Todos nós fomos surpreendidos com a notícia no início do mês de Junho sobre o ataque cibernético sofrido pela JBS (veja a reportagem aqui). A JBS, uma das maiores produtoras de carne bovina e suína do mundo, foi vítima de um grande ataque cibernético no fim de semana do Memorial Day (31/05/21), levando ao fechamento de fábricas na América do Norte e Austrália.
Em 2 de junho, o FBI divulgou um comunicado atribuindo o ataque ao REvil, um grupo de língua russa que fez algumas das maiores demandas de ransomware nos últimos meses. Ransomware é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido. Caso isso não ocorra, arquivos podem ser perdidos e até mesmo publicados.
Em 9 de junho, a subsidiária da JBS nos Estados Unidos informou que pagou o equivalente a US$ 11 milhões em resgate após o ataque hacker à sua operação no país. A empresa afirmou que a maioria de seus frigoríficos estava em plena operação no momento do pagamento. Em comunicado, a JBS apontou que a decisão de pagar o resgate foi tomada após consultar especialistas em segurança digital. O objetivo, segundo a companhia, foi reduzir problemas relacionados à invasão e evitar o vazamento de dados.
Ataques de hackers são cada dia mais comuns e estão, na maior parte das empresas certificadas em uma norma reconhecida pelo GFSI, mapeados nos Planos de Food Defense – já falamos sobre isso aqui no Food Safety Brazil.
A Revista Food Quality & Safety, na ocasião do evento da JBS, conversou com Stephen Streng, analista de defesa de alimentos do Food Protection and Defense Institute da University of Minnesota em St. Paul, e a fala dele pode nos trazer vários insights, inclusive relacionados à cultura de segurança de alimentos.
“As melhores práticas de segurança cibernética e controles de segurança para sistemas de TO [tecnologia operacional] e TI são bem conhecidos e há uma tonelada de recursos disponíveis”.
“O maior problema é assumir o compromisso de implementá-los, pois isso custa tempo e dinheiro. Esperançosamente, com a recente onda de ciberataques amplamente divulgada, as empresas começarão a ver que custará mais não dar atenção e recursos adequados à segurança cibernética. ”
“A maioria dos processadores e fabricantes de alimentos tem uma grande cultura de segurança de alimentos. Eles precisam incorporar a segurança cibernética porque, especialmente quando se trata de TO, a segurança cibernética insatisfatória é um problema de segurança de alimentos.”
A reportagem completa você encontra aqui.
Ao ler isso eu me perguntei se nós, profissionais da indústria de alimentos aqui no Brasil, sabemos o que é TO. Você já ouviu falar? Entenda aqui.
Ao pesquisar mais sobre o assunto, encontrei alguns dos riscos relacionados à segurança de TO que as empresas de alimentos e bebidas enfrentam. Estes incluem:
- Infecção por malware (caso JBS) – sem os controles de segurança adequados, ambas as ameaças direcionadas e não direcionadas têm a liberdade de manobra de ambientes de TI para TO. O potencial transbordamento de um ataque de malware para redes TO pode ser caro – interrompendo a produção e criando problemas de segurança e conformidade;
- Ameaça de acesso remoto de terceiros – fornecedores externos acessam remotamente as redes de TO das fábricas para fazer a manutenção das máquinas existentes, incluindo a realização de correção de erros e leituras de desempenho. Isso expõe os sistemas e controladores no chão de fábrica a um possível comprometimento se os sistemas da parte autorizada forem infectados com malware, suas credenciais de acesso forem roubadas ou se eles não aderirem às práticas recomendadas de segurança. Também é importante ter visibilidade do uso não autorizado e inadequado do acesso;
- Alteração na operação do controlador em instalação remota – as instalações de tratamento de água, que garantem água potável para o processo de fabricação, normalmente estão fisicamente isoladas da planta. Espera-se que os sistemas que administram essas instalações operem da mesma maneira todos os dias. Qualquer mudança pode indicar uma ameaça de contaminação da água, mas a maioria das empresas não tem visibilidade granular desses sistemas para entender e explicar as mudanças. Ataques cibernéticos à estações de tratamento de água nos Estados Unidos têm acontecido nos últimos anos. Veja a reportagem sobre esses casos aqui.
Diante de tudo isso, fica a pergunta: será que os nossos planos de Food Defense estão realmente adequados quando falamos de ataques cibernéticos? Quais são as possíveis ações de mitigação? O pessoal de TI da sua empresa faz parte da equipe de Food Defense? Os sistemas de TO utilizados pela sua empresa foram mapeados e/ou contemplados dentro da sua avaliação de Food Defense? Os sistemas de TI e TO da sua empresa convergem de forma adequada?
A grande verdade é que quando falamos de segurança de alimentos nos dias atuais, podemos usar Shakespeare: “Há mais coisas entre o céu e a terra do que sonha a nossa vã filosofia”.