Seu software de TO é um risco? Veja como identificar

Sua estratégia de cibersegurança de TO inclui atualizações de software e hardware de rotina? Caso contrário, você pode estar correndo o risco de uma multa de EUR 10.000.000,00 ou 2 % do faturamento anual global¹.

Por quê? Simples. Até outubro de 2024, todos os estados membros da UE devem ter aprovado a Diretiva de segurança de redes e informações revisada da UE (NIS2) em lei. E a nova diretriz especifica multas de EUR 10.000.000,00 ou 2 % do faturamento anual global para organizações que violarem suas regras. Uma dessas regras afirma claramente que as organizações que se enquadram na diretriz devem ter políticas de cibersegurança que incluam: 

“…políticas de higiene cibernética que compreendem um conjunto de avaliação inicial de práticas comuns, incluindo atualizações de software e hardware…”

Mais organizações do que nunca estão cobertas pela diretriz atualizada. Isso inclui setores totalmente novos, como telecomunicações, produtos químicos, esgoto e alimentos — todos considerados “essenciais” ou “importantes” para a segurança e a vida econômica da UE. O artigo 7 da NIS2 reforça ainda mais o fato de que mais organizações do que nunca serão impactadas pela nova diretriz: 

“A estratégia nacional de cibersegurança deve incluir o fortalecimento da resiliência cibernética e da avaliação inicial de higiene cibernética de pequenas e médias empresas, em particular aquelas excluídas do escopo desta diretriz…”

Conclusão? Quase toda organização que opera tecnologia operacional na UE precisa começar a pensar agora em se preparar para a NIS2 ou correr o risco de sofrer as consequências de uma violação.  

Por que as atualizações de software são um risco sob a NIS2? 

Organizações de tecnologia operacional (TO), sejam fabricantes ou fornecedoras de infraestrutura, geralmente têm centenas ou até milhares de dispositivos no local. Um relatório recente da McKinsey estimou que algumas instalações de energia têm até 30000 dispositivos conectados².

Muitos desses dispositivos também podem conter componentes inteligentes e conectados, incluindo inversores de frequência, chaves industriais, controladores programáveis, PCs industriais e assim por diante. Todos esses componentes também podem ter seu próprio software e hardware.

Instalações ainda menores, incluindo aquelas com ambientes de produção relativamente pequenos, podem ter centenas de dispositivos de TO, não mapeados e não gerenciados. E se até mesmo um desses dispositivos estiver executando software desatualizado e isso levar a uma violação de dados, interrupção operacional ou outro problema significativo, isso é uma violação potencial da NIS2 e uma multa subsequente.

Como reduzir riscos e permanecer do lado certo da NIS2

A maneira mais fácil de reduzir o risco representado por software desatualizado é trabalhar com um especialista em cibersegurança de TI. A melhor maneira de fazer isso é com uma assinatura que cubra manutenção e atualizações.

Com a assinatura de manutenção certa, você obtém:

• Acesso instantâneo e instalação automática das atualizações mais recentes de software e firmware, o que ajuda a manter um pulso sobre o cenário dinâmico de ameaça de cibersegurança de TO. O acesso instantâneo às atualizações mais recentes de software e firmware é crucial porque ajuda a garantir que os patches e aprimoramentos de segurança sejam aplicados assim que estiverem disponíveis. Essa imediaticidade pode reduzir significativamente a janela de oportunidade para que os cibercriminosos explorem vulnerabilidades conhecidas. A instalação automática simplifica ainda mais esse processo, automatizando a implantação da atualização e confirmando que todos os dispositivos no ambiente de TO permaneçam em sua postura de segurança mais alta sem exigir intervenção manual. 
• Suporte de engenheiros e consultores de segurança líderes do setor: a complexidade e especificidade dos sistemas de TO exigem um alto nível de experiência para enfrentar seus desafios de segurança exclusivos. O acesso a engenheiros e consultores de segurança de TO líderes do setor oferece às organizações uma riqueza de conhecimento e experiência para aproveitar. Esses especialistas podem oferecer conselhos personalizados, desde o planejamento estratégico até a resposta a incidentes, ajudando a garantir que as medidas de segurança não apenas estejam em conformidade com a diretiva NIS2, mas também alinhadas com as melhores práticas e as pesquisas mais recentes no campo. Seu suporte pode ser fundamental para identificar vulnerabilidades potenciais, recomendar estratégias de redução e aprimorar a resiliência geral dos ambientes de TO contra ameaças cibernéticas.
• Ferramentas que facilitam e agilizam a localização e a proteção de todos os seus dispositivos: essas ferramentas permitem que as organizações mantenham um inventário atualizado de seus ativos de TO, monitorem seu status em tempo real e identifiquem rapidamente quaisquer irregularidades que possam indicar uma violação de segurança. Ao simplificar o processo de proteção dos dispositivos de TO, essas ferramentas não apenas aumentam a eficiência operacional, mas também confirmam que todos os componentes e equipamentos, independentemente de seu papel ou local na rede, estejam adequadamente protegidos. 

Para prepará-lo para a NIS2, o consultor de TO/TI certo ajudará você a auditar sua rede para identificar quaisquer riscos de hardware, firmware ou software. Em seguida, ele trabalhará com você para preencher essas lacunas, documentar seu trabalho de segurança e conformidade e colocá-lo em conformidade com a NIS2. 

A Rockwell Automation é uma das principais fornecedoras do mercado de serviços de segurança de TO, conformidade e gestão de risco. Nossos especialistas, consultores e engenheiros têm as ferramentas, a experiência e a tecnologia para ajudar você a se preparar para a NIS2. Isso inclui tudo, desde a formulação de políticas e procedimentos compatíveis, passando pela rápida descoberta e atualização de software e firmware obsoletos em toda a rede, até a tarefa de reforçar e documentar sua postura de segurança para conformidade com a NIS2. 

Para saber como a Rockwell Automation pode ajudar com sua higiene de cibersegurança, incluindo a atualização de seu software e firmware, e abordar muitos outros aspectos do fortalecimento de sua postura de cibersegurança de TO em preparação para a NIS2, entre em contato conosco agora.

Agende sua consultoria gratuita hoje mesmo!

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact