O perigoso elo fraco na cadeia alimentar dos EUA

Logística just-in-time significa que mesmo ataques cibernéticos de curto prazo podem ter sérias consequências. Os hacks que interrompem a produção de fertilizantes ou pesticidas podem forçar os agricultores a suspender as temporadas de plantio. Violações em frigoríficos podem causar escassez de oferta desestabilizadora. A adulteração em uma empresa de processamento de alimentos pode levar à contaminação mortal. Os ataques de ransomware que forçaram as empresas a encerrar as operações por uma semana deixaram as escolas sem leite, suco e ovos, de acordo com Sachs.

“Uma grande interrupção neste setor leva a problemas imediatos de saúde e segurança pública”, diz Mark Montgomery, que atuou como diretor executivo da Cyberspace Solarium Commission.

Apesar de estar cada vez mais vulnerável, diz Sachs, o setor de alimentos e agricultura ainda “não entende realmente a mentalidade de ameaça”, assim como setores de alto perfil, como serviços financeiros e energia.

Negócios críticos, suporte limitado

Hoje, alimentos e agricultura são um dos quatro setores críticos de infraestrutura (de 16) sem um ISAC, juntamente com barragens, instalações governamentais e reatores e materiais nucleares.

O setor agroalimentar foi um dos primeiros a lançar um centro desse tipo, em 2002, mas ele se desfez em 2008 porque poucas empresas compartilhavam informações por meio dele. Os membros temiam que tal abertura colocasse em risco suas vantagens competitivas e os expusesse a ações regulatórias. Agora, diz Sachs, as empresas temem que a troca de informações entre si possa levar a processos antitruste, mesmo que essa colaboração seja legal.

Algumas empresas participam de um Grupo de Interesse Especial para Alimentos e Agricultura (SIG) localizado dentro do IT-ISAC, que lhes dá acesso a dados e análises de algumas das maiores empresas de tecnologia do mundo, bem como recursos como manuais para confrontar grupos específicos de hackers.

“Nosso trabalho com a indústria realmente se expandiu nos últimos três anos”, diz Scott Algeier, diretor executivo da IT-ISAC. Nesse mesmo período, o IT-ISAC registrou 300 ataques de ransomware no setor de alimentos e agricultura.

Mas as ofertas da SIG são limitadas, argumenta Sachs. Ele não realiza exercícios regulares de larga escala simulando ataques a empresas de alimentos e agricultura, não possui um centro de vigilância 24 horas por dia, 7 dias por semana, que monitora constantemente a infraestrutura dessas empresas (junto com eventos relacionados, como clima severo e interrupções na cadeia de suprimentos) e não pode gerar percepções e alertas automaticamente comparando informações classificadas do governo com dados de sensores dentro dessa infraestrutura. “Eu aprecio tudo o que Scott está fazendo lá”, diz Sachs. “É uma coisa muito boa. Mas não é um ISAC.”

Algeier diz que o IT-ISAC organizou exercícios focados no setor de alimentos e agricultura e que “os membros podem entrar em contato conosco 24 horas por dia, 7 dias por semana, se necessário”.

Mas o setor precisa de seu próprio ISAC que possa “analisar a ameaça e fornecer uma verdadeira avaliação operacional”, diz Brian Harrell, ex-diretor assistente de segurança de infraestrutura da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA).

Pfluger diz: “Muitas pessoas com quem falei acham que é necessário haver um ISAC dedicado”.

As empresas também precisam de mais apoio do governo federal.

O Departamento de Agricultura dos Estados Unidos, a agência de gerenciamento de risco do setor, é “significativamente menos eficaz” do que outros SRMAs, diz Montgomery. O USDA nem mesmo tem financiamento dedicado para seu suporte de segurança, que inclui reuniões bianuais em todo o setor, boletins semanais de ameaças e reuniões ocasionais.