Considerações sobre segurança de dados para a indústria de peças automotivas
A indústria automotiva está atualmente passando por uma das maiores transformações tecnológicas de qualquer campo. O advento da condução autônoma e o aumento da conectividade está mudando a forma como as montadoras, fabricantes de peças automotivas e cadeias de fornecimento operam, criando novos modelos de negócios em constante evolução. Sistemas conectados de computadores automotivos também significam mais dados coletados e processados, trazendo maiores riscos de ciberataques.
De acordo com o Relatório Global de Cibersegurança Automotiva 2021 da Upstream Security, mais de 200 ciberataques automotivos foram relatados publicamente em 2020. Em resposta a este crescente cenário de ameaça cibernética, a Comissão Econômica para a Europa das Nações Unidas (UNECE) publicou regulamentações que exigem que os fabricantes forneçam evidências de um Sistema de Gerenciamento de Segurança Cibernética (CSMS) certificado e um Sistema de Gerenciamento de Atualização de Software (SUMS). A partir de 2022, qualquer carro novo precisará receber estas duas certificações antes de ser aprovado para uso na estrada, e os fabricantes de equipamentos originais (OEMs) não poderão vender veículos sem elas.
Hoje, as montadoras estão organizadas em diferentes grupos, cada um focado na fabricação de diferentes peças de automóveis. Para que a cibersegurança seja eficaz, ela precisa ser uma característica fundamental de cada produto em todo o ciclo de vida de um veículo e dos sistemas de suporte por trás dos processos de fabricação e negócios. Como tal, as montadoras de automóveis começaram a implementar requisitos rigorosos de cibersegurança para qualquer empresa que deseje fazer parte de sua cadeia de fornecimento.
A importância da segurança dos dados para os fabricantes de peças automotivas
Organizações automotivas em todo o mundo começaram a adotar suas próprias diretrizes de segurança cibernética e regulamentos de conformidade para garantir os requisitos de segurança cibernética. Por exemplo, o grupo automotivo alemão Verband der Automobilindustrie (VDA) desenvolveu uma Avaliação de Segurança da Informação (ISA) baseada nas normas internacionais existentes ISO/IEC 27001 e 27002. Todos os fabricantes de autopeças, OEMs, parceiros e empresas que fazem parte da cadeia de fornecimento automotivo, sejam elas sediadas ou não na Alemanha devem se submeter a uma avaliação de um padrão de informação de segurança (Trusted Information Security Assessment Exchange – TISAX) para comprovar a conformidade com o ISA.
O aumento da legislação de proteção de dados em todo o mundo também significou que os fabricantes de autopeças tiveram que garantir a conformidade com regulamentos como o Regulamento Geral de Proteção de Dados da UE (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) para proteger Informações de Identificação Pessoal (PII) que coletam e processam de funcionários e clientes.
Outra consideração fundamental para os fabricantes de autopeças é a segurança da propriedade intelectual (PI), tais como projetos de produtos, código-fonte, patentes e projetos. A confidencialidade de tais informações é essencial para que as empresas mantenham sua vantagem no mercado e confiem em seus parceiros e clientes.
Proteção de dados sensíveis contra ameaças internas
Para proteger eficazmente os dados sensíveis, os fabricantes de peças automotivas precisam entender que as ameaças à segurança não vêm apenas de fora. As estratégias tradicionais de segurança cibernética tendem a adotar uma abordagem de castelo-e-fumaça que se concentra em bloquear o acesso de pessoas de fora aos dados dentro da rede da empresa. Mas embora esta abordagem possa ajudar a proteger os dados contra possíveis ameaças externas, ela não trata de outra grande causa raiz de violações de dados: funcionários da empresa com acesso privilegiado a dados sensíveis.
Seja através de intenção maliciosa ou negligência, os próprios funcionários constituem um dos maiores riscos de segurança de dados que as empresas enfrentam. Portanto, os fabricantes de autopeças precisam garantir que possam proteger efetivamente dados sensíveis, como IPI e propriedade intelectual, contra ameaças internas sem afetar significativamente a produtividade dos funcionários.
As empresas podem usar soluções de prevenção contra perda de dados (DLP) para proteger diretamente os dados sensíveis. Usando perfis pré-definidos para PII e propriedade intelectual, mas também permitindo que os fabricantes criem suas próprias definições para atender suas necessidades comerciais, as ferramentas DLP identificam, monitoram e controlam o movimento de dados sensíveis através das redes da empresa.
Os fabricantes de autopeças podem impedir que arquivos contendo dados sensíveis sejam transferidos por canais inseguros, como aplicativos de mensagens, endereços de e-mail pessoais ou serviços de compartilhamento de arquivos e nuvens, usando soluções DLP. Com tentativas de transferências registradas e reportadas, as organizações podem facilmente identificar potenciais vazamentos e infiltrações de dados.
Soluções DLP como o Endpoint Protector também podem pesquisar em redes inteiras da empresa em busca de dados sensíveis armazenados localmente. Tais práticas podem violar diretamente as exigências da legislação de proteção de dados e os acordos de não-divulgação de dados do cliente. Ao escanear, identificar e aplicar ações de correção, tais como exclusão e criptografia, os fabricantes podem garantir que nenhum arquivo contendo informações sensíveis seja armazenado em locais não autorizados.
Limitando o uso de dispositivos removíveis
Outro ponto comum de saída de dados são os dispositivos removíveis. Os USBs, em particular, são fáceis de perder, esquecer e roubar, tornando-os um dos maiores pontos cegos de segurança de dados que as empresas precisam abordar. Para mitigar esta ameaça, os fabricantes de peças automotivas têm a opção de usar bloqueadores USB que eliminam o uso de portas USB e periféricos, impedindo efetivamente que os funcionários usem dispositivos removíveis.
Entretanto, o bloqueio do uso de dispositivos removíveis pode dificultar o desempenho eficiente de suas funções pelos funcionários. Os fabricantes de autopeças podem usar ferramentas DLP com recursos de controle de dispositivos para gerenciar e limitar o uso de dispositivos removíveis aos usuários que precisam deles em suas tarefas diárias ou dependendo de seu nível de acesso a dados sensíveis. Os administradores podem definir diferentes direitos baseados em grupos, departamentos, indivíduos ou computadores particulares. Eles também podem limitar o uso de dispositivos removíveis a dispositivos confiáveis emitidos pela empresa com um alto nível de segurança.
Os recursos de controle de dispositivos também facilitam o rastreamento pelos fabricantes de qual funcionário está copiando dados sensíveis, quando, e qual dispositivo. Desta forma, as empresas podem identificar pontos de saída potenciais para dados sensíveis e pessoas internas mal intencionadas que procuram roubar dados.
Assegurando ferramentas de colaboração
As ferramentas de colaboração são amplamente utilizadas pelos funcionários da indústria automotiva para acompanhar suas tarefas diárias, aumentar sua produtividade e comunicar-se uns com os outros. E embora tenham se mostrado ferramentas muito úteis no ambiente de trabalho moderno, elas também incentivam o compartilhamento de dados sensíveis, o que pode representar um risco à segurança.
Quer sejam adotadas através de canais oficiais por empresas diretamente ou usadas sem conhecimento de causa por funcionários, as ferramentas de colaboração nem sempre atendem aos altos padrões de segurança exigidos dentro da rede de um fabricante de autopeças e podem resultar em vazamento de dados ou torná-los disponíveis a partes não autorizadas. As soluções DLP podem controlar o movimento de dados sensíveis através de ferramentas de colaboração populares, tais como Microsoft Teams, Zoom, Slack, e Skype, restringindo seu uso e transferência.
