Uma mesa-redonda da conferência DEF CON 33, realizada no mês passado e intitulada "Adversários em guerra: táticas, tecnologias e lições dos campos de batalha modernos", trouxe vários pontos instigantes, assim como uma conclusão clara: embora táticas digitais, como desinformação e campanhas de influência, sejam úteis nos conflitos atuais, elas não são capazes de vencer uma guerra. Isso porque, quando as bombas começam a cair e os elementos físicos do confronto entram em ação, a desinformação que circula nos canais digitais perde relevância. De forma compreensível, as vítimas do conflito e os refugiados passam a ter prioridades mais urgentes: comida, abrigo e sobreviver.

Ao direcionar a conversa para a possibilidade de vencer uma guerra apenas com ataques cibernéticos e perturbações digitais, os participantes do painel também concordaram que os ataques cibernéticos causam prejuízos temporários, enquanto uma bomba atingindo um alvo é um método de destruição mais eficaz e duradouro.

Os ataques à infraestrutura crítica na Ucrânia parecem confirmar isso: agentes alinhados à Rússia lançaram diversos ataques cibernéticos à rede elétrica do país, resultando em interrupções temporárias, já que os sistemas podem ser reconstruídos e colocados em operação novamente em um período relativamente curto. Enquanto isso, uma bomba atingindo uma instalação elétrica provavelmente causaria prejuízos de longo prazo e limitações no fornecimento de energia, que poderiam levar meses ou anos para serem restaurados. A conclusão mais ampla desta parte da discussão do painel é que uma guerra não pode ser vencida apenas por meios cibernéticos, ainda precisa ser vencida no campo físico de batalha.

A cibersegurança e o mundo físico

A discussão então evoluiu para como o cibernético afeta o físico. Um dos painelistas comentou algo como "um exército não consegue lutar se não tiver sido alimentado". Em outras palavras, à medida que um número crescente de contratados civis é utilizado para fornecer a logística necessária ao funcionamento de um exército, a superfície de ataque se torna mais ampla do que pode parecer à primeira vista.

O painel usou a Taco Bell, uma cadeia estadunidense de restaurantes de fast-food, como analogia fictícia. Um cibercriminoso pode alegar que alterou o fornecimento de água da Taco Bell, mas, ao olhar mais de perto, poderia se tratar apenas de uma interferência no bebedouro de um restaurante, o que não seria suficiente para afetar suas operações.

No entanto, um ataque cibernético à cadeia de suprimentos da Taco Bell poderia paralisar suas operações. Como? Impedindo a entrega de insumos para o restaurante. Essa dependência pode ser ainda mais sutil: um ataque às empresas que fornecem a carne usada nos tacos poderia fazer com que a Taco Bell interrompesse suas atividades devido à falta de ingredientes para as refeições. A analogia se aplica também ao contexto militar: sem comida, as tropas não conseguem lutar ou, na melhor das hipóteses, ficam bastante limitadas.

O que isso significa para sua empresa?

Indo além da discussão do painel, isso levanta uma questão crítica para as empresas: elas realmente compreendem suas dependências para serem operacionalmente resilientes? Elas entendem a dependência que seus clientes têm delas para garantir a continuidade das operações dos próprios negócios?

Mantendo a analogia com o Taco Bell, imagine um ataque cibernético que comprometa um elemento essencial para o funcionamento do negócio. Se a empresa depende de um fornecedor de tempero para tacos, por exemplo, um ataque contra esse fornecedor poderia afetar diretamente a capacidade do Taco Bell de continuar operando. E isso não é apenas uma hipótese: já existem casos reais de ataques que provocaram esse tipo de interrupção. Um exemplo é o incidente sofrido pela Change Healthcare, empresa de processamento de dados de saúde, que chegou a paralisar a prestação de serviços médicos em clínicas e hospitais.

Atualmente, pelo que se sabe, os cibercriminosos costumam extorquir apenas as organizações que atacam diretamente. Mas e se a estratégia mudasse? Imagine um cibercriminoso que, em vez de mirar apenas na vítima primária, atacasse um fornecedor e passasse a exigir pagamento de todas as empresas que dependem dele. No exemplo do tempero para tacos, se a fornecedora fosse atingida por um ransomware, o criminoso poderia até pedir resgate diretamente a ela. No entanto, poderia obter um ganho muito maior ao cobrar das empresas que utilizam o produto, já que a falta de fornecimento teria para elas um impacto financeiro ainda mais alto do que para o próprio fornecedor.

Embora essa estratégia de monetização possa parecer especulativa, há um ponto importante aqui: sua empresa realmente entende suas dependências e sabe como mitigar o risco de um ataque aos serviços dos quais depende? Um exemplo real seria um ataque a uma empresa de catering contratada para alimentar pacientes em um hospital. Se a capacidade de fornecer refeições aos pacientes for interrompida por um ataque cibernético, o hospital pode ser obrigado a declarar um incidente grave e fechar a admissão de novos pacientes. Nesse cenário, o hospital pagaria um resgate para restaurar o fornecimento do catering?

A principal lição desta sessão do painel, para mim, é a seguinte: todos precisamos mapear e compreender completamente as dependências das quais dependemos e garantir resiliência onde for necessário. Se não for possível atingir esse nível de resiliência, ao menos devemos entender os riscos associados a essas dependências.

Ataques a cadeia de suprimentos no Brasil

Os ataques cibernéticos às cadeias de suprimentos no Brasil têm chamado atenção nos últimos meses, reforçando a urgência de fortalecer a cibersegurança, especialmente em relação aos fornecedores.

O setor financeiro foi recentemente atingido por dois incidentes de grande repercussão. Em julho, a provedora C&M Software sofreu um ataque que comprometeu seus sistemas, e, nos últimos dias, duas instituições financeiras brasileiras foram vítimas de um ataque cibernético que resultou no desvio de aproximadamente R$ 710 milhões.

Esses casos evidenciam como a vulnerabilidade de terceiros pode afetar diretamente operações críticas, reforçando a necessidade de políticas rigorosas de gestão de riscos e monitoramento contínuo de fornecedores.