Introdução: Base do atual perfil de risco - "Como chegámos até aqui?"

Os fabricantes dos EUA enfrentam uma série de desafios de cibersegurança que ameaçam as suas operações, reduzem a produtividade e põem em risco a sua propriedade intelectual e os seus dados. Nos últimos dois anos, o sector da indústria transformadora tem sido a indústria mais visada pelos ataques de ransomware,[1] com os fabricantes a gastarem uma média de 1,82 milhões de dólares por ataque em 2023, sem incluir quaisquer pagamentos de resgate.[2]

Estes desafios e riscos de cibersegurança são exacerbados pela simples realidade de que as operações de fabrico dependem frequentemente de vários sistemas interligados que não foram concebidos a pensar na cibersegurança. A adaptação desses sistemas pode ser dispendiosa e complexa. Mas os fabricantes com sistemas mais modernos não escapam aos riscos. Embora a rápida integração da tecnologia e da conetividade nas operações de fabrico tenha trazido níveis de inovação e eficiência sem precedentes, também expande exponencialmente a área de superfície dos ciberataques e cria novas categorias de vulnerabilidades.

Descarregar o relatório

Igualmente problemático é o aumento da sofisticação, da frequência e do custo da resposta a ataques cibernéticos. De acordo com um estudo recente da empresa de cibersegurança Sophos, 56% dos inquiridos no sector da indústria transformadora sofreram um ataque de ransomware entre janeiro e março de 2023[3]. Destes, apenas uma em cada quatro empresas conseguiu impedir os ataques antes de os seus dados serem totalmente encriptados e mais de um terço recorreu ao pagamento de um resgate para tentar recuperar os dados[4].

Para navegar no espetro dos desafios da cibersegurança, os fabricantes dos EUA devem adotar uma abordagem holística para salvaguardar as suas operações e dados e avançar para um sistema que proteja a empresa e ajude a aumentar a rentabilidade. Neste documento, começamos por delinear os cinco principais desafios de cibersegurança que os fabricantes enfrentam, identificamos formas de gerir esses riscos e descrevemos as considerações legais e de seguros que os fabricantes devem ter em conta ao abordar estas questões. Em seguida, propomos novas abordagens que têm o potencial de inaugurar uma nova era de fabrico inteligente e seguro que converte a cibersegurança de um centro de custos para um centro de lucros orientado para o valor. Na secção final, descrevemos o poder das parcerias público-privadas na resolução dos desafios da cibersegurança.

I. Navegar no terreno complexo dos desafios da cibersegurança

A criação de uma abordagem holística para salvaguardar as operações e proteger os dados requer a consideração de vários desafios de cibersegurança inerentes às operações de fabrico. Sem minimizar a importância de outros desafios exclusivos de um determinado fabricante, eis cinco desafios quotidianos fundamentais.

1. A proliferação da Internet das Coisas Industrial (IIoT)

O primeiro desafio decorre da crescente adoção da Internet Industrial das Coisas (IIoT)(ver Figura A abaixo). Embora estes dispositivos e sistemas de automação da IIoT aumentem a produtividade e a eficiência, estão muitas vezes inadequadamente protegidos e expandem a superfície de ataque para os cibercriminosos e os adversários do Estado-nação. As vulnerabilidades num único dispositivo podem desencadear um efeito em cascata, resultando na infiltração de toda uma rede de fabrico, interrompendo as operações, violações de dados e até mesmo danos físicos a trabalhadores humanos.

Figura A[6]

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

2. Escassez de profissionais qualificados em matéria de cibersegurança

A escassez de profissionais qualificados em cibersegurança no sector da indústria transformadora é uma preocupação empresarial significativa que pode transformar-se num desafio de segurança nacional. Os fabricantes precisam de especialistas que compreendam tanto as complexidades dos processos industriais como a forma de os proteger. Sem estes especialistas, as empresas podem ser vítimas de vários vectores de ataque, o que resulta em perdas económicas e reduções de produtividade. A nível nacional, os adversários dos estados-nação procuram ativamente vulnerabilidades cibernéticas que possam ser exploradas para prejudicar as capacidades de produção críticas dos EUA.

3. Vulnerabilidades da cadeia de abastecimento

As vulnerabilidades da cadeia de abastecimento representam uma grave ameaça para os fabricantes dos EUA e para a economia global. As redes entrelaçadas da cadeia de suprimentos global que sustentam as operações de fabricação permitem que os cibercriminosos tenham a capacidade de atingir e explorar os elos mais fracos e menos protegidos da cadeia de suprimentos. Em 2023, assistimos a um crescimento significativo de ciberataques dirigidos à cadeia de abastecimento, em particular ataques a software, hardware e serviços de terceiros[7].

Ao visar organizações mais pequenas com infra-estruturas de cibersegurança menos robustas, os cibercriminosos podem então aproveitar o comprometimento de terceiros para obter acesso e comprometer os sistemas dos fabricantes fornecidos por essas entidades. Qualquer elo fraco na cadeia de abastecimento pode levar à introdução de código malicioso ou de backdoors nos produtos ou ao comprometimento de sistemas de rede completos. Consequentemente, os fabricantes devem ser mais diligentes na seleção dos seus parceiros externos, o que implica verificações de conformidade mais rigorosas para examinar as ferramentas cibernéticas utilizadas por esses potenciais parceiros.

4. Colmatar o fosso TI-OT

Uma outra vulnerabilidade pode resultar da convergência das tecnologias da informação (TI) e das tecnologias operacionais (TO) e da possibilidade de falhas de comunicação entre culturas de segurança diferentes. As TI centram-se na integridade e confidencialidade dos dados, enquanto as TO dão ênfase à segurança e fiabilidade. A fusão destes domínios sem um alinhamento e comunicação adequados pode dar origem a confusão, configurações incorrectas e vulnerabilidades que os cibercriminosos podem explorar.

5. Cenário de ciberameaças em constante evolução

Os cibercriminosos são cada vez mais bem financiados e dotados de recursos por estados-nação interessados em perturbar não só os nossos fabricantes, mas também a economia global. Também empregam uma bateria de ameaças em constante evolução, que vão desde o malware tradicional às explorações de dia zero e aos ataques de ransomware. À medida que os cibercriminosos continuam a evoluir e a visar o sector da indústria transformadora, os fabricantes devem esperar ataques ainda mais matizados que reduzem a produtividade da indústria transformadora e prejudicam as infra-estruturas e os funcionários dos fabricantes. Os fabricantes devem manter-se proactivamente à frente desta situação, adoptando medidas preventivas e implementando Arquitecturas Seguras Defensáveis de próxima geração e outras tecnologias discutidas mais adiante neste artigo.

Os fabricantes dos EUA enfrentam um cenário de cibersegurança complexo e em rápida evolução. A integração da IIoT, as vulnerabilidades da cadeia de abastecimento, a escassez de profissionais formados, a convergência TI-OT e uma miríade de protocolos (e fornecedores que oferecem "soluções") contribuem para este desafio. Embora as empresas individuais suportem o risco e o custo da cibersegurança, a agregação do risco coletivo para os fabricantes dos EUA pode representar uma ameaça significativa para as economias dos EUA e mundial.

II. Gerir os riscos cibernéticos atualmente

Os fabricantes precisam de adotar uma abordagem integrada e multifacetada para mitigar os riscos de cibersegurança. Esta nova abordagem deve evoluir mais rapidamente, ser mais ágil do que os adversários e introduzir inovações que forneçam garantias de segurança verificáveis dos processos físicos. Na era em que os mundos digital e físico se interligam, a segurança dos processos de fabrico e dos dados é de importância primordial para garantir a competitividade global e a resiliência do sector da indústria transformadora dos EUA.

Os fabricantes não devem permitir-se uma falsa sensação de segurança. Por exemplo, o termo "Arquitetura Segura" pode ser enganador, uma vez que:

Conota uma combinação de defesa de perímetro + segurança de dados;
Frequentemente envolve controlos de segurança inadequados que são aplicados apenas a um aspeto limitado das operações ou de uma cadeia de abastecimento;
Tem pouca ou nenhuma consideração pelas consequências físicas no mundo real; e
Muitas vezes, está alinhado apenas com os requisitos de conformidade.

Atualmente, já existem muitas ferramentas eficazes. No entanto, estas centram-se principalmente em impedir que os intrusos acedam à rede - sendo a defesa do perímetro conseguida através da implementação de medidas de segurança robustas. Estas medidas incluem firewalls, sistemas de deteção e prevenção de intrusões, controlo de acesso seguro e air gapping. Ao controlar o acesso à rede, os fabricantes podem reduzir a probabilidade de uma violação. Além disso, o investimento na formação e sensibilização dos funcionários para a cibersegurança reduz ainda mais o risco, uma vez que o elemento humano representa o maior risco de cibersegurança. Os funcionários são muitas vezes a primeira linha de defesa contra as ciberameaças, pelo que é fundamental formá-los para reconhecerem e-mails de phishing, tentativas de engenharia social e os riscos associados a dispositivos portáteis, como pen drives.

As actualizações regulares do software são cruciais. Estas actualizações protegem frequentemente contra vulnerabilidades conhecidas que foram recentemente expostas. Recentemente, a Agência de Cibersegurança e Segurança das Infra-estruturas (CISA) publicou um parecer conjunto sobre cibersegurança, confirmando que os agentes de ameaças visam geralmente vulnerabilidades de software mais antigas, porque são frequentemente formas de baixo custo e com impacto de comprometer um alvo[8]. Os fabricantes estão perfeitamente conscientes de que o software desatualizado contém milhares de vulnerabilidades cibernéticas que os cibercriminosos podem explorar. Ao manter o software atualizado em todo o sistema, os fabricantes podem fechar potenciais pontos de entrada para os atacantes. No entanto, a aplicação de correcções por si só nem sempre é suficiente; as organizações precisam de aplicar técnicas de deteção sugeridas para uma monitorização contínua. Nalguns casos, os atacantes podem fazer engenharia inversa das actualizações e encontrar formas de contornar os patches lançados com novas variantes de exploração[9], o que realça a necessidade de as organizações monitorizarem continuamente as suas redes e sistemas.

Como resultado, a colaboração com vendedores e fornecedores terceirizados também pode reduzir o risco. Um Centro de Análise e Partilha de Informações sobre Fabrico (ISAC) recentemente lançado(https://www.mfgisac.org/) é uma fonte valiosa de informações públicas sobre as mais recentes ameaças cibernéticas. O ISAC fornece informações críticas para ajudar os fabricantes a protegerem os seus próprios sistemas. Os fabricantes também podem utilizar as informações do ISAC para impor aos seus fornecedores normas de cibersegurança mais elevadas, reduzindo drasticamente a probabilidade de riscos de ataques à cadeia de abastecimento. Os Estados Unidos também financiaram organizações encarregadas de garantir a segurança dos fabricantes americanos, incluindo o Cybersecurity Manufacturing Innovation Institute (CyManII).

Além disso, os fabricantes devem manter-se ciberconscientes e familiarizar-se com as várias ferramentas e estruturas de segurança, tais como o Instituto Nacional de Normas e Tecnologia (NIST), o Departamento de Defesa dos EUA (DoD), o Departamento de Energia dos EUA (DOE), a Agência de Segurança Nacional (NSA) e o Gabinete Federal de Investigação (FBI) e os documentos da CISA. Estas organizações fornecem informações sobre as ciberameaças "quentes" e sobre a forma de as mitigar de forma proactiva. Os fabricantes devem também estabelecer um plano de resposta a incidentes e preparar-se para responder, incluindo a forma de comunicar o incidente e a quem.

Um fabricante pode manter-se um passo à frente na atual guerra da cibersegurança através da implementação de mecanismos avançados de deteção e resposta a ameaças. Por exemplo, os sistemas de deteção de intrusões monitorizam continuamente o tráfego de rede para detetar padrões suspeitos, enquanto a análise avançada e a aprendizagem automática ajudam a identificar anomalias que, muitas vezes, podem indicar um ciberataque em curso. Esses sistemas, associados a planos de resposta rápida a incidentes abrangentes e bem treinados, minimizam ainda mais os danos em caso de suspeita de violação.

Infelizmente, estas precauções, por si só, podem ser insuficientes para proteger os fabricantes. É fundamental recordar o problema subjacente: os sistemas utilizados não foram concebidos com a segurança em mente. Embora as abordagens "parafuso a parafuso" disponíveis, acima referidas, possam ajudar a reforçar a segurança e a proteger contra ciberataques, não podem fazer muito. Os fabricantes devem evoluir e implementar estratégias novas e inovadoras para proteger os fabricantes dos EUA, sustentar e fazer crescer a economia e permanecer globalmente competitivos.

Cubos tecnológicos — "Um fabricante pode manter-se um passo à frente na atual guerra da cibersegurança através da implementação de mecanismos avançados de deteção e resposta a ameaças."

III. Implicações jurídicas, obrigações e responsabilidades

Para além dos riscos de cibersegurança acima referidos, os fabricantes devem compreender as várias obrigações e implicações legais, incluindo responsabilidades financeiras e legais potencialmente significativas.

1. Legislação atual e obrigações legais

Em resposta às crescentes ameaças à cibersegurança, os Estados Unidos introduziram várias medidas legislativas e executivas para reforçar a proteção das infra-estruturas críticas. A nível federal, estas acções incluem, mas não se limitam a:

Lei da Agência para a Cibersegurança e a Segurança das Infra-estruturas (CISA) de 2018: Esta lei estabeleceu a CISA como a principal agência federal responsável pela segurança das infra-estruturas críticas. As funções e o papel da CISA abrangem
- Rápida implementação: A responsabilidade da CISA inclui a mobilização rápida de recursos e apoio às entidades afectadas para atenuar as ciberameaças em curso.
- Análise de incidentes: A CISA analisará os incidentes comunicados para identificar padrões e tendências, aumentando a capacidade de responder eficazmente às ameaças emergentes.
- Partilha de informações sobre ameaças: A CISA facilitará a partilha eficiente de informações sobre ameaças entre entidades, promovendo uma postura colectiva de defesa da cibersegurança.
Lei de Comunicação de Incidentes Cibernéticos para Infra-estruturas Críticas (CIRCIA): Assinada em março de 2022, a CIRCIA exige que as empresas de infraestrutura crítica, incluindo aquelas no setor de manufatura crítica, relatem incidentes materiais de segurança cibernética e pagamentos de ransomware à CISA dentro de 72 e 24 horas, respetivamente.
A Comissão de Valores Mobiliários dos EUA (SEC): Em março de 2022, a SEC propôs uma regra que exige que as empresas cotadas em bolsa comuniquem os incidentes de cibersegurança, as suas capacidades de cibersegurança e os conhecimentos especializados e a supervisão da cibersegurança do seu conselho de administração.
Suplemento ao Regulamento de Aquisição Federal de Defesa (DFARS): Os fabricantes que contratam com o DoD devem cumprir o DFARS, que impõe requisitos específicos de cibersegurança aos contratantes. Isto inclui a proteção de informações não classificadas controladas (CUI) e o cumprimento das normas da Publicação Especial 800-171 do NIST. O não cumprimento destes requisitos pode resultar na rescisão do contrato e em consequências legais.
Comissão Federal de Regulamentação da Energia (FERC): A FERC estabelece normas de cibersegurança para o sector da energia, a fim de proteger a infraestrutura energética crítica da nação. A conformidade com os regulamentos da FERC é essencial para os fabricantes e serviços públicos relacionados com a energia. O não cumprimento pode resultar em penalizações, perda de licenças e danos na fiabilidade da rede de energia.

A conformidade com os requisitos de comunicação impostos por legislação como a CIRCIA e a FERC é fundamental. O não cumprimento destes requisitos pode resultar em penalizações substanciais e repercussões legais. Embora a CISA tenha até março de 2024 para desenvolver e finalizar os regulamentos que exigem que as entidades abrangidas comuniquem os incidentes cibernéticos abrangidos e os pagamentos de ransomware à CISA,[10] é encorajada a partilha proactiva de informações durante o período de regulamentação. Por conseguinte, as entidades dos 16 sectores de infra-estruturas críticas definidos pela CISA, incluindo as do sector transformador crítico, e todos os registantes junto da SEC devem considerar e preparar-se para comunicar incidentes às autoridades competentes e cumprir os regulamentos aplicáveis.

Legislação estadual emergente: Vários estados, incluindo o Colorado, a Florida, Maryland e Nova Iorque, estão a trabalhar ativamente em legislação relacionada com a cibersegurança das infra-estruturas críticas. Embora estes projectos de lei ainda não tenham sido aprovados, é provável que seja apenas uma questão de tempo até se tornarem lei[11].

Estas medidas legislativas visam melhorar a partilha de informações, desenvolver normas de cibersegurança e reforçar as parcerias público-privadas para proteger as infra-estruturas críticas. No entanto, as entidades abrangidas devem começar a preparar-se e a garantir a conformidade em caso de incidente cibernético.

2. Potenciais responsabilidades legais

Os fabricantes enfrentam várias responsabilidades legais na eventualidade de um incidente de cibersegurança e devem considerar estas questões como parte da sua resposta a um incidente.

Leis de proteção de dados: Se um ataque de cibersegurança envolver uma violação de dados pessoais, os fabricantes podem ser responsabilizados com base nas leis de proteção de dados. Por exemplo, se uma empresa de fabrico controlar grandes quantidades de dados pessoais, incluindo dados de clientes ou funcionários, estará sujeita a leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (RGPD) na União Europeia, a Lei dos Direitos de Privacidade da Califórnia (CPRA) e outras leis de privacidade de dados estatais abrangentes nos Estados Unidos. O incumprimento destas leis pode levar a multas e sanções regulamentares significativas, que podem atingir 4% do volume de negócios global anual ou 20 milhões de euros ao abrigo do RGPD. Além disso, os fabricantes podem enfrentar uma responsabilidade considerável decorrente de acções colectivas intentadas por indivíduos afectados. Do mesmo modo, o incumprimento dos requisitos federais, como o CIRCIA, pode resultar em sanções, coimas ou encerramento total.
Responsabilidade de Diretores e Administradores: Os diretores e executivos de empresas industriais têm deveres fiduciários para com os acionistas e podem enfrentar acções judiciais por uma alegada violação dos deveres fiduciários. Por exemplo, o dever de cuidado de um diretor ou funcionário pode ser interpretado como uma obrigação de implementar medidas razoáveis de cibersegurança. Se um ataque à cibersegurança resultar em perdas financeiras significativas, os administradores e diretores poderão ser responsabilizados por violação do dever de diligência. Do mesmo modo, se um ataque à cibersegurança resultar de uma falha na verificação e monitorização adequadas das políticas e procedimentos de cibersegurança de um fornecedor ou de um terceiro, os fabricantes podem enfrentar potenciais acções judiciais alegando uma violação do dever de diligência exigido. Os acionistas também podem intentar acções judiciais alegando que a negligência dos administradores e diretores na abordagem dos riscos de cibersegurança resultou em perdas financeiras.
Implicações para a propriedade intelectual (PI): Os incidentes de cibersegurança que envolvam a perda ou divulgação de propriedade intelectual, em particular nos casos de espionagem industrial, podem conduzir a responsabilidades legais dispendiosas.
Obrigações contratuais: Os fabricantes podem ser responsabilizados por violação de contrato se um ataque de cibersegurança perturbar a sua capacidade de cumprir as obrigações contratuais. Os contratos contêm frequentemente cláusulas relacionadas com a proteção de dados e a cibersegurança necessárias, e o incumprimento destas obrigações contratuais pode ter várias consequências legais.

3. Considerações sobre o seguro cibernético

Combater o aumento das ciberameaças e cumprir os crescentes requisitos legais pode ser dispendioso. O seguro cibernético desempenha um papel crucial na redução dos riscos financeiros associados às ciberameaças. Os fabricantes devem considerar cuidadosamente os vários aspectos do seguro cibernético. Estas apólices são normalmente constituídas por dois componentes principais:

Cobertura do primeiro interveniente: Este aspeto da apólice aborda os custos diretos incorridos pelo fabricante como resultado de um incidente cibernético. Inclui cobertura para resposta a violações de dados, interrupção de negócios e despesas de restauração de dados. Por exemplo, se um ataque de ransomware perturbar as operações, a cobertura de interrupção da atividade pode ajudar a compensar a perda de receitas durante o período de inatividade.
Cobertura de terceiros: A cobertura de terceiros lida com questões de responsabilidade decorrentes de um incidente cibernético. Inclui proteção contra custos legais, tais como os associados à defesa contra processos judiciais devido a violações de dados, violações de privacidade e roubo de propriedade intelectual. Os fabricantes podem também estar cobertos por coimas e penalizações regulamentares.

A determinação do nível e do âmbito adequados da cobertura de seguro cibernético começa com uma avaliação abrangente dos riscos. Os fabricantes devem avaliar as potenciais perdas financeiras, responsabilidades legais, custos de conformidade regulamentar e danos à reputação para adaptar adequadamente a cobertura de seguro às necessidades específicas e à tolerância ao risco.

IV. Abordagem proactiva dos riscos cibernéticos

O verdadeiro estatuto de cibersegurança exige mais do que aplicações "bolt-on" dispendiosas e intermináveis. Os fabricantes devem colaborar com peritos cibernéticos e jurídicos para desenvolver "arquitecturas seguras e defensáveis" com as seguintes caraterísticas

A implementação do ciclo de vida da engenharia digital em toda a cadeia de abastecimento;
Consideração de cada operação, máquina e pessoa como um "nó" nesta conceção digital para integrar sem problemas a cadeia de abastecimento com as operações;
Capturar cada nó numa identidade ciber-física (passaporte) que fornece:
- Garantias de funções físicas;
- Ligação da segurança à qualidade do produto e à eficiência energética/emissões (energia incorporada); e
Propriedades de segurança verificáveis que são extensíveis a múltiplos domínios.

Como parte das Arquitecturas Seguras Defensáveis, os fabricantes têm de desenvolver um Passaporte Ciber-Físico que garanta que todas as cadeias de fornecimento "nascem qualificadas" e "enraizadas na confiança". A figura B abaixo ilustra onde estamos hoje (triângulo azul) e as inovações sequenciais que precisam ser desenvolvidas e implantadas pelos fabricantes dos EUA. É importante ressaltar que essa figura também captura como prevemos avanços em três frentes: segurança cibernética; qualidade e integridade; e produtividade, eficiência energética e descarbonização.

Assim, uma abordagem integrada e arrojada que converte a cibersegurança de um centro de custos num centro de lucros. O lucro dos investimentos em cibersegurança é devolvido através (a) da verificação da integridade e da qualidade dos produtos como uma vantagem de venda e (b) da otimização da eficiência energética e da redução das emissões ao nível das instalações e da rede da cadeia de abastecimento. A cibersegurança passa de um investimento sem fim e sem resultados verificáveis para uma estratégia de investimento que conduz a garantias de segurança verificáveis dos processos físicos e dos produtos, aumentando simultaneamente a qualidade e a integridade e diminuindo a utilização de energia e as emissões.

Figura B

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Deve ser considerado um fator adicional - a deteção e atenuação das vulnerabilidades cibernéticas. No cenário em rápida evolução das ciberameaças, a abordagem das fraquezas, enumerações e vulnerabilidades cibernéticas é fundamental para mitigar os riscos cibernéticos. Um ponto fraco cibernético refere-se a uma falha ou suscetibilidade na conceção ou implementação de um sistema. Estas fraquezas podem surgir devido a erros de codificação, configurações incorrectas, controlos de segurança inadequados ou erros humanos. As enumerações envolvem a sondagem sistemática de um sistema alvo para recolher informações sobre a sua arquitetura, serviços e potenciais pontos de entrada. As vulnerabilidades cibernéticas são lacunas na segurança de um sistema que podem ser exploradas para obter acesso não autorizado, interromper operações ou roubar dados. Estas vulnerabilidades podem resultar de erros de software, software desatualizado ou mecanismos de autenticação fracos.

Atualmente, os fabricantes perseguem as vulnerabilidades cibernéticas "corrigindo-as" através de actualizações de software. No entanto, dado o vasto e crescente número de vulnerabilidades, muitos consideram esta abordagem demasiado dispendiosa e não escalável. Em vez disso, os fabricantes devem desenvolver listas abrangentes de pontos fracos cibernéticos (em que cada ponto fraco reflecte milhares a milhões de vulnerabilidades), categorizá-los, enumerá-los e, em seguida, desenvolver anexos de ataque dedicados para orientar as estratégias de atenuação. Organizações como a MITRE, com o contributo da CyManII e de muitas empresas, desenvolveram uma lista abrangente de pontos fracos cibernéticos(https://cwe.mitre.org/), e a CyManII está a desenvolver anexos de ataque ao fabrico para permitir que os fabricantes dos EUA abordem os pontos fracos (e as vulnerabilidades) que crescem a uma escala sem precedentes.

Um desafio adicional é a falta de experiência do fornecedor de serviços de segurança gerida (MSSP) no estado atual dos fabricantes de pequena e média dimensão (SMM). Muitas vezes, as PMEs subcontratam a sua segurança, acreditando que as suas necessidades cibernéticas são adequadamente tratadas, apenas para descobrirem que não é esse o caso quando se deparam com uma nota de ransomware. Muitos MSSP sobrestimam as suas capacidades e a visibilidade das funções críticas de uma PME, ao mesmo tempo que não dispõem de pessoal suficiente para as suas operações devido à falta de mão de obra e de margens de lucro. A CyManII recomenda que os SMMs tentem se autocurar por meio de soluções de ajuda mútua e ferramentas adequadas, em vez de simplesmente depender de terceiros. A CyManII está a desenvolver uma IA generativa para este efeito e para a implementação correta dos controlos de segurança associados a uma resposta precoce e adequada a uma tentativa de intrusão. A combinação desta abordagem com anexos de ataque contra categorias inteiras de Enumerações de Fraquezas Comuns (CWEs) é inovadora. Poderemos estar na encruzilhada de levar a cibersegurança da adolescência pesada para a maturidade.

Temos também de equipar os fabricantes com uma mão de obra ciberconsciente. Para isso, temos de desenvolver e implementar formação em grande escala. A CyManII desenvolveu um extenso currículo OT-ICS centrado no fabrico, ministrado presencialmente, virtualmente e em linha. Utilizando esta abordagem e trabalhando com vários parceiros (SME ToolingU, Cyber Readiness Institute, etc.), estamos a aproximar-nos rapidamente de 1 milhão de trabalhadores que estão a receber competências superiores em cibersegurança. A adição deste conjunto de competências aos fabricantes dos EUA conduz a operações mais seguras do ponto de vista cibernético, minimizando o tempo de inatividade e os problemas de produção decorrentes de ciberataques.

Imagem do herói da inteligência de dados. — A cibersegurança é um desporto de equipa, e as PPP permitem que as equipas mais fortes trabalhem em conjunto - ou talvez "Secure.TOGETHER".

V. O poder das parcerias público-privadas na abordagem das ciberameaças na indústria transformadora

A indústria transformadora encontra-se na encruzilhada do avanço tecnológico e do aumento dos riscos de cibersegurança. Nesta era digital, as Parcerias Público-Privadas (PPP) emergem como uma força formidável na abordagem e mitigação das ameaças cibernéticas que os fabricantes dos EUA enfrentam (e são uma parte crítica da conformidade CIRCIA). As PPP forjam colaborações, cooperação e contratos entre o governo, empresas privadas e especialistas em cibersegurança. Esta sinergia aproveita a força de cada sector para reforçar coletivamente as defesas contra as ciberameaças. Ao reunir recursos, conhecimentos e competências, as PPP desenvolvem estratégias abrangentes e integradas que introduzem inovações no mercado.

Os fabricantes beneficiam das PPP através do acesso a informações sobre ameaças em tempo real, orientações sobre as melhores práticas e a implementação de normas para todo o sector. Mais importante ainda, as PPP envolvem as empresas na investigação, desenvolvimento e implementação de novas inovações cibernéticas nas suas operações e instalações de fabrico, permitindo que os fabricantes se protejam melhor contra a evolução das vulnerabilidades.

A cibersegurança é um desporto de equipa, e as PPP permitem que as equipas mais fortes trabalhem em conjunto - ou talvez "Secure.TOGETHER". Numa era em que as ciberameaças podem perturbar as operações, comprometer dados confidenciais, afetar a segurança nacional e ameaçar a nossa economia, as PPP oferecem um mecanismo de defesa robusto. A união dos sectores público e privado é vital, uma vez que estas PPP são o ponto de partida para fortalecer a ciber-resiliência da indústria transformadora e garantir um crescimento sustentado no nosso mundo digital.

Mais informações sobre o CyManII

Lançado em 2020 pelo Departamento de Energia dos EUA, o CyManII trabalha com a indústria transformadora, instituições académicas e de investigação e agências governamentais federais para desenvolver tecnologias que permitam a segurança e o crescimento do sector transformador dos EUA. A Foley & Lardner é atualmente membro do CyManII.

Informações adicionais sobre os riscos de cibersegurança enfrentados pelos fabricantes estão disponíveis em Recommendations for Managing Cybersecurity Threats in the Manufacturing Setor, também em coautoria com Foley & Lardner e CyManII.

Autores

Parceiro

312.832.4367

Associado

312.832.4389

Diretor Executivo
Cybersecurity Manufacturing Innovation Institute

[1] "X-Force Threat Intelligence Index 2023", IBM Security, fevereiro de 2023.

[2] "The State of Ransomware in Manufacturing and Production 2023", Sophos, junho de 2023 (inquérito de 14 países a fabricantes com 100-5 000 trabalhadores).

[3] Id.

[4] Id.

[5] Id.

[6] "An accelerating IoT adoption rate will benefit the digital economy," Delta2020, 29 de novembro de 2016. Disponível em: https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7] "Q2 2023 Threat Landscape Report: All Roads Lead to Supply Chain Infiltrations", Kroll, 2023.

[8] "CISA, NSA, FBI e parceiros internacionais emitem um aviso sobre as principais vulnerabilidades exploradas de forma rotineira em 2022", Agência de Segurança Nacional/Serviço Central de Segurança, 3 de agosto de 2023. Disponível em: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/.

[9] "Finding Something New About CVE-2022-1388," VulnCheck, 13 de abril de 2023. Disponível em: https://vulncheck.com/blog/new-cve-2022-1388

[10] A CISA deve publicar um Aviso de Proposta de Regulamentação (NPRM) no prazo de 24 meses após a promulgação da CIRCIA - o que faz com que o prazo do NPRM seja março de 2024.

[11] "Cybersecurity Legislation 2022," National Conference of State Legislature, 22 de julho de 2022. Disponível em: https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12] O ciclo de vida da engenharia digital refere-se ao processo de ponta a ponta de desenvolvimento e gestão de produtos ou sistemas digitais. Abrange várias fases, desde a concetualização até à retirada e inclui actividades como a conceção, a simulação, a criação de protótipos, os testes, a implementação e a manutenção. Essencialmente, trata-se de uma estrutura abrangente que utiliza tecnologias e ferramentas digitais para otimizar e melhorar os processos de engenharia tradicionais.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.