Pontos de venda e caixas eletrônicos são os que mais sofrem ataques, de acordo com especialista da Cryptography Research
Enquanto na área governamental as agências norte-americanas têm sido alvos cobiçados, quando se parte para o setor privado, os sistemas financeiros são os preferidos, como conta Paul Kocher, presidente e cientista-chefe da Cryptography Research, empresa que dá conselhos sobre segurança virtual, chips desenvolvidos para resistir à falsificações e tecnologias de licenças contra “análise de poder diferencial”, uma técnica avançada em que o meliante analisa o poder de consumo de smart cards para determinar as chaves criptográficas.
“O meliante escolhe uma pessoa ou uma empresa e investe pesado para conseguir aquele dado”, afirma. Criminosos virtuais, de forma sub-reptícia, por exemplo, instalaram seu próprio roteador na rede de uma empresa e “começaram a extrair informações para fins fraudulentos”, conta Kocher.
O Centro de Análise e Compartilhamento de Informação do Setor Financeiro, um órgão da indústria, criou, recentemente, um grupo direcionado à integridade das cadeias de suprimento de TI. Entre seus membros estão: Goldman Sachs, Depository Trust & Clearing Corp., Citigroup, Morgan Stanley, The Bank of New York Mellon, J.P. Morgan, Bank of America e NYSE/Euronext.
“Enfrentamos inimigos virtuais bem organizados e extremamente determinados a derrubar todo o sistema de serviços financeiros dos Estados Unidos”, disse Donald Donahue, CEO da Depository Trust & Clearing Corp., empresa matriz que cuida da maioria das transações no mercado de capital nacional dos EUA, em uma conferência da indústria de serviços financeiros, em maio passado. “Suas intenções de penetrar a cadeia de suprimentos e explorar qualquer ponto vulnerável existente são claras.”
Sistemas de pontos de venda e caixas eletrônicos são os que mais sofrem ataques, de acordo com Kocher, da Cryptography Research. Entre as técnicas já usadas estão: caixas-eletrônicos entregues com códigos maliciosos pré-instalados e criação de endpoints falsos em redes de auto-atendimento, comenta o especialista.
Gerentes de TI e segurança precisam desenvolver estratégias para lidar com as ameças às cadeias de suprimento de TI de forma mais abrangente. As medidas para minimizar os riscos podem incluir a compra apenas de fornecedores confiáveis, a desconexão de máquinas críticas de redes externas e a conscientização de usuários sobre as ameaças e as medidas de prevenção.
A Depository Trust & Clearing Corp. implementou governança para gerenciamento de vulnerabilidade por toda sua cadeia de suprimento e olha para a segurança de TI ao longo do “ciclo de vida inteiro”, disse Donahue. Isso inclui onde o software foi codificado e o hardware fabricado, controles de acesso por todo o ciclo de desenvolvimento e entrega de software e segurança dentro da própria DTCC.
“O primeiro passo em qualquer plano de ação para cadeia de suprimento deve se categorizar e catalogar os riscos”, diz Jim Lewis, diretor do programa de tecnologia e política pública do Centro para Estudos Internacionais e Estratégicos nos Estados Unidos. Para as funções mais importantes nos níveis mais altos de segurança – sistemas usados para testes com armas nucleares, por exemplo – a empresa precisa usar uma cadeia de suprimento “100% confiável”, embora isso se torne extremamente caro em pouco tempo. Esse nível de confiança requer desenvolvimento de software e hardware completamente documentado por parceiros confiáveis e em ambientes controlados.
A SAIC e a Faculdade de Administração da Universidade de Maryland desenvolveram um “modelo garantido” de cadeia de suprimento virtual que ajuda as empresas a cuidarem dos problemas de forma metodológica. O modelo é resultado de um estudo de oito meses que incluiu uma avaliação do estado da arte em gerenciamento de cadeia de suprimento e segurança virtual, entrevistas e grupos focados. “Todos se sentiam como o ponto final da cadeia de suprimento, e mesmo assim, quando as pessoas providenciam TI, hoje me dia, geralmente é para um cliente ou para o cliente do cliente”, disse Hart Rossman, CTO de soluções de segurança virtual da SAIC. “A maioria das empresas não tem boa visibilidade da cadeia de suprimento de seu fornecedor de primeira linha, imagine os outros fornecedores.”
O modelo garantido de cadeia de suprimento é composto, visualmente, por gráficos círculares. No centro está governança, gerenciada pelo orquestrador da cadeia de suprimento. Além dele, estão os sistemas de integração e serviços compartilhados; é aqui que o modelo introduz o conceito de um “reforço” nos cuidados com a cadeia de suprimento. O círculo externo, ou a “camada de campo”, direciona segurança virtual para o código do software, hardware de TI, aplicativos corporativos, redes e pessoas.
Especialistas citam a necessidade de uma “cadeia de cuidados”, incluindo documentação em tempo real das práticas de desenvolvimento de sistemas, entre as partes integrantes da cadeia de suprimento. Eles apontam para as medidas de controle de qualidade usadas na indústria farmacêutica, com documentação online extensiva e rastreamento de produtos, como modelo para cadeias de suprimento virtuais.
Leia também:
