O impacto colateral da escassez de chips e semicondutores na cibersegurança

A atual falta de fornecimento que se prevê que se mantenha nos próximos dois anos, maioritariamente devido à realidade geopolítica e pandémica, elenca riscos que são neste momento impossíveis de contornar. Nomeadamente para as organizações que estão, directa ou indirectamente, a sofrer efeitos colaterais desta escassez de fornecimento.

Mas, se numa primeira análise o impacto mais visível e imediato é a incapacidade de obter ou substituir equipamentos e, consequentemente, existirem efeitos na operação que esses dispositivos suportam, não pode também ser ignorado o efeito colateral para a cibersegurança das organizações e das sociedades, atualmente, muito digitais. Além disso, deve também ser considerado o impacto que estes eventos têm no impedimento da criação de elementos seguros como smartcards ou chips de encriptação em hardware, cuja implementação é crucial para permitir operações de negócio. São exemplo os pagamentos seguros, em cartões de pagamento de débito e crédito, a comunicação móvel segura em SIMs/eSIMs, ou a conetividade Internet of Things (IoT) e a identificação de pessoas através de cartões de cidadão e passaportes nacionais.

É neste momento que grande parte das organizações se apercebe que uma gestão de risco eficaz não só do vetor de cibersegurança, mas também de continuidade de negócio é imprescindível. Este tema toma especial relevância quando estão em causa infraestruturas críticas e dispositivos industriais que suportam operações de grande importância em setores essenciais da nossa sociedade. É, inclusivamente, um problema tão relevante neste momento que os governos estão comprometidos em investir e definir políticas para aumento do fabrico ou implementação de capacidades para produção de chips, assim como criar condições para que as organizações possam ultrapassar estes problema.

No entanto, esta solução de capacitação local ou geograficamente circunscrita, por si só, é morosa e não confere as maiores capacidades a longo prazo. Sugere-se então, também, a análise da cadeia de valor dos fornecedores para se avaliar a capacidade de gestão de risco de falha de fornecimento com base na escassez de chips. Esta é fundamental para suportar os requisitos de cibersegurança de continuidade de gestão de vulnerabilidades e patching, assim como para dar continuidade de negócio.

Adicionalmente, com a crescente digitalização percebemos que, sendo a chave para a segurança dos componentes da IoT uma base sólida de hardware (chips e semicondutores), este tema tem um alcance temporal bastante amplo. A crescente diversidade e complexidade do ecossistema IoT cria mais desafios na integração e validação de componentes, assim como grandes investimentos em recursos de engenharia. Grande parte da segurança atual depende de uma implementação na fase de projeto (o tradicional by design), construindo hardware que incorpore controlos de segurança reforçados, assegurando que os dispositivos se mantêm protegidos durante todo o ciclo de vida.

A realidade atual, onde os mercados globais funcionam numa perspetiva de continuidade e de suporte é, por si só, um vetor que deve entrar no processo de gestão de risco. Apesar de lateral, a problemática da implementação efetiva dos processos básicos de ciber-higiene é real e tem um impacto significativo na postura geral de cibersegurança da organização.

Vivemos tempos de inconsistência, de volatilidade e de incerteza onde, cada vez mais, verificamos que a cadeia de valor dos fornecedores de equipamentos que suportam operações e/ou processos críticos das organizações é também fundamental e deve ser tida como um vetor de análise de cibersegurança e continuidade de negócio.