O que, eu me preocupo? Essa pode ser a resposta de alguns operadores de empresas de produtos agrícolas especializados, incluindo proprietários e gestores agrícolas, quando o assunto se volta para os riscos de segurança cibernética que afectam as operações agrícolas.
Há muito tempo que a indústria agrícola é vista como de baixo risco de potenciais ataques cibernéticos. No entanto, com cada vez mais explorações agrícolas e fábricas de transformação de alimentos a adoptar novas tecnologias para racionalizar a produção e integrar-se com os serviços da cadeia de abastecimento, o cibercrime está a tornar-se uma ameaça cada vez mais grave para o agronegócio. O número de ataques está aumentando.
Tornou-se evidente que muitas empresas, incluindo entidades agrícolas de todos os tamanhos, têm problemas com o armazenamento e gerenciamento de informações de identificação pessoal (PII). No entanto, promover uma cultura onde as informações de identificação pessoal sejam protegidas e geridas de forma eficaz deve ser uma prática recomendada fundamental para as empresas modernas.
“Toda empresa agrícola depende da tecnologia”, disse Greg Gatzke. “A tecnologia pode ser usada para obter uma vantagem competitiva para a sua organização, mas também pode introduzir riscos sem a base de segurança, manutenção e suporte. Certifique-se de que sua empresa e seus fornecedores tenham as proteções e processos adequados para garantir que possamos continuar produzindo os alimentos de que a América precisa.”
Gatzke é presidente da ZAG Technical Services, uma premiada empresa de consultoria de TI e provedora de serviços gerenciados com sede em San Jose e Salinas, Califórnia, bem como em Boise, Idaho. Gatzke fundou a ZAG há 22 anos, valendo-se de sua vasta experiência na empresa de fabricação aeroespacial e empreiteira de defesa McDonald Douglas e como consultor do Network Technology Group. Gatzke possui MBA pela Pepperdine University.
A experiência de Gatzke na agricultura em Wisconsin contribuiu para moldar a experiência específica da ZAG nos setores do agronegócio e de produtos frescos. A ZAG presta consultoria a organizações para fornecer arquitetura de ponta em áreas como computação em nuvem, virtualização e gerenciamento de sistemas, bem como uma ampla gama de serviços gerenciados.
Investimento em segurança essencial
“A agricultura é uma indústria que lucra nas casas decimais”, disse Gatzke ao Vegetable Growers News. “Opera com alto volume e margens baixas. Isso não é um bom presságio para a segurança de TI. Mas eles dependem desses sistemas como um trator. (Os operadores agrícolas) têm de amadurecer no que diz respeito ao impacto da tecnologia.”
“Trabalhamos com empresas em duas áreas principais – como manter os criminosos afastados e como se recuperar quando eles entrarem”, disse Gatzke. “Há muitas coisas que podemos fazer que não são tão caras.”
Os ataques de ransomware direcionados ao setor alimentar e agrícola perturbam as operações, causam perdas financeiras e impactam negativamente a cadeia de abastecimento alimentar. O ransomware pode impactar negócios em todo o setor, desde pequenas fazendas até grandes produtores, processadores e fabricantes, além de mercados e restaurantes. As empresas alimentares e agrícolas vítimas de ransomware sofrem perdas financeiras significativas resultantes de pagamentos de resgate, perda de produtividade e custos de reparação.
“Todos os processadores (de alimentos) são empresas de tecnologia”, disse Gatzke sobre um dos setores mais vulneráveis do mundo agrícola. “Você não pode imprimir uma etiqueta em um post-it.”
As empresas também podem sofrer a perda de informações proprietárias e PII e sofrer danos à reputação resultantes de um ataque de ransomware.
Siga o básico
“Há uma necessidade no agronegócio de criar padrões de segurança mínimos e básicos para fortalecer os sistemas tecnológicos”, disse Gatzke.
“Os recentes ataques de ransomware à Colonial Pipeline e à JBS afetaram diretamente a cadeia de abastecimento e os consumidores, destacando os riscos que esses ataques cibernéticos trazem. Há uma necessidade em todo o agronegócio de criar padrões de segurança mínimos e básicos para fortalecer os sistemas tecnológicos.”
No mínimo, disse Gatzke em uma coluna que escreveu para Western Growers, as empresas devem:
1. Implementar padrões de segurança.
As soluções de segurança que protegem a rede de uma organização, como sistemas antivírus e firewalls avançados, juntamente com atualizações contínuas de software e testes de vulnerabilidade, são elementos necessários da estratégia de segurança de uma empresa. As organizações também devem exigir autenticação multifator (MFA) para todos os acessos remotos e de email. MFA é um processo que autentica a identidade de uma pessoa através de dois ou mais métodos antes de permitir o acesso a aplicações ou contas específicas. A implementação da MFA não é infalível, mas é um passo essencial no fortalecimento da postura de segurança de uma organização.
2. Ser capaz de se recuperar rapidamente.
As organizações devem planejar-se para o pior e ser capazes de se recuperar rapidamente. Se os criminosos obtiverem acesso à sua rede, eles poderão destruir seus backups? Muitas vezes eles terão sucesso. Eles devem ser protegidos. As organizações devem ter armazenamento avançado que lhes permita usar snapshots para recuperação instantânea.
3. Certifique-se de que seus desktops estejam protegidos.
Muitas pessoas de TI pensam em restaurar os servidores no data center. É o nosso lugar confortável. Pergunte a eles como eles se recuperarão se todos os desktops forem criptografados. Isto pode ser mais significativo do que a perda dos servidores.
4. Tenha um plano formal de recuperação de desastres, recuperação de incidentes e continuidade de negócios.
A TI deve ter um plano formal de recuperação de desastres que explique como os sistemas serão recuperados em caso de desastre. Num desastre, toda a empresa deve saber como responder.
Um plano de resposta a incidentes (IR) é fundamental para orientar:
- Como as comunicações ocorrerão em toda a empresa quando os sistemas estiverem inativos.
- Será pago um resgate?
- Como o evento será comunicado aos clientes e fornecedores.
- Quando e se as autoridades policiais, seguradoras e outras agências serão contratadas.
Finalmente, um plano de continuidade de negócios deve ser criado para instruir a empresa sobre como operar em caso de desastre. Isso inclui perguntas como:
- Como o produto será produzido sem computadores?
- Como serão comunicados os pedidos?
- Como o produto será coletado, etiquetado e enviado?
Um plano de RI não é para TI; envolve toda a organização e é fundamental para um resultado bem-sucedido caso ocorra uma intrusão.
5. Determine se os fornecedores representam um risco.
O velho ditado diz que as organizações são tão fortes quanto o seu elo mais fraco. A nova realidade é que eles são tão fortes quanto o seu fornecedor mais fraco. Se seus fornecedores estiverem comprometidos e não conseguirem entregar, sua organização poderá ser fechada. As empresas devem gerir os seus fornecedores para garantir que dispõem de proteções e que estão seguros. Exemplos dessas proteções incluem métodos seguros de acesso remoto, presença segura na Internet, proteções de e-mail para impedir ataques de phishing e garantir que eles não tenham logins/senhas expostos no DarkWeb.
6. Permaneça vigilante.
Toda empresa agrícola depende da tecnologia. A tecnologia pode ser usada para obter uma vantagem competitiva para a sua organização, mas também pode introduzir riscos sem a base de segurança, manutenção e suporte. Certifique-se de que sua empresa e seus fornecedores tenham as proteções e processos adequados para garantir que possamos continuar produzindo os alimentos de que a América precisa.
- Gary Pullano, editor