A digitalização tornou -se predominante entre as empresas de transporte e logística (T&L), melhorando todas as facetas a montante e a jusante da indústria. Esse processo criou eficiências sem precedentes direcionadas para expandir os fluxos de receita.
Essa é a boa notícia. A desvantagem é que a digitalização expôs uma série de deficiências entre Empresas T&L que os tornaram extremamente vulneráveis a ataques cibernéticos. Todo setor da indústria - incluindo marítimo, ferroviário, caminhões, provedores de logística e fornecedores de pacotes - é afetado. O impacto é dispendioso, perturbador às operações e tem o potencial de criar uma responsabilidade adicional, principalmente quando os dados confidenciais do cliente são violados.
Existem várias razões para o aumento da ameaça. Por um lado, o Uso expandido da tecnologia operacional (OT) , que abre novas comunicações e canais sem fio conectados diretamente aos ecossistemas digitais das empresas de T&L, é um alvo suave para hackers. Além disso, a indústria de T&L sofre de regulamentos e padrões cibernéticos atrasados, inadequados Consciência de segurança cibernética , e uma escassez de talento de defesa cibernética.
The T&L industry suffers from lagging cyber regulations and standards, inadequate cybersecurity awareness, and a shortage of cyber-defense talent.
Ataques cibernéticos costumavam ocorrer a cada poucos anos no setor de T&L. Agora, parece haver um ou dois por mês. Alguns são proeminentes. Por exemplo, um ataque cibernético em maio de 2021 desligou efetivamente o oleoduto colonial, que fornece gasolina para quase metade da costa leste dos Estados Unidos, por cerca de uma semana. A empresa disse que o custo do resgate e a interrupção dos negócios podem custar mais de US $ 50 milhões. Outros ataques cibernéticos, mesmo aqueles destinados a grandes remetentes que tenham sido repetidos, recebem menos atenção da imprensa, mas geralmente envolvem interrompendo os sistemas de email e logística. Essas redes permitem melhorias digitais, como pedidos automatizados, rastreamento de remessa e acesso às informações da conta. Embora extremamente valiosos, essas iniciativas de clientes exigem armazéns de informações confidenciais coletadas por meio de plataformas on-line, aplicativos de telefone e outros dispositivos móveis, que, porque não possuem protocolos rigorosos de proteção cibernética, estão entre os canais mais inseguros. (Consulte o Anexo 1.)
Moreover, hackers are increasingly attempting to steal data stored in networks that are critical to the T&L industry’s modernization and growth because they provide a more efficient and compelling customer experience. These networks enable digital improvements like automated ordering, shipment tracking, and access to account information. While extremely valuable, such customer initiatives require warehouses of sensitive information collected via online platforms, phone apps, and other mobile devices, which, because they lack strict cyber-protection protocols, are among the most insecure channels.
And, as the potential cyber-attack surface in the T&L sector expands and the nature of risk continues to widen, the cost of break-in has dropped significantly. (See Exhibit 1.)
Considering the amplified urgency, BCG has examined why the industry is so vulnerable to cyber attacks today. We have come up with a set of integrated solutions that companies can deploy to mitigate these risks and create realistic, dependable safeguards against them.
onde as fraquezas estão
A maneira mais fácil de analisar o dilema que as empresas de T&L enfrentam é separar suas ciberciais em três categorias: tecnologia, regulamentação e pessoas e processos. Cada uma dessas categorias precisa ser considerada cuidadosamente para abordar as ameaças emergentes que afetam a indústria mais ampla.
Technology. Em todos os segmentos da indústria de T&L, a superfície ampliada de ataque cibernético é evidente. Por exemplo, entre as empresas marítimas, sistemas relativamente simples de angústia e segurança foram substituídos por redes locais de área local baseadas em nuvem, como o programa de navegação eletrônico da Organização Marítima Internacional (IMO). Essas redes são um alvo tentador para os hackers porque coletam, integram e analisam informações a bordo continuamente para rastrear os locais dos navios, detalhes de carga, problemas de manutenção e uma série de considerações ambientais oceânicas. (Consulte Anexo 2.)
Similarly, in the rail industry, traditional wire-based train control and management systems (TCMS), which had only limited communication with external systems, are giving way to wireless standards like GSM-Railway, a relatively broad network linking trains to railway regulation control centers. (See Exhibit 3.) As is the case for all mobility providers these days, T&L companies use vehicle infotainment services and other equipment that add another layer of internet-connected communications.
While these proliferating networks—which essentially link OT systems with internal IT equipment, such as servers, PCs, and mobile devices—are by default new pathways for hackers, they are sometimes made even more vulnerable by the lack of urgency shown toward cyber attacks by OT vendors and T&L companies alike. In some cases, OT vendors require potentially vulnerable management interfaces to be built into their equipment for remote access, control, and troubleshooting. Further, computing landscapes at T&L companies are rarely modernized to be compatible with strict security protocols.
Equally alarming, beyond their relationships with individual OT vendors, T&L companies are establishing more efficient and technologically driven partnerships with their suppliers and distributors, which are increasingly dependent on network links. Cybersecurity protocols maintained by these partners are generally not policed, leaving T&L companies in the dark about whether their integrated ecosystems are a growing risk.
Regulamento. Embora os aspectos comerciais e operacionais da indústria de transporte e logística sejam regulados em muitas regiões, há um número relativamente pequeno de regras que cobrem a segurança cibernética. Apesar das operações globais do setor - ou talvez por causa delas - os reguladores tiveram dificuldade em concordar ou focar em um conjunto de padrões de segurança cibernética que as empresas de T&L devem seguir onde quer que operem. Dado esse vácuo, os investimentos em segurança cibernética não são otimizados para reduzir a exposição geral ao risco das organizações. Entre os regulamentos propostos ou já estabelecidos estão a Diretiva de Segurança de Rede e Informação da UE (NIS) e a CLC/TS 50701 e EN 50126, em breve, além de uma série de regras para navios promulgados pela organização marítima internacional. Por graus variados, esses regulamentos tentam impor padrões mínimos para proteger os dados e operações mais sensíveis das empresas, em particular registros de clientes e informações de envio.
However, mindful of the possible perilous impact on global trade and economic stability of a widespread cyber attack on the T&L industry, regulators are beginning to take a more proactive stance in demanding better security protections for company networks. Among the regulations proposed or already established are the EU’s Network and Information Security (NIS) directive and the soon-to-be-implemented CLC/TS 50701 and EN 50126 standards for railroads, as well as a series of rules for ships promulgated by the International Maritime Organization. By varying degrees, these regulations attempt to enforce minimum standards to protect companies’ most sensitive data and operations, in particular customer records and shipping information.
Pessoas e processos. As ameaças cibernéticas evoluem continuamente, mas o fio comum para algumas das áreas mais vulneráveis são as pessoas. Por exemplo, os funcionários que não conseguem identificar um email de phishing podem permitir uma exploração inicial fácil para hackers. De fato, as aberturas autoinfligidas são geralmente o primeiro passo de uma cadeia de ataque, dado que mais da metade das violações cibernéticas podem ser atribuídas diretamente a falhas nos processos organizacionais e nas capacidades dos funcionários ou sua falta de conhecimento sobre ataques cibernéticos. Cerca de 4 milhões de empregos especializados em cibercrime não foram preenchidos em 2020, de acordo com o grupo de comércio de segurança da informação ISC2. O déficit de funcionários cibernéticos altamente treinados decorre, em parte, pelo fato de que os graus acadêmicos de segurança cibernética são um fenômeno relativamente novo que existe apenas nos últimos dez anos.
Making matters worse is a large and growing global talent deficit of cyber protection specialists. As many as 4 million cyber specialist jobs were unfilled in 2020, according to the information security trade group ISC2. The shortfall in highly trained cyber staffers stems, in part, from the fact that academic cybersecurity degrees are a relatively new phenomenon that have been in existence only for the past ten years or so.
piorar a situação é um grande e crescente déficit de talento global de especialistas em proteção cibernética.
Em nossa experiência, essa escassez é sentida agudamente na indústria-principalmente na região da Ásia-Pacífico-, à medida que os estudantes se formam com credenciais de segurança cibernética e especialistas experientes já na força de trabalho geralmente não consideram viagens e logística como uma opção de carreira primária. A percepção faz parte do problema. A maioria dos candidatos a emprego não vê as empresas de T&L como locais de trabalho inovadores, onde as pessoas tecnologicamente cuidadas podem espalhar suas asas criativas em áreas como robótica e automação, análise de dados, blockchain, veículos autônomos e similares. Em vez de tornar um trabalho de segurança cibernética mais atraente - talvez oferecendo melhores salários e benefícios, além de incentivar a inovação - muitas empresas de T&L tratam a segurança cibernética como um centro de custo que deve atender aos rigorosos orçamentos de recursos.
How to Address Cybersecurity Risks
T&L companies should begin to drive a Agenda de segurança cibernética Avaliando o nível de proteções cibernéticas em seus equipamentos e programas de TI e TI. A partir daí, eles podem configurar salvaguardas nos aplicativos e redes mais críticos e vulneráveis. O mapeamento de exposição a ataques cibernéticos e a identificação de um portfólio de iniciativas de proteção podem ser facilitados usando modelos e ferramentas, como um programa de gerenciamento e quantificação de riscos cibernéticos. As empresas devem classificar suas vulnerabilidades por meio de uma abordagem baseada em risco que prioriza a probabilidade e o impacto das ameaças à segurança em ativos críticos. Os projetos podem ser classificados com base em sua capacidade de melhorar a resiliência em relação ao seu custo; Ao fazer isso, as empresas podem otimizar efetivamente seus Orçamentos de investimento em segurança cibernética .
Depois de tomar essas medidas de precaução, as empresas de T&L devem se concentrar na adoção de conceitos de proteção cibernética mais complexos, como a arquitetura zero-confiança. Essa metodologia pressupõe que todos os dispositivos, usuários ou aplicativos que tentam interagir com a rede são uma ameaça potencial. Uma estratégia de confiança zero pode ser implementada segmentando e segregando redes usando DMZ (zona desmilitarizada) Technology, que fornece um ambiente bem controlado que monitora as conexões dentro e fora da organização. O mesmo princípio também deve ser adotado para apertar os processos internos sempre que possível, incluindo a verificação da identidade de usuários, programas e dispositivos de extremidade antes de permitir o acesso a informações ou ativos. Em todos os departamentos, a noção de reforçar a segurança cibernética em toda a organização deve ser um assunto aberto e crítico. As frequentes sessões de treinamento de consciência da cibersegurança podem ser uma grande ajuda para estabelecer uma força de trabalho com consciência de riscos. As ações que os indivíduos podem tomar para proteger contra hackers, como salvaguarda senhas e estar alerta para atividades suspeitas nas redes da empresa, devem ser enfatizadas.
T&L companies can take three steps to improve their internal cyber-protection skills.
First, transform the company culture from one that downplays cybersecurity to one that recognizes the urgent need to fight threats. In every department, the notion of reinforcing cybersecurity across the organization should be an open and critical subject. Frequent cybersecurity-awareness training sessions can be a huge help in establishing a risk-aware workforce. Actions that individuals can take to protect against hackers, such as safeguarding passwords and being alert to suspicious activity on the company’s networks, must be emphasized.
Transform the company culture from one that downplays cybersecurity to one that recognizes the urgent need to fight threats.
Segundo, use esse foco fortalecido no gerenciamento de risco cibernético para recrutar profissionais de segurança cibernética das universidades e do setor privado. Divulgar que o objetivo da organização é ser um líder proativo na arena de segurança cibernética. As empresas podem atrair os melhores profissionais de segurança cibernética, informando que terão a oportunidade de criar programas de proteção cibernética desde o início, usando a mais recente tecnologia e substituindo os antigos sistemas legados. Da mesma forma, as organizações podem considerar a busca de serviços de consultoria de fornecedores imparciais que não desejam lançar uma tecnologia. O aumento desses trabalhadores-e oferecendo-lhes incentivos baseados em compensação e títulos para dominar os recursos necessários-poderiam permitir que as empresas de T&L preencham rapidamente pelo menos uma parte de suas necessidades de força de segurança cibernética.
Finally, identify the people in the company’s technology workforce who are eager to become involved in cybersecurity initiatives and who have demonstrated basic abilities that indicate they are good candidates. Upskilling these workers—and offering them compensation- and title-based incentives for mastering the required capabilities—could enable T&L companies to quickly fill at least a portion of their cybersecurity-workforce needs.
For many T&L companies, the activities required to address cybersecurity risks may seem overwhelming, but one practical solution to increase the transparency and awareness of IT and OT networks and their vulnerabilities would be to create a cyber fusion center. This center would monitor, manage, and oversee cybersecurity governance, operations, analytics, processes, and technology, ensuring that data and intelligence are shared among key players to detect and thwart cyber threats.
In addition, a cyber fusion center would streamline operations by integrating the currently segregated IT and OT cyber management and controls under one roof. The center should meld the expertise of both IT and OT professionals to monitor for any anomalous activities either on the internet or internally—or, importantly, at the convergence of the two functions—which could be early warnings of a cyberattack. To effectively manage risk, T&L companies should build layers of cyber resilience that uphold stringent standards, protect partner supply chains, and adopt risk-based approaches when designing security controls. Companies need the tools to ensure their organizations develop and maintain appropriate cyber-resilience measures that span dimensions—from technology to regulations and from processes to people.
For many T&L companies, proactive cybersecurity policies have not been a priority. But the rapidly growing number of cyber attacks and new regulations are beginning to convince firms that they cannot maintain a relatively hands-off approach for much longer. Hackers are getting more aggressive and keenly aware of which companies are giving cybersecurity short shrift. That’s a list that T&L companies should not aspire to be on.
