Apesar dos esforços movidos pela Cibersegurança na vertical de Indústria, o setor continua sendo altamente visado por agentes hostis em todo o mundo. Em estudo recente publicado pela Fortinet, aproximadamente três quartos das companhias com Tecnologias Operacionais aplicadas relataram ao menos uma invasão sofrida em 2022. Os métodos variam entre malwares (56%) e campanhas de phishing (49%).
É nesse setor que o fenômeno do Shadow IT se mostra ainda mais reincidente. O aumento da complexidade das estruturas digitais das indústrias tornou comum a contratação de softwares e hardwares por conta própria, para evitar problemas com os controles de proteção. Todavia, estes novos sistemas ficam excluídos da visibilidade da Segurança Cibernética, tornando-os alvos desprotegidos contra campanhas cibercriminosas.
Inclusive, na visão de Cristiane Dias, Head de Cybersecurity, o combate à instalação de ativos digitais desconhecidos precisaria ser regulamentado em códigos de conduta e ética das companhias. Dessa forma, as restrições devem se estender para além de softwares não licenciados e alcançar mídias removíveis, HDs externos e tokens fora do conhecimento da SI.
“É uma ocorrência ainda bastante frequente na área, pois são infraestruturas baseadas em grandes legados. Essas heranças costumam envolver maquinários caros e importados, com problemas de obsolescência. Devido a isso, comumente a empresa adquire e aplica tecnologias intermediárias fora do conhecimento da SI visando fazer a transição de uso”, explica Cristiane, em entrevista à Security Report.
Essa realidade costuma responder à maior demanda do negócio por agilidade operacional e criativa. O Centro de Controle de Operações, que gerencia os ambientes OT, depende de um regime constante de inovação. Contudo, a celeridade desmedida desses avanços deixa os setores de TI e Cibersegurança aquém dos projetos.
Cristiane alerta que, sem o know how adequado dos Centros de Controle de Operações (CCO), os problemas decorrentes dos equipamentos desconhecidos não apenas comprometem a camada de proteção como podem gerar consequências judiciais, envolvendo aplicação de pesadas multas dos próprios fabricantes da tecnologia. Ambos impactariam gravemente o funcionamento da empresa.
“Inovações são essenciais à continuidade da organização. Mas a descoberta de um recurso não declarado por um fornecedor durante um escaneamento de rotina pode resultar em uma multa de 10 a 3000 vezes o valor do software. Considerando cada inúmeros ativos não licenciados, o prejuízo cresce exponencialmente, além do dano reputacional”, avisa a executiva.
Security by design e conscientização
Para evitar que a corporação crie vulnerabilidades sem saber, é necessário todo o core business do CCO se conscientizar devidamente sobre os riscos de se criar situações de Shadow IT e da importância de aproximar os profissionais de tecnologia e Cyber dos projetos inovadores do setor industrial, implementando conceitos críticos de Security by Design.
Ao mesmo tempo, a executiva orienta que os Líderes de Segurança precisam também evitar posturas demasiadamente restritivas. Os CISOs devem ser capazes de dialogar com o core business, de forma a convencê-lo dos reais problemas causados por essa prática, posicionando a SI como garantia de inovação e desenvolvimento.
“É por isso que os C-Levels da área precisam ter alta capacidade de influência sobre o negócio. Apenas bloquear os ativos desconhecidos e negar tudo obstrui os canais de comunicação. Nós somos provedores internos de serviço, portanto precisamos demonstrar os riscos do Shadow IT e nos posicionar como suportes da organização, conscientizando e entendendo as dores da operação”, encerra ela.
