Agosto 22, 2024

Manufatura e Cibersegurança: Desafios e Estratégias na Era Digital

À medida que as empresas de manufatura aceleram as suas estratégias de automação e digitalização, o setor enfrenta um crescimento significativo no número e impacto de ciberataques.

Desde ações de phishing e ransomware, até violações internas e sabotagem de equipamentos, as ameaças enfrentadas são variadas e estão em rápida evolução, explorando as vulnerabilidades nos sistemas industriais e nas cadeias de fornecimento complexas.

Com a crescente interligação global dos processos de produção, o setor da manufatura deve estar preparado para enfrentar estes desafios da cibersegurança, através da implementação de estratégias robustas e adaptadas à sua realidade. A ciber-resiliência surge assim como uma necessidade premente, não apenas para garantir a continuidade operacional e mitigar os danos financeiros causados pelos ciberataques, mas também para proteger a propriedade intelectual das empresas.

Subscrever Newsletter | Fale com um especialista

A Indústria de Manufatura Como Alvo Preferencial dos Ciberataques

Nos últimos anos, a manufatura emergiu como o setor mais visado por ciberataques a nível global. Desde 2022, este setor ultrapassou áreas tradicionalmente mais afetadas, como os setores financeiro, seguros e saúde, assumindo-se como o principal alvo dos cibercriminosos.

Segundo dados da IBM Security, os ataques à indústria de manufatura representam agora uma ameaça superior, refletindo a complexidade das suas operações e a multiplicidade de vulnerabilidades inerentes.

O cibercrime é classificado como um dos 10 principais riscos globais nos próximos 2-10 anos pelo Fórum Económico Mundial, pelo que, a médio e longo prazo, os fabricantes devem dar prioridade à cibersegurança.

A Expansão do Ecossistema da Manufatura e o Risco Cibernético

O setor da manufatura desempenha um papel essencial na economia global, abrangendo uma vasta gama de indústrias, como os bens de consumo, eletrónica, automóvel, energia, farmacêutica, alimentação e bebidas, indústria pesada, e petróleo e gás. Estas indústrias estão profundamente interligadas, com cadeias de fornecimento que se estendem por diversas geografias. Consequentemente, um ataque a uma única empresa pode ter efeitos em cascata ao longo de toda a cadeia, resultando em prejuízos significativos para o setor como um todo.

De acordo com um relatório produzido pela Security Scorecard e o Cyentia Institute, 98% das organizações mantêm relações com terceiros que já sofreram violações de segurança. Também alarmante é o facto de mais de 50% destas empresas terem relações indiretas com parceiros de quarta linha que também foram vítimas de ciberataques. Estes números demonstram a extensão do risco cibernético no setor da manufatura, onde os ataques à cadeia de fornecimento podem comprometer vastos ecossistemas produtivos.

Exemplos Recentes de Ciberataques

As indústrias da manufatura são um alvo lucrativo e acessível para ciberataques devido ao seu nível relativamente baixo de maturidade cibernética em comparação com outros setores, bem como à sua baixa tolerância a tempos de paragem de produção.

Nos últimos anos, várias grandes empresas de manufatura foram vítimas de ciberataques com consequências muito significativas:

FACC AG (2016): A empresa austríaca de componentes aeronáuticos foi vítima de um ataque onde cibercriminosos infiltraram a rede da organização e iniciaram uma campanha que visava altos executivos e o departamento financeiro. Os atacantes conseguiram assumir a identidade do CEO da empresa, instruindo o departamento de contabilidade para efetuar um conjunto de transferências destinadas a completar uma suposta aquisição. O impacto deste incidente para a organização rondou os 42 milhões de euros.
Renault-Nissan (2017): O ataque de ransomware “WannaCry” afetou mais de 100 países, interrompendo a produção em 5 fábricas no Reino Unido, França, Eslovénia, Roménia e Índia. Os prejuízos não foram revelados pelo fabricante, mas estimam-se na ordem de biliões de euros.
Norsk Hydro (2019): A gigante do alumínio sofreu um ataque de ransomware “LockerGoga”, que danificou os sistemas informáticos em várias unidades, incluindo na Noruega, Qatar e Brasil. A empresa recusou pagar o resgate e contratou uma empresa especializada em cibersegurança para os ajudar a desmantelar o ataque. O incidente resultou em perdas de cerca de 68 milhões de euros.
Applied Materials (2023): Um ataque originado numa falha de segurança de um fornecedor comprometeu esta empresa de semicondutores, causando prejuízos de 250 milhões de dólares.
Brunswick Corporation (2023): Um ataque cibernético resultou na interrupção da produção desta fabricante de barcos, levando 9 dias para retomar todos os sistemas. Para além dos atrasos na produção, o ataque resultou num custo estimado de 85 milhões de dólares.

5 Ameaças Mais Comuns no Setor da Manufatura

As empresas de manufatura enfrentam uma série de ameaças cibernéticas que exigem uma abordagem diversificada de prevenção e mitigação. Entre as ameaças mais frequentes, destacam-se:

Ataques de phishing: Utilizados para enganar funcionários através de mensagens ou e-mails que se fazem passar por entidades confiáveis, estes ataques visam obter acesso a credenciais sensíveis, sendo uma porta de entrada comum para ataques mais complexos, como o ransomware.
Ransomware: A extorsão digital é uma das formas mais devastadoras de ciberataque, especialmente no setor da manufatura. Os cibercriminosos exploram a pressão das empresas para manter a produção ininterrupta, exigindo o pagamento de resgates para desbloquear sistemas críticos.
Roubo de Propriedade Intelectual (PI): A inovação e o desenvolvimento de novos produtos são aspetos vitais para o sucesso no setor da manufatura. No entanto, a transmissão de dados confidenciais através de redes não seguras pode expor empresas a roubo de PI, colocando em risco a sua competitividade no mercado.
Ataques à Cadeia de Fornecimento: A crescente dependência de terceiros e a complexidade das cadeias de fornecimento globais criam inúmeras vulnerabilidades, onde cibercriminosos podem infiltrar-se nas operações através de parceiros e fornecedores.
Ataques ao IoT Industrial: O aumento da conectividade através da Internet das Coisas (IoT) trouxe ganhos substanciais em termos de eficiência e automação, no entanto, na ausência de medidas de segurança robustas, podem ser alvo de ciberataques, comprometendo a segurança, a operação de máquinas e a integridade de dados em sistemas de automação e controlo.

Causas do Crescimento dos Ciberataques no Setor da Manufatura

Vários aspetos contribuem para o facto de o setor da manufatura ser o mais visado pelos cibercriminosos:

Conetividade aumentada: A digitalização e a crescente conetividade tornam as empresas de manufatura mais eficientes, mas também proporcionam pontos de entrada para ciberataques.
Pouca formação em Cibersegurança: A falta de formação adequada sobre as ameaças cibernéticas pode resultar em más práticas, como o uso de passwords fracas ou a abertura de e-mails de phishing.
Sistemas de legado: Muitas empresas utilizam tecnologia operacional antiga que pode não ter os mecanismos de segurança necessários para enfrentar as ameaças atuais.
Ataques à cadeia de fornecimento: Com cadeias de fornecimento complexas e uma rede extensa de parceiros, as oportunidades de infiltração aumentam consideravelmente.
Sistemas baseados em dados: O armazenamento e a transmissão de dados sensíveis são componentes essenciais das operações de manufatura, expondo as empresas ao risco de roubo de dados ou interrupções.
Riscos nos Sistemas de Controlo Industrial (ICS): Sem medidas adequadas, os ICS podem ser facilmente explorados, comprometendo a produção e os ativos críticos.

Desenvolver a Ciber-resiliência

Para se protegerem eficazmente contra ciberataques, as empresas de manufatura devem adotar uma abordagem holística e proativa para a cibersegurança, que inclua não apenas as equipas de TI, mas toda a organização. Entre as principais medidas recomendadas estão:

Realizar uma avaliação de maturidade cibernética: Avaliar as vulnerabilidades e capacidades internas para determinar os pontos fracos e oportunidades de melhoria.
Estabelecer uma governança formal da cibersegurança: Criar um programa que considere tanto as Tecnologias de Informação (TI) como as Tecnologias Operacionais (OT), garantindo que ambas estejam protegidas contra ciberataques.
Priorizar ações com base em perfis de risco: Concentrar os recursos nas áreas mais vulneráveis, alinhando as medidas de segurança às necessidades e aos riscos específicos da organização.
Incorporar a segurança desde o início: À medida que as empresas avançam na digitalização, é fundamental que os novos sistemas e tecnologias sejam concebidos com a segurança em mente.

Iniciativas Globais para Melhorar a Cibersegurança

Na União Europeia e nos EUA, estão a ser desenvolvidas várias iniciativas com o objetivo de introduzir requisitos obrigatórios de cibersegurança para produtos de hardware e software ao longo de todo o seu ciclo de vida, com especial enfoque em setores específicos como da água, saúde, finanças e banca, transporte e alimentar. No entanto, não existe um referencial de cibersegurança que abarque todos os fabricantes nos diferentes setores e países, e suas interdependências.

Instituições como o Fórum Económico Mundial estão a mobilizar esforços para fortalecer a ciber-resiliência no setor da manufatura, visando sensibilizar os decisores e promover um compromisso coletivo para enfrentar as ameaças cibernéticas. O objetivo é estabelecer princípios orientadores e práticas recomendadas, com base em cinco pilares essenciais de resiliência cibernética:

Desenvolver uma cultura de cibersegurança em toda a organização.
Adotar uma abordagem baseada em risco para proteger e monitorizar os ativos críticos.
Preparar um processo eficaz de gestão de incidentes.
Fortalecer os sistemas de controlo industrial.
Gerir os riscos do ecossistema.

Setores industriais específicos, caso do automóvel, estão a tomar iniciativas como desenvolver e exigir a implementação de referenciais de segurança a toda a sua cadeia de fornecedores diretos, como forma de reduzir os riscos do seu ecossistema.

Conclusão

A cibersegurança no setor da manufatura não é apenas uma questão operacional, mas uma componente essencial para a continuidade e sucesso das empresas num ambiente cada vez mais digitalizado e interconectado.

O aumento das ameaças cibernéticas, a crescente complexidade das cadeias de fornecimento globais e a digitalização de processos tornam as empresas de manufatura alvos preferenciais dos cibercriminosos. Exemplos recentes mostram o impacto devastador dos ataques, que podem levar a interrupções operacionais, roubo de propriedade intelectual e perdas financeiras significativas.

Para garantir a resiliência cibernética, as empresas de manufatura precisam de adotar uma abordagem holística, que envolva toda a organização, desde a linha de produção até à administração. A implementação de medidas de segurança robustas, a criação de uma cultura de cibersegurança e a colaboração entre setores e geografias são passos fundamentais para mitigar riscos. Além disso, à medida que a tecnologia evolui, novas ameaças continuarão a surgir, exigindo às empresas uma constante atualização das suas estratégias de cibersegurança.

Num mundo cada vez mais digital, o investimento em proteção contra ciberataques deve ser visto como uma necessidade estratégica para preservar a inovação, a competitividade e a confiança no setor da manufatura.