As armadilhas do gerenciamento de riscos na cadeia de suprimentos

Muitas organizações aumentaram progressivamente sua dependência de um número crescente de fornecedores globais. Conforme evidenciado pelos inúmeros ataques a cadeias de suprimentos na última década, como a violação de dados da Target de 2013¹ e o ataque à cadeia de suprimentos da SolarWinds de 2020,² os agentes de ameaças à cibersegurança geralmente visam fornecedores porque são menos seguros do que organizações maiores na cadeia de suprimentos. Esses ataques afetam o software ou os produtos das organizações fornecedoras mais baixas na cadeia de suprimentos, permitindo que o software ou os produtos comprometidos facilitem a infiltração nas organizações maiores.

A dependência cada vez maior de grandes cadeias de suprimentos globais e o aumento das ameaças a elas levaram o gerenciamento de riscos da cadeia de suprimentos para a vanguarda das conversas do setor sobre as melhores práticas de cibersegurança. A necessidade de gerenciamento de risco na cadeia de suprimentos não aumentou de importância nesta década do que em relação a última – ela simplesmente se tornou mais reconhecida. Em maio de 2021, o Presidente dos Estados Unidos emitiu uma ordem executiva direcionando recursos federais dos EUA para financiar orientações sobre segurança da cadeia de suprimentos.³ Além disso, em 2021, o Centro Nacional de cibersegurança do Reino Unido realizou uma pesquisa sobre gerenciamento de riscos da cadeia de suprimentos.⁴ A maioria dos participantes da pesquisa identificou barreiras para a implementação de um programa eficaz de gerenciamento de risco da cadeia de suprimentos para suas organizações. Essas barreiras incluíam pouca visibilidade das cadeias de suprimentos, falta de experiência em risco de cibersegurança e ferramentas ou mecanismos de garantia insuficientes para avaliar o risco cibernético do fornecedor.

Os programas de gerenciamento de risco da cadeia de suprimentos podem ser benéficos para todas as organizações, mas sem a orientação adequada, eles podem realmente aumentar o risco. Práticas equivocadas de gerenciamento de risco da cadeia de suprimentos, como a agregação de artefatos de auditoria ou avaliação, estão diminuindo a eficácia desses programas. Além disso, a criação aparentemente interminável de questionários exclusivos de cibersegurança está contribuindo para aumentar os encargos que prejudicam os fornecedores que gastam tempo protegendo suas organizações. O risco dessas práticas equivocadas de gerenciamento de risco da cadeia de suprimentos pode ser gerenciado pelas organizações adquirentes, fazendo com que seus avaliadores da cadeia de suprimentos revisem os artefatos sem precisar coletá-los e armazená-los, dimensionando de forma inteligente o nível da avaliação de risco para o risco que o fornecedor representa para a organização adquirente e avaliação de risco com uma estrutura de gerenciamento de risco comumente usada.

Adotando medidas

Muitas organizações estão tomando medidas contra o risco cibernético da cadeia de suprimentos estabelecendo ou aprimorando seus programas e processos de gerenciamento de risco da cadeia de suprimentos para mitigar melhor o risco. Os três mecanismos de garantia mais comuns usados para validar a segurança da cadeia de suprimentos são semelhantes aos mecanismos usados por avaliadores e auditores para validar os controles do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Esses métodos, descritos na Publicação Especial do (SP) do NIST SP 800-171A Avaliando Requisitos de Segurança para Informações Não Classificadas Controladas⁵ e NIST SP 800-53A Rev. 5 Avaliando Controles de Segurança e Privacidade em Sistemas de Informação e Organizações,⁶ são examinados, entrevistados e testados. Quando aplicado à cadeia de suprimentos, as organizações devem:

1. Examinar artefatos, como documentação
2. Entrevistar indivíduos ou grupos dentro da cadeia de suprimentos
3. Testar os controles para ver se eles se comportam conforme o esperado

Esses métodos são frequentemente empregados por um indivíduo ou equipe dedicada dentro da organização ou por um terceiro contratado.

Outra consideração para as organizações melhorarem seus procedimentos de gerenciamento de risco da cadeia de suprimentos são as avaliações de privacidade de dados. Dependendo dos requisitos regulamentares externos e das políticas da organização, os dados coletados como parte dessas avaliações podem exigir avaliações adicionais de privacidade de dados. Um exemplo de avaliação comum de privacidade de dados exigida pelas organizações é a Avaliação de Impacto de Proteção de Dados (DPIA) do Regulamento Geral de Proteção de Dados (GDPR) da UE.⁷ Embora esse regulamento abranja apenas uma parte das transações de privacidade de dados, esses mesmos conceitos estão surgindo em muitos regulamentos globais. Dependendo das informações trocadas e dos tipos de processamento realizados, avaliações de privacidade podem ser necessárias ou simplesmente desejadas como parte da boa higiene das informações para as organizações.

Pavimentado com boas intenções

Conforme as organizações escolhem os melhores métodos para lidar com novas ameaças, elas estão potencialmente abrindo suas organizações e sua cadeia de suprimentos a riscos adicionais. Embora a intenção possa ser boa, existem cinco práticas equivocadas que muitas vezes prejudicam os esforços de gerenciamento da cadeia de suprimentos:

1. A agregação de artefatos de vários fornecedores em um único local dentro de uma organização mais alta na cadeia de suprimentos cria riscos.
2. Contar com fornecedores com conhecimento mínimo das medidas de segurança da organização adquirente para proteger os artefatos (um acordo de confidencialidade [NDA] por si só não garante a segurança desses artefatos) cria riscos.
3. Os artefatos compartilhados expandem a superfície de risco para fornecedores e adquirentes, geralmente exponencialmente:
   • Cada nova organização que recebe esses artefatos aumenta a superfície de risco para cada organização em negócios com o fornecedor.
   • Conforme as organizações adquirentes reúnem documentação em sua base de fornecimento, elas mantêm depósitos cada vez maiores de informações de segurança valiosas.
4. Fornecedores terceirizados usados para gerenciar e armazenar esses artefatos expandem ainda mais a superfície de risco.
5. As organizações geralmente têm questionários exclusivos e requisitos de artefatos, o que sobrecarrega os fornecedores que fornecem essas informações e diminui o tempo valioso necessário para o esforço de melhorar a segurança desses fornecedores.

Agregando e protegendo artefatos

Tornou-se mais comum as organizações solicitarem documentação e artefatos de suas cadeias de suprimentos que, se descobertos por um agente de ameaça, seriam prejudiciais ao fornecedor e às organizações que recebem seus produtos. A Figura 1 demonstra exemplos dos artefatos proprietários que são frequentemente solicitados.

Com base no risco para o fornecedor e o produto, é uma boa ideia validar esses itens e determinar se eles se enquadram nos padrões do setor. No entanto, coletá-los sem um curso de ação específico é um risco desnecessário. Se um agente de ameaça obtiver esses artefatos, ele fornecerá um roteiro para ajudá-lo a violar o fornecedor.

A Figura 2 ilustra a agregação de artefatos por um adquirente em vários fornecedores. Embora esta figura mostre apenas quatro fornecedores, pode haver facilmente centenas ou milhares de fornecedores fornecendo artefatos para um adquirente.

A agregação de artefatos de fornecedores opera com a suposição de que as organizações adquirentes têm segurança impenetrável, mas nenhuma organização é inviolável. Toda vez que os prestadores de serviços fornecem artefatos para as organizações adquirentes, eles correm o risco de permitir que informações proprietárias vazem em uma violação. Além disso, os fornecedores geralmente têm conhecimento mínimo da postura de segurança da organização adquirente, permitindo que esses artefatos sejam armazenados em um local desconhecido com segurança desconhecida.

Aumento da superfície de risco

Cada organização adquirente que obtém esses artefatos aumenta a superfície de risco de todas as outras organizações que fazem negócios com esse fornecedor. As organizações adquirentes geralmente têm uma visão limitada de que o relacionamento com o fornecedor é 1:1, mas isso raramente é o caso. Um fornecedor pode fornecer centenas ou milhares de outras organizações.

Conforme as organizações adquirentes continuam a coletar artefatos de fornecedores, elas criam um armazenamento cada vez maior de informações críticas de segurança que os agentes de ameaças desejam. Se uma organização com esse tesouro de dados for violada, a segurança de seus fornecedores será comprometida e os agentes de ameaças terão vantagem em relação a todas as outras organizações que trabalham com cada um desses fornecedores.

A Figura 3 ilustra os relacionamentos que ocorrem quando um fornecedor começa a distribuir suas informações proprietárias para vários adquirentes. Se cada adquirente coletar esses artefatos, todos eles precisam estar cientes do envolvimento uns dos outros. O adquirente 1 agora depende dos adquirentes 2, 3, 4 e 5 para proteger esses dados de seu fornecedor. Essa mesma confiança é verdadeira para cada adquirente. Se os adquirentes 1, 2, 3 e 4 estiverem protegendo os dados com segurança, mas o adquirente 5 for violado, essas informações não estarão mais seguras. Todos nessa cadeia de suprimentos estão agora em maior risco.

Serviços de terceiros

A cibersegurança é cara e a falta de habilidades para o pessoal devidamente treinado não vai acabar tão cedo. Isso está levando as organizações adquirentes a utilizar serviços de terceiros para gerenciar esse processo. Esses fornecedores podem ajudar a interpretar e analisar o risco dos fornecedores. No entanto, se eles estiverem coletando artefatos da mesma maneira que a organização, isso pode piorar o problema. Fornecedores podem ter segurança pior, manter cópias dos artefatos e encaminhar cópias para a organização adquirente. Este exemplo coloca esses artefatos em três lugares diferentes, com o fornecedor, o adquirente e o terceirizado, o que oferece mais oportunidades para os agentes de ameaças.

O fardo

O processo de gerenciamento de riscos da cadeia de suprimentos é necessário, mas pode ser oneroso se executado de forma inadequada. Muitas vezes, as organizações adquirentes têm intenções positivas em melhorar sua postura de segurança, mas podem não entender o melhor caminho a seguir para a melhoria. Determinar a profundidade e a cobertura adequadas para uma avaliação de risco pode ser diferente para cada organização e relacionamento organizacional.

A avalanche de inúmeros questionários, solicitações de artefatos e estruturas exclusivas sobrecarregaram muito os fornecedores. Muitos fornecedores estão agora dedicando recursos de segurança significativos para responder a questionários e fornecer artefatos aos adquirentes, desviando o pessoal de funções que podem fazer mudanças positivas para melhorar a segurança da organização fornecedora. As organizações devem considerar o nível apropriado de profundidade e cobertura para o risco apresentado. Os fornecedores que oferecem níveis de risco mais altos devem ser examinados com mais atenção, enquanto aqueles com níveis inferiores devem ser revisados com menos rigor.

Solução: Reduza a superfície de risco

Em vez de abordar todos os fornecedores da mesma forma, as organizações adquirentes devem considerar categorizar seus fornecedores com base no impacto potencial e abordar o processo de gerenciamento de risco de maneira escalonada. A Figura 4 demonstra um exemplo de hierarquia de maneiras de medir o risco da cadeia de suprimentos sem agregar artefatos. Dentro de cada ação de revisão de risco, o avaliador ou auditor revisa o atestado ou artefatos apresentados e documenta suas descobertas de acordo com uma estrutura de risco determinada pela organização.

Por exemplo, nos níveis mais altos de risco, o avaliador ou auditor pode revisar os artefatos em uma reunião de videoconferência não gravada ou em uma visita pessoal. Os resultados da revisão podem ser documentados em um resumo minimamente descritivo. Além disso, deve-se observar se os controles do fornecedor atendem ou não a cada requisito. Como os artefatos permanecerão na posse do fornecedor, o hashing de artefatos pode ser usado para garantir que os artefatos revisados pelo avaliador ou auditor possam ser revisados novamente mais tarde. Um exemplo desse método é descrito mais detalhadamente no Guia de Usuário de Ferramentas de Hashing de Artefatos de CMMC.⁸ Esses métodos garantem que os artefatos não precisem ser movidos para fora do local e agregados em um grande repositório. As organizações precisam determinar seu próprio apetite de risco para cada nível de impacto potencial e ajustar sua estratégia de gerenciamento de risco de acordo.

Um método alternativo que pode ajudar a reduzir a carga sobre os fornecedores e diminuir a superfície de risco da coleta de artefatos é o uso de uma plataforma de avaliação compartilhada, como a Exostar. “A Exostar começou como um esforço cooperativo da BAE Systems, The Boeing Company, Lockheed Martin, Raytheon e Rolls Royce”.⁹ Essas organizações possuem relações altamente sensíveis com fornecedores e tiveram a visão no ano 2000 de criar uma plataforma que permitia que a indústria de defesa e aeroespacial gerenciasse adequadamente seus relacionamentos com fornecedores sem sobrecarregar os fornecedores com questionários exclusivos ou agregar artefatos desnecessários. O uso de métodos guiados como esses permite que as organizações adquirentes reduzam sua superfície de risco e posicionem seus programas de gerenciamento de risco para o sucesso.

Solução: Proteger dados adquiridos

Se as organizações adquirentes obtiverem artefatos de fornecedores, eles devem ser protegidos de acordo com os padrões de cibersegurança do setor. Algumas das proteções mais importantes e facilmente perdidas incluem criptografia, controles de acesso, períodos de retenção de dados e higienização de dados.

Os artefatos não devem ser mantidos indefinidamente. Deve haver um período de retenção de dados atribuído a esses dados. A utilidade dos dados se deteriora com o tempo e, uma vez que eles não sejam mais úteis, eles devem ser higienizados de acordo com métodos de higienização comumente aceitos, como NIST SP 800-88 Diretrizes para Sanitização de Mídia.¹⁰

Conclusão

O gerenciamento de riscos da cadeia de suprimentos cibernética é uma prática que todas as organizações devem realizar, mas a implementação estratégica é imperativa. Se os fornecedores forem sobrecarregados por requisitos ilimitados e forçados a desistir de artefatos, incluindo documentação proprietária, os adquirentes podem estar sabotando involuntariamente sua própria segurança sem perceber. Com base no risco, as organizações adquirentes devem considerar visitas pessoais, teleconferências de vídeo não gravadas ou autoatestado de fornecedores. Além disso, a profundidade e a cobertura das avaliações devem ser dimensionadas para o nível de risco. Os programas de gerenciamento de risco da cadeia de suprimentos podem ser benéficos para todas as organizações, mas sem a orientação adequada, podem aumentar o risco para organizações em todo o mundo.

Notas de rodapé

¹ Comitê do Senado dos Estados Unidos sobre Comércio, Ciência e Transporte, A “Kill Chain” Análise da violação de dados da Target em 2013,, Relatório da Equipe Majoritária para o Presidente Rockefeller, EUA, 26 de março de 2014, https://www.commerce.senate.gov/services/files/24d3c229-4f2f-405d-b8db-a3a67f183883
² Departamento de Segurança Interna dos EUA, Diretiva de Emergência 21-01, EUA, 13 de dezembro de 2020, https://cyber.dhs.gov/ed/21-01/
³ Casa Branca, Ordem Executiva para Melhorar a cibersegurança da Nação, EUA, 12 de maio de 2021
⁴ Departamento de Tecnologias Digitais, Cultura, Mídia e Esportes, resposta do governo à chamada para visões sobre cibersegurança na cadeia de suprimentos, Reino Unido, 15 de novembro de 2021, https://www.gov.uk/government/publications/government-response-on-supply-chain-cyber-security/government-response-to-the-call-for-views-on-supply-chain-cyber-security
⁵ Ross, R.; K. Dempsey; V. Pillitteri; National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171A Assessing Security Requirements for Controlled Unclassified Information, EUA, junho de 2018, https://doi.org/10.6028/NIST.SP.800-171A
⁶ Instituto Nacional de Padrões e Tecnologia (NIST), SP 800-53, Revisão 5 Controles de Segurança e Privacidade para Sistemas e Organizações Federais de Informação, EUA, setembro de 2020, https://doi.org/10.6028/NIST.SP.800-53r5
⁷ European Commission, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons With Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/ EC (Regulação Geral de Proteção de Dados), OJ L 119, 4.5, 2016, https://op.europa.eu/en/publication-detail/-/publication/3e485e15-11bd-11e6-ba9a-01aa75ed71a1
⁸ Carnegie Mellon University, The Johns Hopkins University Applied Physics Laboratory LLC, Futures, Inc, Guia do Usuário de Ferramentas de Hashing de CMMC, Versão 2.0, EUA, dezembro de 2021
⁹ Exostar, LLC, Exostar: The Supply Chain Partner for Aerospace and Defense, 2017, https://www.exostar.com/file/2017/06/SupplyChain_SolutionOverview_June2017.pdf
¹⁰ Kissel, R.; A. Regenscheid; M. Scholl; K. Stine; NIST SP 800-88, Revisão 1, Diretrizes para sanitização de mídia, EUA, dezembro de 2014, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

DAVID PODESWIK | CRISC

Analista de risco e conformidade de cibersegurança de uma empresa da Fortune 1000. Ele está à frente da equipe de risco e compliance de cibersegurança e se concentra no gerenciamento de riscos de terceiros e na conformidade regulatória e na política de cibersegurança.