, treinamento de pessoal e estratégias de resposta a incidentes, garantindo que as empresas estejam preparadas para enfrentar e superar esses desafios.
Embarcadores e transportadores
Como a logística permeia as mais diversas indústrias, ela se reflete desde o alimento que chega até a nossa mesa ao produto que encomendamos no e-commerce. A segurança no transporte impacta toda a cadeia produtiva e, consequentemente, a qualidade e o custo dos produtos entregues a todos os brasileiros, fora o que exportamos. Construir ferramentas e processos capazes de aumentar a segurança das estradas é atuar para que a empresa brasileira seja mais competitiva e o consumidor acesse sempre o melhor, pelo valor mais justo.
Ainda segundo Thomas Gautier, CEO do Freto – plataforma de fretes 100% digital, com o propósito de simplificar a logística rodoviária, movendo caminhoneiros e caminhoneiras –, quando se trata de logística, os impactos são sentidos em primeiro lugar pelos caminhoneiros, pelas transportadoras e pelos embarcadores, que podem sofrer sustos e prejuízos. “E os riscos estão aí nas mais variadas formas, seja na possibilidade de um furto de carga, extravio, erro de rota, ausência de dados para administração do transporte, entre outros. Por isso, é necessário que as empresas entendam esses riscos, mapeiem as possibilidades e tenham planos de ação estratégicos para serem acionados em caso de necessidade. A questão é que o negócio das empresas não costuma ser segurança em logística rodoviária.”
Também falando sobre como os riscos de segurança física e cibernética afetam tanto os embarcadores quanto as transportadoras no cenário atual, Trindade, da ISH Tecnologia, ressalta que eles podem impactar de diversas formas se algum deles se manifestar, desde uma interrupção momentânea, suportada pelo negócio, até mesmo a interrupção total de operações críticas ou mesmo de toda a companhia.
Ele mostra, com mais detalhes, como esses dois grupos podem ser afetados:
• Embarcadores: Roubos de carga, interrupções na cadeia de abastecimento, vazamentos de dados sensíveis que acarretarão multas altíssimas de acordo com a lei 13.709, perdas de informações estratégicas e responsabilidade legal;
• Transportadoras: Segurança da carga, prejuízos com perdas e elevação dos custos operacionais, responsabilidade legal, vazamento de informações sensíveis e estratégicas, interrupção do fornecimento de serviço por ataques de agentes maliciosos em sistemas estratégicos, multas por falta de adequações a legislação de cada região.
“Na parte física, é necessário montar uma grande estratégia de segurança patrimonial para o transporte de cargas, principalmente quando isso é feito por meio das estradas brasileiras – alvos diários de quadrilhas especializadas em roubos desta modalidade. Como técnicas de proteção, temos a presença de escoltas armadas, monitoramento via satélite, identificação por radiofrequência (RFID) em mercadorias, blindagem de veículos, entre outros.”
Já na parte cibernética – prossegue Carneiro, da Sophos –, o maior risco está na paralisação das operações da empresa, seja com a parada de máquinas ou o bloqueio de sistemas de nota fiscal, o que pode interromper as atividades por horas e até dias, acarretando em grandes prejuízos quando acontece a infecção por um ransomware.
Galvão, CEO da Trust Governance, também destaca que, no cenário logístico atual, os riscos de segurança física e cibernética têm implicações profundas para embarcadores e transportadoras. Interrupções na cadeia de suprimentos, como atrasos na entrega, são apenas a ponta do iceberg. “Um exemplo preocupante é o vazamento de dados confidenciais de clientes, que pode ocorrer quando sistemas não são adequadamente protegidos. Esses vazamentos podem levar a consequências financeiras e legais, além de danificar a reputação da empresa. Além disso, ataques cibernéticos, como o sequestro de dados, podem paralisar completamente uma empresa. Imagine um cenário onde certificados digitais internos são comprometidos, permitindo que hackers sequestrem sistemas produtivos.”
Ataques digitais
Segundo o relatório do X-Force Threat Intelligence Index 2023, 26% dos ataques cibernéticos – também conhecidos como vetores de ataque – são realizados pela exploração de sistemas publicados para a internet que possuem alguma fragilidade cibernética, seja ela uma desatualização, falta de configuração adequada, falta de sistemas de proteção e monitoração.
Outros 25% são de e-mails falsos (phishing) com arquivos maliciosos anexados, 14% e-mails falsos com links maliciosos que podem levar à instalação de programas de acesso remoto, roubo de informações ou outros tipos de malwares. Nos 35% restantes somam-se vazamentos de credenciais de acesso, falta de hardware atualizado, sistemas em nuvem sem configuração adequada, entre outros.
Uma das técnicas mais empregadas por grupos organizados é o ataque de sequestro de sistemas, conhecido tecnicamente por ransomware, onde tais agentes maliciosos se aproveitam de brechas para usar um ou mais vetores de ataque citados para entregar em seu alvo um programa que criptografa o máximo número de sistemas possíveis, além de vazar informações internas. Neste caso, é exigido um pagamento de resgate em criptomoedas para que a chave de descriptografia seja enviada para a vítima.
“Vamos falar sobre a mitigação desses riscos. A missão da área de Segurança da Informação deve ser a de habilitar o negócio, neste caso, a primeira recomendação é entender os objetivos estratégicos da companhia e falar a linguagem do negócio. Sabemos que os recursos são limitados, ou seja, saber priorizar de acordo com o apetite a risco do negócio é fundamental.”
Trindade, da ISH Tecnologia, prossegue: “para um trabalho completo precisamos que seja feito o mapeamento de riscos, mapeamento de sistemas críticos, criação de planos de gestão de incidentes e plano de continuidade do negócio, instituição de controles de segurança para mitigação, correção, dissuasão e correção de problemas e implementação de monitoramento contínuo (controle detectivo).
O gerente de Inteligência de Ameaças Cibernéticas reforça que a figura de um CISO (Chief Information Security Officer) ou Gerente de Segurança da Informação, juntamente com o apoio de uma empresa de Segurança Cibernética experiente, é muito importante para garantir o sucesso de um negócio.
Também se referindo aos tipos mais comuns de ataques digitais enfrentados pelas empresas de logística – e como podem ser mitigados –, Gautier, do Freto, destaca que invasão aos dados das cargas e dos transportadores são as informações mais sensíveis aos ataques, assim como a inserção de dados falsos e ações capazes de causar pane no sistema, interrompendo o fluxo normal das plataformas e das estradas. “Diante disso, se faz necessário um investimento robusto em arquitetura de dados, análise de documentos e cadastros, avaliação de riscos e até mesmo conscientização das pessoas sobre como devem se comportar a cada acesso, tudo em consonância com as regras estabelecidas na Lei Geral de Proteção de Dados. Quando falo em revolução da logística nas estradas, a segurança digital faz parte dessa transformação.”
O fato é que as empresas de logística, dada a sua natureza interconectada e dependente de sistemas digitais, frequentemente enfrentam uma variedade de ataques cibernéticos.” Entre os mais comuns estão o ransomware, que bloqueia o acesso a sistemas até que um resgate seja pago; phishing, onde tentativas são feitas para obter informações confidenciais através de disfarces digitais; e ataques DDoS, que sobrecarregam os sistemas, tornando-os inacessíveis”, completa Galvão, da Trust Governance.
Medidas preventivas
O caminho de enfrentamento aos crimes cibernéticos é constante e construído dia após dia, com uma equipe qualificada de segurança da informação, ferramentas de ponta e práticas de gestão de ativos e suas atualizações, além de uma política que envolva todos os colaboradores da empresa. “Segurança e organização de dados não podem envolver somente o time de tecnologia, é preciso que os outros setores (marketing, vendas, comercial) estejam cientes da cultura de proteção de dados, sejam treinados, para que tenham sempre boas práticas e protejam as informações da empresa”, ensina Gautier, do Freto, apontando as medidas que as empresas podem adotar para fortalecer sua segurança cibernética e proteger os seus dados e operações.
Certamente, como acrescenta Carneiro, da Sophos, essas empresas precisam contar com um grande elo entre pessoas, processos e tecnologias. Não basta apenas renovar uma licença ou adquirir algumas soluções e achar que estão protegidos. “As empresas do ramo têm, em geral, uma baixa quantidade de profissionais dedicados à cibersegurança e há a necessidade de adotar soluções de segurança como serviço, para que experts realizem a proteção na modalidade 24 horas por dia, 7 dias por semana.”
Como um exemplo, fazer um monitoramento constante do ambiente por meio de um Centro de Operações de Segurança – SOC e de uma operação de detecção e respostas gerenciadas (MDR) ajuda na vigilância completa de uma rede e impede que criminosos iniciem uma invasão junto que contratam o serviço, garantindo, assim, que o ransomware não se propague para toda a rede. “Essa combinação é essencial para todas as empresas, em todos os ramos, mas especialmente para as que dispõem de poucos recursos e têm um grande prejuízo operacional na ocorrência de um ataque”, diz o diretor geral da Sophos.
Investir em um SOC que monitore o ambiente, juntamente com o uso de informações de Inteligência de Ameaças Cibernéticas, é um ponto fundamental também apontado por Trindade, da ISH Tecnologia. Outras recomendações são a adoção de processo constante de varreduras de vulnerabilidades, sistemas de IDS/IPS (Identificação e prevenção de intrusão), revisão de configurações de sistemas, relatórios periódicos de Análise da Superfície de Ataque, além de sistemas de firewall e ERD (proteção das estações de trabalho) que consumam informações de feeds de Inteligência de Ameaças.
As recomendações de Galvão, da Trust Governance, para mitigar essas ameaças, indicam que é essencial investir em soluções de segurança atualizadas, promover treinamentos regulares para os funcionários sobre práticas seguras e estabelecer protocolos rigorosos que garantam a rápida detecção e resposta a qualquer atividade suspeita. As empresas também podem investir em tecnologias digitais avançadas, como IA e aprendizado de máquina, para detectar e prevenir ameaças. Além disso, a criação de um modelo operacional digital e a centralização dos dados em uma única fonte de verdade podem ajudar a garantir a integridade e a segurança dos dados.
Implicações financeiras
Como é óbvio, e muito já foi falado, são várias as implicações financeiras e operacionais de um ataque cibernético bem-sucedido em uma empresa de logística.
“O objetivo desse tipo de ataque é realmente prejudicar financeiramente a organização, bem como travar sua operação. Isso pode, inclusive, impactar a cadeia produtiva, na entrega de matéria-prima, por exemplo”, lista Gautier, do Freto.
O ataque virtual pode ser comparado a um desastre natural. Ele afeta todas as camadas da operação logística, inclusive podendo afetar as linhas de abastecimento de cidades inteiras. Por isso, é necessário que as empresas de logística tenham planos de contingência para esse tipo de crise.
O primeiro ponto dos ataques virtuais é a paralisação completa de sistemas críticos, como CRM ou sistema de nota fiscal. “Já presenciei em algumas empresas do setor a formação de filas gigantescas de caminhões quando a organização estava sofrendo um ataque, e foram necessárias muitas horas para um sistema mínimo de contingência ser implementado. Assim, se forma um verdadeiro caos no momento, além de haver grandes prejuízos financeiros e na operação como um todo. O grande problema dos ataques cibernéticos é que, dependendo do grau, podem levar horas, dias e até semanas para que as empresas retomem a operação normalmente”, alerta Carneiro, da Sophos.
E Trindade, da ISH Tecnologia, aproveita para indicar que o custo médio global de uma violação de dados em 2023 foi de US$ 4,45 milhões, um aumento de 15% ao longo de 3 anos. Perdas semelhantes a estas podem inviabilizar completamente um negócio dependendo de sua capacidade financeira, também alerta ele.
Alvo fácil
Como já foi destacado, a falta de proteção adequada pode tornar as empresas de logística alvos fáceis para ataques digitais. “Quando se trata de ataques digitais, é mais barato investir em proteção do que em ações emergenciais. Por isso, empresas de logística que costumam lidar com grande volume de dados precisam ter um setor voltado para segurança da informação, um gestor responsável por conduzir possíveis crises e um plano de ação constantemente testado e modernizado”, volta a enfatizar o CEO do Freto.
“Temos observado um elevado número de ataques no Brasil e no mundo com objetivos financeiros, muitos deles já publicados na mídia. Hackers com motivação de ganhar notoriedade da comunidade ou com motivos ativistas como os grupos Anonymous and the Cyber Partisans que alegadamente atacaram a Rússia, são menos frequentes. Os especialistas em segurança cibernética sabem que há 4 formas de se tratar o risco: mitigar, transferir, evitar ou aceitar. Eu digo que existe uma quinta forma: Ignorar o risco. Não ignore o risco essa é a mensagem que precisamos difundir em todos os canais de comunicação possíveis, pois mais rápido que podemos pensar este risco pode se manifestar e impactar nossas empresas e clientes”, acrescenta Trindade, da ISH Tecnologia.
Carneiro, da Sophos, por seu lado, destaca que os criminosos sabem quando as empresas não têm especialização para o combate a um ataque cibernético e que muitas não têm os recursos necessários ou não realizam um monitoramento realmente eficaz 24 horas por dia, sem interrupções. Do mesmo modo, os atacantes também têm ciência de que o tempo é um fator crítico neste negócio, então acaba sendo um setor atrativo, com uma maior probabilidade de êxito no recebimento de um resgate. “A falta de proteção pode resultar em vulnerabilidades não detectadas em sistemas e redes, tornando as empresas mais suscetíveis a ataques. Além disso, a falta de treinamento adequado dos funcionários pode levar a erros humanos que facilitam ataques”, completa Galvão, da Trust Governance.
Segurança física
Todos sabem que é um desafio pensar em segurança física em um país onde a violência urbana é elevada. Assim, pensando nas melhores práticas para garantir a segurança física ao longo da cadeia de suprimentos, o primeiro ponto é cobrar das autoridades a melhoria da segurança de forma geral.
“Sobre minhas recomendações para empresas, a Avaliação de Riscos e entendimento dos probabilidades e potenciais impactos de suas manifestações são pontos de partida para se investir corretamente. No entanto, de forma geral, os investimentos em rastreamento em tempo real, escolta armada – este também é um controle dissuasório –, identificação dos pontos fracos nos Centros de Distribuição, implantação de circuitos de câmeras de monitoração, controle de estoque com o uso de tecnologias de RFID, aquisição de seguros, colaborações com as autoridades para obtenção de informações de áreas de risco e seleção adequada da força de trabalho”, ensina Trindade, da ISH Tecnologia.
Carneiro, da Sophos no Brasil, também lembra que, neste caso, como técnicas de proteção temos a presença de escoltas armadas, monitoramento via satélite, RFID em mercadorias, blindagem de veículos, mudanças de rotas de última hora, entre outros. É necessária a criação de um plano de proteção patrimonial muito eficiente e focado em cada transporte, além de trabalhar sempre contra a criatividade dos criminosos, que são cada vez mais audaciosos.
“No contexto da cadeia de suprimentos, especialmente em um país com desafios logísticos como o Brasil, é essencial adotar medidas de segurança física e lógica. A segurança física foca na proteção de equipamentos, instalações e dados contra acessos não autorizados e potenciais danos causados por desastres locais ou ambientais. Isso pode ser alcançado através de controles rigorosos nas instalações da empresa, como sistemas de identificação avançada para funcionários, incluindo crachás, senhas e reconhecimento biométrico. Além disso, é crucial monitorar e controlar a entrada e saída de pessoas, materiais e equipamentos. Ambientes que armazenam backups e computadores com dados sensíveis devem ter mecanismos de segurança adicionais, garantindo que apenas indivíduos autorizados tenham acesso. Ao combinar essas práticas de segurança física com medidas lógicas, as empresas podem criar um ambiente robusto e seguro, minimizando riscos ao longo da cadeia de suprimentos”, descreve, agora, Galvão, da Trust Governance. De fato, em um país com a dimensão continental do Brasil, é preciso investir na tecnologia e todas as possibilidades que ela oferece quando se trata de segurança. “No freto, somente para citar alguns exemplos, operamos com soluções de geolocalização e de verificação dos endereços oferecidas pela Google Maps Platform, disponibilizadas pela Maplink. Através disso, as cargas podem ser acompanhadas em tempo real no aplicativo”, explica Gautier.
Ele também ressalta que o Freto está integrado com empresas gerenciadoras de risco, para acionamentos de suspeitas de sinistros, tem monitoramento 24h e processos para rápida movimentação em caso de suspeita. Antes de qualquer produto ou carga, a segurança na cadeia de suprimentos envolve a vida dos caminhoneiros. “Um dos diferenciais do Freto é o conceito que nasceu aqui dentro e que chamamos de Humanologística. Não adianta mantermos toda a conversa que tivemos até agora sobre tecnologia se não incluirmos as pessoas. O caminhoneiro quer sair e voltar para casa com tranquilidade, dirigir em segurança para entregar a carga e trabalhar com maior satisfação.”
Ainda de acordo com o CEO, a segurança é vista de forma ampla e todas as suas formas estão interconectadas. Uma não existe sem a outra. “Portanto, à segurança física e à segurança digital que mencionamos até esse momento eu acrescento a segurança psicológica.”
Cultura de segurança
De fato, em todos estes desafios, pessoas são os elos mais frágeis. Um trabalho regular de conscientização é indispensável para mitigar riscos. Definir uma Política de Segurança da Informação de forma abrangente e fazê-la conhecida pela companhia, bem como a implementação de documento de uso responsável dos sistemas e ativos da companhia causam um impacto muito positivo.
Ainda segundo Trindade, da ISH Tecnologia, os trabalhos de conscientização precisam abranger situações do dia a dia e podem envolver a área de Gestão de Riscos, Segurança do Trabalho, Segurança Patrimonial e Segurança da Informação, sempre com exemplos lúdicos, abrangendo temas como uso de redes sociais, compartilhamento de acessos, informações que são compartilhadas fora da empresa – elevadores, espaços púbicos ou mesmo dentro de casa – de como inserir segurança no dia a dia das pessoas que compõe a força de trabalho.
Além disso, a colaboração com especialistas em segurança é crucial para se manter atualizado sobre as ameaças emergentes e desenvolver estratégias eficazes de prevenção. A cultura organizacional deve priorizar a segurança, incentivando práticas seguras e promovendo a conscientização em todos os níveis da empresa. Ao fazer isso, as empresas de logística não apenas protegem seus ativos e operações, mas também fortalecem a confiança de seus clientes e parceiros no ecossistema logístico, completa o CEO da Trust Governance.
Envolver todas as áreas da empresa é maneira mais eficaz para construir uma cultura de segurança, também aponta o CEO do Freto. Todos os departamentos precisam conhecer os riscos e estar cientes de como as ameaças se apresentam. Essa cultura vem da informação que precisa estar sendo veiculada entre os times, é preciso apresentar situações hipotéticas de ataques, simulações de invasões, testes de penetração, ferramentas e processos em devops, como exemplo code review, instrução de boas práticas e treinamentos constantes.
“Treinamentos, conscientização e simulações são processos chave para criar a cultura de segurança nas empresas, tanto em modo físico quanto virtual. Os usuários são o elo mais fraco e o fato de não estarem cientes da importância do papel de cada um na organização pode resultar em grandes prejuízos a todos na empresa”, finaliza Carneiro, da Sophos.
