Cibersegurança na Cadeia de Abastecimento: um desafio urgente para empresas e governos

As ciberameaças, que já afetam tanto o setor privado quanto o público, tornaram-se uma das principais preocupações de segurança. Devido à interdependência entre as empresas e os diversos fornecedores, as cadeias de abastecimento são alvos cada vez mais frequentes de ciberataques, com graves consequências para as empresas, para a economia e, consequentemente, também para toda a sociedade, que depende de um abastecimento eficiente.

Os ataques de ransomware continuam a ser uma das grandes ameaças à cadeia de abastecimento. No primeiro semestre de 2024, os Estados Unidos lideraram o ranking global de ataques de ransomware, com mais de 1.000 incidentes. Na Europa, o Reino Unido, Alemanha, Itália e Espanha foram os países mais afetados e setores como a indústria transformadora, a consultoria e os serviços foram os principais alvos, revelando o crescente risco para diferentes áreas da economia.

Os impactos de um ataque à cadeia de abastecimento podem ser devastadores, com a interrupção da produção, comprometimento de dados sensíveis e até o colapso de serviços essenciais. A falta de preparação de muitas empresas, devido à complexidade dessas ameaças, agrava ainda mais o cenário. Cada fornecedor, parceiro ou prestador de serviços pode representar uma vulnerabilidade, o que exige uma abordagem coletiva de cibersegurança ao longo de toda a cadeia de abastecimento.

Esta situação é reforçada com a componente do cumprimento legal, com o prazo de cumprimento da NIS2 a aproximar-se, sendo que Portugal deve adotar e publicar as medidas necessárias para cumprir a NIS2 até 17 de outubro de 2024. A NIS2 surge como uma resposta importante a esta realidade, exigindo que empresas e prestadores de serviços adotem normas de segurança mais rigorosas. Esta legislação visa reduzir as vulnerabilidades, especialmente em infraestruturas críticas. Contudo, a implementação desta direta deve ser vista como uma oportunidade para fortalecer as ciberdefesas das entidades, e não apenas como uma obrigação legal.

Também o DORA, regulamento que entrou em vigor em 16 de janeiro de 2023 e será aplicável a partir de 17 de janeiro de 2025, com enfoque nas entidades financeiras, tem a gestão de risco da cadeia de abastecimento das TIC como um dos seus pilares principais.

Setores como saúde e energia são, especialmente, vulneráveis, devido à sua dependência crescente de tecnologias digitais e à importância dos serviços que prestam às comunidades. A pandemia de Covid-19 acelerou a digitalização da saúde, e o conflito entre a Rússia e a Ucrânia agravou os desafios no setor energético. A proteção dessas infraestruturas é vital, considerando que a execução de ciberataque pode interromper serviços críticos, como hospitais ou o abastecimento das redes elétricas, abastecimento de águas, entre outros.

Mais do que uma questão técnica, a cibersegurança tornou-se uma prioridade estratégica. As ameaças evoluem constantemente e os atacantes utilizam técnicas cada vez mais sofisticadas. Para se protegerem, as organizações precisam de melhorar as suas infraestruturas de segurança e adotar uma postura de vigilância contínua, com deteção e atuação perante ciberataques em tempo real. Assim, a colaboração entre os setores público e privado é crucial. A ameaça cibernética é demasiado vasta e complexa para ser enfrentada por organizações de forma isolada e uma partilha eficaz de informações, bem como uma abordagem coordenada, são essenciais para uma defesa mais robusta contra ciberataques.

Em última análise, a cibersegurança é uma responsabilidade coletiva. Se não forem adotadas medidas preventivas para proteger cadeias de abastecimento e infraestruturas críticas, as consequências podem ser catastróficas: interrupções de serviços essenciais e perda de dados sensíveis de milhões de pessoas. A cibersegurança deve ser encarada como um investimento essencial para a proteção do futuro digital, e não apenas como um custo ou uma obrigação regulatória.

Conteúdo co-produzido pela MediaNext e pela S21sec