A diretora de cibersegurança da Siemens, Helen Negre, explica como a organização se centra no modelo de confiança zero para garantir a segurança dos sistemas internos nas suas diferentes linhas de negócio.
Por Maria Korolov
A Siemens tem estado a trabalhar para se manter a par das vulnerabilidades encontradas nos seus produtos, mas, mais importante ainda, para garantir a segurança das suas operações internas. O gigante da indústria transformadora, que trabalha em diferentes linhas de negócio, incluindo a indústria, as infraestruturas inteligentes, os cuidados de saúde e os serviços financeiros, está a proteger os seus sistemas centrando-se em três áreas principais: confiança zero, cadeia de fornecimento e sistemas antigos.
A Siemens cresceu exponencialmente através de aquisições nos seus 166 anos e emprega mais de 300.000 pessoas. As aquisições envolvem integrações de sistemas e podem muitas vezes acarretar riscos de cibersegurança.
“Somos uma empresa de empresas”, diz Helen Negre, que assumiu recentemente o cargo de diretora de cibersegurança da Siemens US, à CSO. Isto significa que é difícil criar uma estratégia de cibersegurança única para toda a empresa, explica.
Não é uma altura fácil para ser responsável pela cibersegurança, e a Siemens está na mira dos atacantes avançados porque está fortemente envolvida no espaço das infraestruturas críticas. “Se nomearmos uma infraestrutura crítica, provavelmente temos algo a ver com ela”, diz. “E com o atual cenário político e cibernético, vemos atividade… temos milhares de milhões de eventos por dia que temos de gerir.”
O que significa confiança zero para a Siemens
A Siemens não está sozinha quando se trata de colocar a confiança zero no topo da sua agenda de cibersegurança. De acordo com a Forrester, 83% das grandes empresas globais comprometeram-se a adotar a confiança zero. Um inquérito realizado em 2022 pela Okta revelou que 55% das organizações já implementaram uma iniciativa de confiança zero e 97% planeiam fazê-lo nos próximos 12 a 18 meses.
Na Siemens, a confiança zero significa micro-segmentação, segurança de perímetro, gestão rigorosa de identidades e aplicação rigorosa de políticas.
A Siemens está a adotar uma abordagem em três níveis para a confiança zero. A primeira fase é a formação, a criação de um roteiro, a identificação das aplicações e dos ativos que precisam de ser protegidos e o desenvolvimento de uma definição partilhada do significado de confiança zero para cada organização da empresa.
“Parte do processo tem sido uma mentalidade cultural”, diz Negre. “Isso inclui fazer com que as pessoas a todos os níveis da organização compreendam o que é a confiança zero, porque é importante e como reduz o risco, e desenvolver um roteiro com marcos concretos para cada uma das nossas organizações.”
O objetivo era criar um quadro de confiança zero em conjunto com cada uma das linhas de negócio. Assim, não se trata de a cibersegurança entrar na organização e dizer: “Têm de fazer isto e têm este tempo para o fazer”.
Esta primeira fase da transição para a confiança zero está agora concluída, diz. A Siemens está agora a passar para a segunda e terceira fases.
A segunda fase consiste em abordar todos os “frutos mais fáceis” do roteiro de confiança zero, concentrando-se em projetos a implementar no prazo de seis a 12 meses.
A terceira fase incluiria então projetos a mais longo prazo. Algumas das linhas de negócio da Siemens estão em setores altamente regulamentados. “Pode ser necessária uma transformação mais lenta e deliberada”, diz Negre. Além disso, existem locais com dispositivos antigos que necessitarão de um investimento significativo antes de se efetuar a transição total para a confiança zero.
A dificuldade de proteger o hardware antigo
Em ambientes industriais e de cuidados de saúde, é comum encontrar hardware antigo que não foi concebido para funcionar num mundo ligado e que não é certamente compatível com os princípios de confiança zero.
“Em ambientes de fabrico, o ciclo de vida do equipamento é bastante longo. Se tiver um projeto numa indústria que não mudou muito em 40 anos, o que está a herdar, especialmente em termos de aquisições, pode ser algo que o seu pai ou avô reconheceria”, diz Negre.
Segundo ela, entre 1% e 2% das fábricas da Siemens são fábricas inteligentes de última geração, atualizadas e construídas com base em princípios de cibersegurança. Outros 1% a 2% são relíquias do passado. As restantes estão algures no meio.
Quer trabalhemos com unidades de negócio internas ou clientes externos, “temos de os encontrar onde eles estão”, diz Negre. “E, por vezes, é uma máquina antiga que está a funcionar perfeitamente há 30 anos – como é que vamos em frente e fornecemos conectividade, fazemo-lo de forma segura e transformamos isto numa confiança zero?
Se se tratar de um ambiente de fabrico, as máquinas podem estar sempre a funcionar e não podem ser desligadas para aplicação de correções. Além disso, alguns destes equipamentos têm software personalizado, diz ele, criado para esse local específico. Colocar uma camada de segurança à volta deste equipamento é apenas uma medida provisória. “Não contamos apenas com isso”, diz ele.
Mesmo que o invólucro de segurança tenha conectividade e uma firewall, não é considerado suficiente para cumprir as normas internas da Siemens. “Teria de cumprir as nossas normas de palavra-passe e autenticação, as nossas normas de micro-segmentação.”
A melhor opção é substituir, que é o que a Siemens está a fazer ao longo do tempo. Mas, no final do dia, tudo tem de passar pela confiança zero, diz ele. “Se não quisermos que esta máquina funcione como as dos nossos avós, temos de ter conectividade, mas temos de a adicionar de uma forma segura.”
Segurança da cadeia de abastecimento
Proteger os sistemas internos e o equipamento antigo é apenas metade da batalha da cibersegurança. A estratégia de confiança zero da Siemens também se estende a todos os seus fornecedores. De acordo com o relatório do sector Cybersecurity 2022 da Bulletproof, 40% das ciberameaças ocorrem agora indiretamente através da cadeia de fornecimento. “Lidamos com fornecedores que não estão preparados para a confiança zero”, diz Negre. “Quer se trate de uma aplicação que ainda não está pronta, ou de uma solução SaaS que ainda não atingiu esse nível.”
De facto, a Siemens tem uma iniciativa completamente separada sobre a segurança da cadeia de fornecimento, da qual a confiança zero é apenas uma parte. “E uma grande parte dela é identificar quais fornecedores atendem aos nossos critérios de segurança cibernética de ponta”, diz ele.
Se não satisfazem os critérios, Negre diz que estão a classificar todos os fornecedores em categorias e a ter conversas francas com as suas empresas internas. “Este vendedor em particular, este fornecedor em particular, pode ser demasiado arriscado para a organização e podemos ter de encontrar uma alternativa.”
Não há um único fator que torne um fornecedor demasiado arriscado, diz ele. “Avaliamos a tecnologia de forma holística, com base numa série de critérios, tais como normas globais de cibersegurança, informações publicamente disponíveis sobre as suas vulnerabilidades e incidentes cibernéticos recentes”, afirma. Os fornecedores também são pontuados de acordo com a sua postura de segurança em áreas como a segurança física, dos terminais e da nuvem.
Ter alternativas também é particularmente útil quando se trata de infraestruturas críticas e fornecedores únicos. “Ultimamente, isso tem-se tornado um problema de várias formas. Há uma pressão para encontrar alguma diversidade no panorama, não só do ponto de vista da cibersegurança, mas também do ponto de vista da disponibilidade.”
Outro aspeto fundamental da segurança da cadeia de fornecimento é exigir que os fornecedores forneçam listas de materiais de software (SBOM). Existem requisitos regulamentares para as SBOM em alguns dos negócios da Siemens. Além disso, a empresa tem laços profundos com a Europa, e a futura Lei de Resiliência Cibernética (CRA) exigirá SBOM para a maioria das infraestruturas críticas.
“E, por vezes, temos produtos concebidos aqui e vendidos na Europa, ou concebidos lá e vendidos aqui, pelo que temos de nos certificar de que temos todas as nossas dependências definidas tanto quanto possível”, acrescenta Negre.
Prepararmo-nos para novas regulamentações e estratégias a nível mundial
O CRA europeu é apenas uma das alterações regulamentares a que a Siemens está atenta. Nos Estados Unidos, houve várias novas iniciativas de cibersegurança, mais recentemente a nova Estratégia Nacional de Cibersegurança.
Também em março, a Transportation Security Administration emitiu uma diretiva que exige uma maior cibersegurança no setor da aviação. “É um lugar dinâmico. Estamos a descobrir exatamente como se aplica ao nosso mundo e a defender o mais possível junto dos nossos parceiros para que, esperamos, tenhamos legislação prática sobre cibersegurança que possa ser implementada não só por grandes organizações como nós, mas também por organizações que estão abaixo do limiar da pobreza cibernética”. Essas outras organizações podem ser fornecedores da Siemens ou clientes externos, diz.
A Siemens também está empenhada em trabalhar com organizações governamentais e Centros de Análise e Partilha de Informação (ISAC), não só nos EUA, mas em todo o mundo. “A chave para nós, enquanto organização, é construir relações. Em todos os países em que estamos presentes, temos provavelmente uma relação com o governo que nos permite partilhar informações e ter uma noção da ameaça específica para esse país.”
A empresa trabalha principalmente através de grupos de partilha de informações público-privados, como os vários ISAC. “Também trabalhamos com agências governamentais como a CISA, a NIST, o FBI e muitas outras para partilhar conhecimentos, receber informações e garantir que cumprimos todos os requisitos regulamentares”, afirma. Isso também ajuda a criar um ecossistema de segurança cibernética mais seguro para todas as empresas.
A equipa de cibersegurança da Siemens analisa as ameaças futuras
As grandes mudanças tecnológicas também estão no horizonte. Uma delas é a computação quântica, que alguns esperam que tenha o potencial de tornar obsoleta toda a encriptação atual. Trata-se de uma ameaça real, diz Negre, mas não necessariamente iminente.
“A computação quântica está no horizonte há dez anos e diz-se que está a chegar a qualquer momento”, explica. “Os computadores realmente capazes de atuar neste espaço são bastante limitados. Os algoritmos ainda não foram criados. Toda a gente deve preparar-se para isto, mas não é necessariamente o primeiro ponto da sua agenda”.
Outra tendência que já está presente é a inteligência artificial (IA). A Siemens tem a sua própria equipa de investigação e cientistas de dados nesta área. “Ajuda-nos a trabalhar de forma mais eficiente”, afirma. “Se não a estiver a utilizar no seu programa cibernético, talvez deva avaliá-la, talvez na automatização ou na remediação. O que pode fazer utilizando a IA que possa substituir algum deste esforço manual, para que os seus principais especialistas possam ficar livres para trabalhar nas coisas importantes?”
Com mais de mil milhões de eventos por dia, a Siemens teve de criar as suas próprias soluções, mas também trabalha com fornecedores externos para integrar as suas soluções no seu ambiente. “Algumas das nossas empresas têm sido bastante públicas na forma como estão a utilizar a IA para gerir tickets e para impulsionar algumas das nossas inovações de cibersegurança”, afirma. “Estamos a analisar todas as versões da IA e a descobrir a melhor forma de a utilizar na nossa organização.”
Atualmente, a Siemens não utiliza internamente o ChatGPT da OpenAI devido a preocupações com a segurança das comunicações. “Temos a nossa própria versão que incentivámos os funcionários a utilizar”, diz. “É uma solução interna”.