Nova abordagem: segurança virtual da cadeia de suprimento

Os profissionais tendem a limitar a segurança por firewall – o que acontece “lá fora” pode estar além seu controle, mas em um perímetro seguro os dados e o sistema devem estar protegidos. Essa visão, no entanto, falha por não levar em consideração os papéis dos desenvolvedores, fornecedores, usuários e outros ao longo da cadeia de suprimento de sistemas de TI, assim como hardware e software que entram na empresa. A novas práticas defendem uma abordagem de segurança mais ampla que não deixe nenhum desses pontos sem verificação. 

É a chamada segurança virtual (Cybersecurity) da cadeia de suprimento, e, como sugere o nome, dedica-se aos princípios de gerenciamento da cadeia de suprimentos – aquisição e montagem de produto, compartilhamento de dados entre parceiros, governança e mais – para a segurança dos sistemas de TI e softwares. “As empresas precisam entender que seus limites são porosos”, avalia Jim Lewis, diretor do programa de tecnologia e política pública do Centro para Estudos Internacionais e Estratégicos nos Estados Unidos. “Não vivemos isolados e não é mais uma questão de quão seguro você está, mas quão seguro estão os outros que se conectam a você.”

O que define uma cadeia de suprimento virtual? Um relatório, publicado em junho por pesquisadores da Faculdade de Administração Robert H. Smith, da Universidade de Maryland, nos EUA, e pela empresa de serviços de TI, SAIC, definiram como “a massa de sistemas de TI – hardware, software, redes públicas e privadas – que juntos permitem operações ininterruptas” de agências governamentais, empresas públicas e outros grandes fornecedores. “A cadeia de suprimento virtual inclui todo o conjunto de profissionais-chave e suas interações corporativas que planejam, criam, gerenciam, mantém e defendem a infraestrutura”.  

Estrangeiros já estão conduzindo ataques a cadeias de suprimento em sistemas de TI pertencentes ao governo dos EUA, de acordo com uma apresentação feita por Mitch Komaroff, diretor da força tarefa global dos CIOs do Departamento de Defesa dos EUA. Um exemplo parecido é a entrega de hardwares com malwares instalados. No setor privado, empresas financeiras se tornaram alvos frequentes. Esses dois setores também são os mais agressivos na busca por soluções do problema. 

Dois esforços governamentais – a Iniciativa Virtual Nacional (Comprehensive National Cyber Initiative), de George W. Bush, e a Revisão das Políticas de Segurança Virtual (Cybersecurity Policy Review), de Barack Obama – ordenaram às agências federais trazerem suas próprias cadeias de suprimentos virtuais de volta à terras nacionais. “O crescimento sofisticado e diversificado dos ataques virtuais se tornaram uma ameaça”, disse Nicole Dean, vice-diretora da divisão de Segurança Virtual Nacional do Departamento de Segurança Nacional dos EUA, que administra a Iniciativa Virtual Nacional. 

Entre os ataques mais frequentes estão: a inserção de malwares em softwares e hardwares, vulnerabilidades encontradas por hackers em softwares vasculhados e sistemas comprometidos que são usados sem consciência. 

Há poucos anos, Apple, HP, Sony e outras empresas enviaram laptops, discos rígidos e outros dispositivos usados infectados com vírus, worms e Trojans, de acordo com uma apresentação feita em 2007 por Marcus Sachs, executivo da Verizon e diretor da SANS Internet Storm Center, durante o Internet Security Alliance. 

Em muitas empresas, cuidar desse problema exigirá novos níveis de colaboração entre segurança, TI e gerentes de cadeia de suprimento. “Por um ponto de vista defensivo, alguns gerentes de cadeia de suprimento ou gerentes de cadeia de suprimento de risco uniram suas missões com seu centro de segurança de computador mas não estão autorizados a unir operações”, disse Hart Rossman, CTO de soluções de segurança virtual da SAIC e co-autor do white paper de cadeia de suprimento virtual. “Se você acredita que comprou hardware ou software comprometido e chama sua equipe de segurança virtual, eles, provavelmente, não estarão preparados para lidar com a situação porque estarão procurando por vírus”. 

Falsificação é um outro risco. O Departamento de Justiça dos EUA prendeu, recentemente, três residentes do estado da Califórnia acusados de falsificação. De acordo com a acusação, eles importavam microprocessadores falsificados da China e também conseguiam chips legítimos, removiam suas marcações originais e os revendiam para agências governamentais. 

Leia também:

Sistemas Financeiros são principal alvo no setor privado

Segurança: é preciso atenção em todos os pontos