Últimas notícias

Fique informado

O perturbador risco digital das organizações embutidas nas cadeias de valor dos fornecedores

18 de fevereiro de 2021

Spotlight

PL 317/21: Plenário aprova criação do Governo Digital

O PL 317/2021, conhecido como o do Governo Digital segue agora para sanção presidencial.

26 de fevereiro de 2021

Qual é o valor legal de uma assinatura eletrônica?

No passado, muitas pessoas relutavam em usar documentos ou assinatura eletrônica, questionando sua validade legal e a capacidade de usá-los como evidência ​​em processos judiciais ou demais contextos jurídicos

25 de fevereiro de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Assinatura Eletrônica nos contratos e em outros atos jurídicos

“A assinatura eletrônica decorrente de certificados emitidos no âmbito do ICP-Brasil é eficaz para qualquer ato jurídico por força do art. 10 da MP 2.200-2/2001”

23 de fevereiro de 2021

Mergulhando e Navegando no Submundo da Deep Web

Deep Web (dark web, deepnet, invisible net, undernet, ou hidden web) refere-se a qualquer rede fechada que compreende um grupo privado de pessoas, que querem se comunicar.

25 de julho de 2016

Uma análise das técnicas utilizadas em campanhas recentes de ataques evidenciaram a fragilidade no ecossistema do modelo digital de negócio do pré-covid

Por Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management

Leonardo Scudere – Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD

Em sequência a artigos anteriores onde destaquei a necessidade crítica de reavaliação das cadeias produtivas num cenário de tensões macroeconômicas e eventos geopolíticos enfatizados pela crise mundial sem precedentes provocada pelo coronavírus.

Nada poderia comprovar minhas reflexões do que todos os desdobramentos da campanha cyber criminosa SolarWinds Orion, iniciada em dezembro 2020, já considerada como o ataque mais devastador da década.

De forma sucinta e sem aprofundar os detalhes técnicos, a organização criminosa denominada UNC2452 inicialmente inseriu um trojan infectando o software Orion, utilizado mundialmente por milhares de empresas, que ao fazerem uma atualização normal, involuntariamente comprometeram seus sistemas.

Desta forma iniciou-se a segunda etapa que foi a irradiação para os clientes dos clientes (cadeias de valor) que tinham comunicação digital e transacional através desta plataforma.

Rápida e continuamente os atores externos sequestraram identidades e credenciais legitimas (etapa 6 da matriz MITRE ATT@CK) e desta forma, com os acessos disponíveis obtiveram controle a tudo que tinham planejado.

Estima-se que as empresas de tecnologia foram as mais afetadas (cerca de 44%) além de diversos departamentos do governo americano (27%) sendo os restantes entre empresas dos mais diversos setores.

Mantendo meu foco nos impactos aos negócios, na ultra rápida necessidade de transformação digital que as organizações estão enfrentando, torna-se evidente a mudança do eixo de prioridades da segurança cibernética corporativa para todos os participantes do ecossistema produtivo e não mais restrito a áreas, unidades ou qualquer outra segmentação, a princípio mais a menos crítica sob a ótima predominantemente tecnológica.

A Toyota crio o Just-in-time nos anos 50 que se tornou o padrão determinante para a obtenção de máxima eficiência, redução de custos e produtividade.

Como exemplo, uma das maiores empresas fabricantes de computadores para uso pessoal e corporativo tem cerca de 40.000 fornecedores, numa intrincada cadeia produtiva visando entregar ao mercado um produto de alto desempenho, em escala mundial além da rápida ou mesmo imediata disponibilidade.

Em pesquisas recentes com as grandes multinacionais, 80% afirmou ter sofrido ao menos uma invasão proveniente de fornecedores nos últimos 12 meses, em média 2,7 ataques ao mês e cerca de 77% não tem total visibilidade e/ou controle dos níveis de segurança cibernética da sua cadeia produtiva.

Apenas 2% responderam monitorar diariamente em tempo real seu ecossistema, sendo que 11% apenas semanalmente.

Numa analogia aos mosaicos com milhares de pequenas pecas que se somam em complexos arranjos para, no todo, apresentar uma imagem espetacular, qualquer um destes fornecedores, mesmo de pequena relevância no todo, se torna uma porta de entrada para as campanhas de ataques contra o alvo principal.

Apresenta-se, portanto, um dilema: manter a estrutura atual da cadeia produtiva e condicionar os participantes a aderirem num determinado período as defesas cibernéticas definidas pela organização principal, aplicar penalidades e/ou restrições aos que não aderirem (considerando que 29% afirmaram não ter qualquer condição de identificar quando uma invasão ocorre) ou reavaliar e reclassificar os participantes pelos seus níveis de segurança dando-lhes preferência mesmo em condições de maiores preços e prazos de entrega com eventuais níveis de qualidade e produtividade inferiores?

Potencialmente surgirão disputas internas advindas dos conceitos, formações e valores dos gestores entre as áreas técnicas (CIOs e CISOs) com seus pares (CPOs, CFOs e COOs) para chegarem a um consenso ou ponto de equilíbrio aceitável na relação custos x benefícios de manter ou substituir determinados fornecedores que atendam ao modelo e pré-requisitos do Just-in-time, mas não aderentes tecnologicamente.

Estas decisões certamente irão impactar empregos associados em cidades ou mesmo países envolvidos, eventuais acordos anteriores envolvendo isenção ou benefícios fiscais e demais estruturas criadas, talvez a dezenas de anos, para sustentar este ambiente produtivo.

As evidências da propagação e prejuízos da campanha criminosa através da SolarWinds Orion não deixam dúvidas aos tomadores de decisão que este dilema terá de ser enfrentado rapidamente nos seus processos de transformação digital visando afastar sua organização de manchetes futuras, súbitas interrupções além de substanciais prejuízos diversos dos novos ataques que certamente viram a ocorrer neste padrão.

Fonte: CIO

Contran suspende certificação e licenciamento unicamente digital

Digitalização no sistema das prefeituras de São Paulo faz licenças serem aprovadas 5x mais rápido

Segurança digital ainda esbarra no comportamento das pessoas

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br   +55 11 3881 0019