O que torna o Charter Trust um modelo de sucesso?

Há dois anos, a Siemens instituiu o Charter Trust - que agora conta com 17 parceiros. Mas o que essa iniciativa alcançou no período intermediário? É hora de fazer um balanço.

“Somos a aliança dos mocinhos”. Quando Kai Hermsen fala sobre a Charter of Trust, parece vagamente uma reminiscência de Guerra nas Estrelas. Então, quem são esses “mocinhos”? Eles são, além dos iniciadores, Siemens e Munich Security Conference, a Airbus, Atos, Cisco, IBM, TÜV Süd e nove outras grandes empresas que uniram forças no Charter of Trust com o objetivo de tornar seus negócios, produtos e infraestrutura críticos mais seguros e protegê-los do “lado negro da Força”: extorsionários, espiões e terroristas que procuram penetrar nos sistemas de computador para roubar ou destruir dados ou extorquir pagamentos de resgate. Para o Charter of Trust, a segurança cibernética oferece uma chance real de trabalhar ao lado de funcionários, clientes e parceiros em uma tentativa de construir confiança na digitalização e explorar suas oportunidades ilimitadas.

 

Charter of Trust já existe há quase dois anos e já pode ser descrito como uma verdadeira história de sucesso. Isso é devido a, em vez de emitir declarações de intenções vagas, estabelecer medidas específicas que são, em primeiro lugar, implementadas nos seus próprios parceiros. Hermsen, coordenador internacional da Carta de Confiança da Siemens, chama isso de “liderar pelo exemplo”. “Esses parceiros bem conhecidos realmente animam o debate internacional - muito além das fronteiras convencionais do setor”. Muitas outras empresas estão acompanhando as atividades da aliança de perto, e até mesmo os legisladores e autoridades de segurança estão ouvindo o que ela tem a dizer. As ideias são trocadas de maneira particularmente próxima com parceiros associados, como o Escritório Federal Alemão para Segurança da Informação (BSI), seu homólogo espanhol, o Centro Criptológico Nacional (CCN) e a Universidade Técnica de Graz da Áustria - com outros a se juntar no futuro.

Esses parceiros bem conhecidos realmente animam o debate internacional - muito além das fronteiras convencionais do setor.

Aumentando a conscientização e criando confiança

Esses são nomes ilustres, de fato. Mas o que tudo isso realmente significará para a segurança cibernética? Isso aumentará a conscientização, de fato. “O Charter of Trust realmente galvanizou o debate político”, disse Johannes von Karczewski, Diretor Sênior da Global Government Outreach, e um dos que ajudaram a dar vida à iniciativa. Com seus dez princípios básicos, o Charter of Trust criou um entendimento comum de segurança cibernética pela primeira vez, diz ele, além de fortalecer o vínculo de confiança entre os parceiros, sem o qual nada poderia ser alcançado em um mundo em rede.

Padrões de segurança cibernética para milhões de fornecedores

O Charter of Trust também conseguiu trazer melhorias específicas à segurança cibernética. Longe de atuar como planetas remotos em órbita solitária, a Siemens e seus parceiros do CoT estão intimamente ligados a inúmeras outras empresas, em grande parte pequenas e médias, que fornecem componentes para produtos. O Charter of Trust tem como objetivo fazer com que essas empresas também assinem normas de segurança comuns. Para tanto, seus parceiros definiram 17 requisitos mínimos de segurança cibernética a serem cumpridos pelos participantes da cadeia de suprimentos com o objetivo de garantir uma colaboração segura. Os parceiros do CoT, incluindo, é claro, a Siemens adotaram esses requisitos em seus termos e condições gerais de negócios. Todos os novos fornecedores críticos para a segurança serão obrigados a satisfazê-los desde o início, com os fornecedores existentes sendo gradualmente obrigados a fazê-lo. Por sua vez, eles terão que garantir que seus subfornecedores também sigam essas regras. Os 17 parceiros do Charter of Trust terão, em última análise, um alcance de milhões de fornecedores - um esforço gigantesco, mas vital, porque a segurança cibernética geralmente é tão forte quanto o elo mais fraco da cadeia.

Apoio em vez de pressão

A Siemens não pretende fazer cumprir essas medidas emitindo um ultimato inflexível. A falta de poder financeiro e know-how de muitos fornecedores pode torná-los incapazes de lidar com a situação. “Longe de abandonar essas empresas aos seus próprios recursos, estamos dando a eles a oportunidade de melhorar sua segurança cibernética”, promete Kai Hermsen. Uma abordagem comum baseada em risco é projetada para eliminar as vulnerabilidades de segurança individuais dos fornecedores e satisfazer os requisitos. Mais fornecedores do que o inicialmente previsto já estão em conformidade. Como Hermsen faz questão de enfatizar: “Longe de ser uma iniciativa isolada ou um golpe de relações públicas, o Charter of Trust serve como uma âncora para as atividades de segurança cibernética de seus parceiros, proporcionando assim um benefício real”. Para tanto, os parceiros colaboram em seis grupos de trabalho, que Hermsen chama de “as câmaras cardíacas do Charter of Trust". Uma dessas forças-tarefa era responsável por recomendar os requisitos mínimos da cadeia de suprimentos.

De opcional a obrigatório

Outros tópicos estão sendo abordados e também estão programados para serem implementados prontamente, incluindo uma abordagem holística para uma melhor educação no campo da segurança cibernética. Os parceiros também desejam estabelecer as bases para a segurança por padrão. Isso envolve o exame da questão de como os produtos - desde softwares para smartphones até máquinas industriais - podem fornecer segurança ideal, mesmo em seu estado de saída da fábrica. Exemplos bem conhecidos de vulnerabilidades incluem senhas pré-definidas como “0000”, que então são deixadas inalteradas e representam um alvo fácil para criminosos. Faz sentido exigir a criação de uma nova senha automaticamente quando o usuário efetua login pela primeira vez. Mas que outras medidas estão sendo consideradas e quais compensações podem ter de ser feitas no interesse da facilidade de uso? Não houve respostas simples e universais até o momento, muito menos recomendações específicas para ação. Estas últimas devem ser desenvolvidas pela força-tarefa responsável antes de serem implementados pelos parceiros, conforme estabelecido no Charter of Trust. Isso também mostra um sinal importante: a segurança cibernética não é mais opcional, mas agora é um requisito obrigatório.

Fevereiro de 2020

Bernd Müller

Inscreva-se na Newsletter

Fique sempre atualizado: tudo o que você precisa saber sobre eletrificação, automação e digitalização.