Um novo estudo do Capgemini Research Institute conclui que 51% das empresas do sector industrial acredita que o número de ciberataques às fábricas inteligentes irá aumentar nos próximos 12 meses. Apesar disso, quase metade (47%) dos fabricantes afirmou que a cibersegurança das suas fábricas inteligentes ainda faz parte da lista de preocupações das suas administrações.
De acordo com o estudo “Smart & Secure: Why smart factories need to prioritize cybersecurity”, são poucos os fabricantes com práticas consolidadas nos principais pilares da cibersegurança, ainda que todos estejam conscientes de que a conectividade das fábricas inteligentes aumenta exponencialmente o risco de ciberataques na era da Indústria 4.0.
Desafios a superar
Cerca de 53% das organizações – incluindo 60% das empresas do sector da indústria pesada e 56% das empresas farmacêuticas e do sector das ciências da vida – concorda que a maioria das futuras ameaças cibernéticas terá como principais alvos as fábricas inteligentes. No entanto, o elevado nível de consciência que existe sobre esta questão não significa que as empresas estejam automaticamente preparadas para enfrentar este desafio. A cibersegurança não ser uma das principais preocupações das administrações das empresas, orçamentos reduzidos e fatores humanos, são os principais desafios que os fabricantes terão de superar na área da cibersegurança.
Geert van der Linden, Cybersecurity Business Lead da Capgemini afirma que “os benefícios da transformação digital fazem com que os fabricantes queiram investir fortemente nas fábricas inteligentes, mas estes esforços podem ser destruídos muito rapidamente se a cibersegurança não for uma das principais prioridades a ser considerada desde o início. O aumento das áreas suscetíveis a ataques, o número crescente de dispositivos de tecnologia operacional (OT) e de Internet Industrial das Coisas (IIOT) fazem das fábricas inteligentes um alvo muito apetecível para os cibercriminosos. A menos que a cibersegurança se transforme numa prioridade das administrações das empresas, dificilmente o sector industrial poderá superar os desafios nesta área, educar os seus colaboradores e fornecedores e simplificar a comunicação entre equipas de cibersegurança e líderes de negócio”.
Reforço da cibersegurança nas fábricas inteligentes
O estudo constatou que a cibersegurança não é um fator prioritário na planificação para muitas empresas do sector. Apenas 51% desenvolve práticas de cibersegurança nas suas fábricas inteligentes por defeito. Ao invés do que acontece com as plataformas de TI, nem todas poderão ser capazes de rastrear todas as máquinas de uma fábrica inteligente enquanto estas estão a funcionar.
A visibilidade a nível do sistema dos dispositivos IIOT e OT é essencial para detetar quando poderão estar comprometidos. 77% dos inquiridos pelo estudo revelou preocupação com a utilização regular de processos não standardizados nas fábricas inteligentes para reparar ou atualizar os sistemas OT/IIOT. Esta situação decorre em parte do facto de existirem poucas ferramentas e processos adequados disponíveis.
No entanto, um número elevado dos inquiridos (51%) afirmou que os ciberataques às fábricas inteligentes são, sobretudo, provenientes das redes de parceiros e fornecedores. Desde 2019, 28% das empresas inquiridas disse que registou um aumento de 20% no volume de colaboradores ou fornecedores a usarem dispositivos infetados (isto é, computadores portáteis e outros dispositivos portáteis) para instalar e reparar as máquinas das fábricas inteligentes.
Principal ameaça à cibersegurança são as pessoas
No que diz respeito a incidentes, apenas algumas das organizações inquiridas afirmaram que as suas equipas de cibersegurança possuem os conhecimentos e as competências necessários para realizar reparações urgentes relacionadas com a segurança, sem precisarem de apoio externo. Uma causa comum para esta insuficiência generalizada é a inexistência de um responsável pela área de cibersegurança que lidere o respetivo programa de “upskilling” necessário. Quando associado à escassez de talento, este torna-se um desafio significativo.
57% das empresas inquiridas afirma que a escassez de talento na área da cibersegurança nas fábricas inteligentes é muito maior do que na área da segurança de TI. Muitas organizações referiram que os seus analistas de cibersegurança estão sobrecarregados com a vasta gama de dispositivos OT e IIOT que têm de rastrear para detetar e prevenir as tentativas de intrusão. Além disso, os responsáveis pela área de cibersegurança revelaram que poderão não conseguir responder eficazmente aos ciberataques de que as suas fábricas inteligentes e locais de produção são alvo.
A falta de colaboração entre os administradores das fábricas inteligentes e os Chief Security Officers é também uma preocupação para mais de metade dos inquiridos. Esta ausência de comunicação dificulta a capacidade das empresas detetarem precocemente eventuais ataques e agrava o nível do impacto dos consequentes danos.
Vantagem competitiva
O estudo também revela que os Cybersecurity Leaders, as empresas que implementam práticas de cibersegurança maduras nas principais áreas da cibersegurança (sensibilização, preparação e implementação da cibersegurança em fábricas inteligentes), se destacam dos seus concorrentes em múltiplos aspetos. Nomeadamente, no reconhecimento dos padrões das ameaças na sua fase inicial de implementação (74%) e na diminuição do impacto destes ataques (72%), contra apenas 46% e 41%, respetivamente, das outras organizações.
Com base na análise e nos conhecimentos dos Cybersecurity Leaders identificados, o estudo propõe uma abordagem em seis etapas para as fábricas inteligentes desenvolverem uma estratégia robusta de cibersegurança: realizar uma avaliação inicial da cibersegurança, sensibilizar toda a organização para as ciberameaças nas fábricas inteligentes, identificar a propriedade dos riscos relacionados com os ciberataques nas fábricas inteligentes, estabelecer metas para a cibersegurança nas fábricas inteligentes, criar práticas de cibersegurança à medida das fábricas inteligentes e estabelecer uma estrutura de governação e uma política de comunicação nas TI da empresa.
