Gestão de risco

Insegurança na internet

Andy Bochman
6 de julho de 2018
insegurança internet

Esta é uma verdade cruel: não importa quanto sua organização gastou com o último hardware, software, treinamento e pessoal de segurança cibernética, ou se ela isolou os sistemas mais críticos do resto da rede. Se os sistemas vitais para a missão de sua empresa são digitais e se estão conectados de alguma forma à internet (mesmo que você pense que não estão, é bem provável que estejam), eles nunca estarão completamente seguros. Ponto final.

Isso é importante porque, atualmente, os sistemas digitais conectados permeiam praticamente todos os setores da economia nos Estados Unidos, e a sofisticação e a atividade dos adversários — principalmente estados-nação, sindicatos do crime e grupos terroristas — aumentaram drasticamente nos últimos anos. Veja os ataques às empresas globais WannaCry e NotPetya, a Prefeitura de Atlanta e à rede de dados compartilhada por quatro operadoras de distribuição de gás natural, o roubo de dados da Equifax — todos nos Estados Unidos. Na maioria dos incidentes mais notórios dos últimos anos, as empresas foram invadidas apesar de disporem de fortes defesas cibernéticas.

Sou membro da equipe do Laboratório Nacional de Idaho (INL), que estuda as melhores formas de organizações críticas para a economia e segurança nacional dos Estados Unidos se proteger contra ataques cibernéticos. Focamos nas empresas que dependem de sistemas de controle industriais — como os que regulam calor e pressão nas usinas elétricas e refinarias de petróleo — e propusemos uma solução que se opõe abertamente a todas as medidas convencionais: identifique as funções cuja falha pode colocar sua empresa em risco, isole-as da internet o máximo possível, reduza sua dependência de tecnologias digitais ao mínimo e bloqueie seu monitoramento e controle com dispositivos analógicos e pessoas confiáveis. Embora nossa metodologia ainda esteja em fase de testes, as organizações já podem aplicar vários de seus elementos.

Na verdade, essa estratégia — que não é viável para negócios que se baseiam estritamente em informação — pode aumentar os custos operacionais e reduzir a eficiência em alguns casos. Mas é a única forma de garantir que os sistemas críticos para a missão não sofram ataques bem-sucedidos por vias digitais. Neste artigo eu apresento a metodologia do laboratório para identificar esses sistemas. Invariavelmente ela revela funções ou processos vulneráveis que os líderes jamais imaginaram que eram tão vitais e que comprometê-los poderia colocar em risco a sobrevivência da empresa. Nos últimos anos, aplicamos elementos da metodologia em organizações e nas forças armadas americanas e realizamos um piloto extremamente bem sucedido da abordagem completa na Florida Power & Light, uma das maiores empresas de eletricidade dos Estados Unidos. Um segundo piloto está atualmente em andamento numa instituição militar do país. O INL também explora formas de popularizar o processo. Isso provavelmente significa fazer parcerias com empresas selecionadas de serviços de engenharia e fazer com que sejam treinadas e credenciadas para aplicar a metodologia.

A ameaça atual
Antigamente, bombas mecânicas, compressores, válvulas e relês faziam o trabalho nas empresas industriais. A percepção dessa situação surgiu dos medidores analógicos e dos engenheiros competentes e respeitados que se comunicavam com a sede da empresa por linhas de telefonia fixa. Além de interferir na cadeia de suprimentos ou na contratação de funcionário, a única forma de o sabotador interromper as operações era ir até a fábrica e driblar os três pilares físicos da segurança: portões, guardas e armas.

Atualmente, as operações em 12 dos 16 setores de intraestrutura que o Departamento de Segurança Interna dos Estados Unidos considera críticos — seus ativos, sistemas e redes físicas ou virtuais são tão vitais para os Estados Unidos que sua incapacitação ou destruição teria um efeito debilitante na segurança, na economia, na saúde pública nacional ou na segurança patrimonial, ou em qualquer combinação delas — dependem parcial ou inteiramente de controle digital e sistemas de segurança. Embora as tecnologias digitais contribuam com novas capacidades e eficiências incontestáveis, elas, aparentemente, são extremamente suscetíveis a ataques cibernéticos. As fragilidades dos sistemas de grandes corporações, agências governamentais e instituições acadêmicas são constantemente testadas por dispositivos automáticos facilmente encontrados na dark web. Muitos desses dispositivos são gratuitos, e outros custam centenas ou milhares de dólares (os mais caros oferecem até suporte técnico). Eles podem ser impedidos pelas melhores práticas da segurança cibernética, mas, na verdade, é praticamente impossível defender-se de ataques direcionados, bem planejados — meticulosamente engendrados por meses ou até anos.

O impacto financeiro dos ataques cibernéticos está aumentando. Somente dois no ano passado, praticados contra a WannaCry e a NotPetya, causaram prejuízos respectivamente de mais de US$ 4 bilhões e US$ 850 milhões. No ataque à WannaCry, que os Estados Unidos e o Reino Unido acusam a Coreia do Norte de ter perpetrado, supostamente foram usadas ferramentas roubadas do Departamento de Segurança Nacional. Explorando uma brecha nas máquinas Windows que não tinham instalado uma atualização de segurança da Microsoft, o ataque encriptou dados, paralisou centenas de milhares de computadores em hospitais, escolas, empresas e residências em 150 países, e exigiu resgate. A invasão à NotPetya, supostamente perpetrada pela Rússia como parte de sua campanha para desestabilizar a Ucrânia, foi feita por meio da atualização do software de uma empresa de contabilidade ucraniana. Ela começou com um ataque ao governo e a sistemas de computação ucranianos e se espalhou para outras partes do mundo, com vítimas corporativas como Maersk, empresa dinamarquesa de transporte marítimo, Merck, empresa de produtos farmacêuticos, Cadbury, fabricante de chocolates, e a WPP, famosa agência de publicidade, entre várias outras.

Vulnerabilidade crescente
O ritmo da transformação digital continua a acelerar com o crescimento da automação, internet das coisas, processamento e armazenamento na nuvem, inteligência artificial e aprendizado de máquina. A propagação e a crescente dependência de tecnologias digitais complexas fortemente dependentes de softwares, conectadas à internet, representam um sério lado negativo da segurança cibernética. Num artigo de 2014 publicado pelo Centro para uma Nova Segurança Americana, o ex-secretário da Marinha Richard J. Danzig, atual diretor do conselho do centro, descreveu claramente o paradoxo das tecnologias digitais:

“Mesmo concedendo poderes sem precedentes, elas também tornam os usuários menos seguros. Sua capacidade de comunicação permite colaboração e criação de redes, mas ao fazer isso elas abrem portas para a invasão. Sua concentração de dados e consequente poder de manejo melhora consideravelmente a eficiência e a escala de operações, mas essa concentração, por sua vez, aumenta exponencialmente o volume que pode ser roubado ou sabotado por um ataque bem-sucedido. A complexidade do hardware e softwares das tecnologias digitais cria enorme capacidade, mas essa complexidade produz vulnerabilidades e reduz a visibilidade das invasões. Em resumo, os sistemas cibernéticos nos alimentam, mas ao mesmo tempo nos enfraquecem e nos envenenam”.

O fato é que essas tecnologias são tão impressionantemente complexas que nem seus criadores, que as conhecem tão bem, entendem por completo suas vulnerabilidades. Os criadores vendem automação como uma forma de eliminar os riscos impostos pela possibilidade de erro humano, mas ela simplesmente substitui esses riscos por outros. De acordo com o Instituto Ponemon, que realiza pesquisas independentes sobre privacidade, proteção de dados e políticas de segurança de informação, os sistemas atuais são tão complexos que as empresas americanas precisam de mais de 200 dias, em média, para perceber que foram invadidas. Muitas vezes nem elas percebem a violação — são notificadas por terceiros.

Apesar do número sempre crescente de ataques cibernéticos de grande visibilidade no mundo todo em empresas como Target, Sony Pictures, Equifax, Home Depot, Maersk, Merck e Saudi Aramco, os líderes das empresas foram incapazes de resistir à sedução das tecnologias digitais e de todos os benefícios que elas oferecem: maior eficiência, menor número de funcionários, redução ou eliminação de erro humano, melhoria de qualidade, oportunidade de coletar muito mais informações sobre os clientes e capacidade de criar novos produtos. Os líderes despendem somas cada vez mais altas todos os anos em novas soluções de segurança e consultorias de alto custo, mas suas abordagens de segurança cibernética permanecem convencionais e eles continuam esperando pelo melhor. Isso é idealismo.

As limitações da “higiene cibernética”
Essas abordagens convencionais — ou “higiene” no ramo da segurança cibernética — incluem:

• criar inventários abrangentes dos ativos de hardwares e softwares da empresa;
• comprar e distribuir as últimas ferramentas de defesa de hardware e software, incluindo segurança de ponto de extremidade, firewalls e sistemas de detecção de invasão;
• treinar regularmente os funcionários para reconhecer e evitar e-mails fraudulentos;
• criar “lacunas de ar” — teoricamente, separar sistemas importantes de outras redes e da internet —, embora na prática não sejam lacunas de ar verdadeiras;
• formar um grande staff de segurança cibernética suplementado por vários serviços e fornecedores de serviços para executar tudo o que foi sugerido acima.

 

Muitas organizações aderiram aos padrões das melhores práticas como as normas de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) e aos 20 melhores controles de segurança do Instituto SANS. Essas medidas implicam a execução contínua de centenas de atividades sem erro. Entre elas: exigir o uso de senhas complexas pelos funcionários e alteração frequente; encriptar dados em trânsito; segmentar redes colocando firewalls entre elas; instalar imediatamente novas atualizações de seguranças; limitar o número de pessoas com acesso a
sistemas sigilosos; vetar fornecedores.

Muitos CEOs parecem acreditar que por adotar as melhores práticas de higiene cibernética estão protegendo sua organização de graves prejuízos. As numerosas violações de maior visibilidade demonstram amplamente o erro dessa suposição. Todas as empresas que mencionamos dispunham de grandes staffs de segurança cibernética e gastavam somas significativas em segurança cibernética quando foram invadidas. A higiene cibernética é eficiente contra tentativas automáticas corriqueiras e contra hackers amadores, mas não é tão eficiente ao enfrentar o número crescente de ameaças direcionadas e persistentes a ativos vitais perpetradas por adversários sofisticados.

Em setores cujas atividades se baseiam fortemente em ativos como os de energia, transporte e manufatura pesada, não há talento ou dinheiro que possa cumprir todas as melhores práticas prescritas sem erro. Na verdade, muitas organizações fracassam logo na primeira das práticas recomendadas: criar inventários abrangentes dos ativos de hardware e software da empresa. Esse é um grande problema, porque você não pode garantir a segurança do que nem sabe que tem.

No entanto, existem vantagens inerentes nas melhores práticas. Para instalar upgrades de segurança os sistemas normalmente precisam ser desligados, mas nem sempre isso é possível. Empresas de serviços públicos, indústrias químicas e outras que dependem fortemente da disponibilidade e confiabilidade de seus processos ou sistemas industriais não podem interrompê-los toda vez que uma empresa de software lança uma nova atualização de segurança. Por isso, elas tendem a instalar as atualizações periodicamente, em lotes, durante o período de paralisação programado, geralmente muitos meses depois que a atualização é lançada. Outra questão é proteger ativos extremamente dispersos. Grandes companhias de serviços públicos, por exemplo, operam milhares de subestações, em geral espalhadas por milhares de quilômetros quadrados. Atualizá-las é um dilema: se você puder acessar o software via rede para implementar atualizações, um adversário habilidoso pode, com a mesma facilidade, aproveitar a rede para acessar o software com finalidade nociva. Mas, se seus próprios funcionários atualizarem fisicamente o software de todas essas subestações ou unidades, o serviço pode sair proibitivamente caro. E se você subcontratar várias empresas para realizar o serviço, talvez não possa manter um controle suficiente de todas elas.

Mesmo se as melhores práticas puderem ser perfeitamente postas em execução, elas não serão páreo para hackers sofisticados, bem pagos, pacientes, em evolução constante. Eles podem encontrar muitas portas abertas pelas quais passar livremente. Não importa se sua empresa tem boa higiene: qualquer ataque bem direcionado acabará invadindo suas redes e sistemas. Pode ser que os hackers levem semanas ou meses, mas eles acabarão entrando.

Essa não é só a minha opinião. Michael Assante, ex-diretor de segurança da American Electric Power e atualmente diretor do Instituto SANS, afirma: “A higiene cibernética é útil para nos proteger de mordedores de calcanhar online, e se executada perfeitamente num mundo utópico, poderá evitar 95% dos ataques”. Mas no mundo real, diz ele, “não passa de uma lombada para hackers sofisticados que visam um alvo específico”. Em entrevista ao Wall Street Journal no ano passado, Bob Lord, ex-chefe de segurança da Yahoo e do Twitter, comentou: “Quando converso com diretores de segurança, percebo um pouco desse fatalismo, que é ‘não posso me defender do ataque mais sofisticado de um estado-nação. É um jogo perdido. Não vou quebrar a cabeça com este problema’”.

Um exemplo é o ataque do vírus Shamoon à Saudi Aramco, que dispunha de boas defesas instaladas. O ataque, que agentes americanos suspeitam tenha sido deflagrado pelo Irã, apagou dados de 75% dos PCs corporativos da empresa petrolífera. Um ataque mais recente, em março de 2018, tinha por objetivo explodir a petroquímica saudita interferindo nos controladores de segurança. De acordo com o New York Times, o ataque teria sido bem-sucedido se o código do hacker não tivesse um erro. “Os hackers não só tinham de descobrir como entrar no sistema, mas também conhecer
muito bem o projeto para saber o layout da instalação — que tubulações iam para onde e que válvulas fechar para desencadear a explosão”, escreveu o Times.

A ideia radical do INL
Está na hora de adotar uma abordagem radicalmente diferente: afastar-se da dependência total da conectividade e complexidade digital de forma altamente seletiva, identificando os processos e funções mais essenciais e depois reduzindo ou eliminando os caminhos digitais que os hackers possam seguir para atingi-los.

O Laboratório Nacional de Idaho desenvolveu uma abordagem passo a passo: sua metodologia de Engenharia de Informação Cibernética orientada para as consequências (CCE, na sigla em inglês). O objetivo da CCE não é uma avaliação única do risco, mas, ao contrário, uma mudança permanente na forma como os líderes seniores pensam e ponderam os riscos estratégicos cibernéticos da empresa. Embora ainda esteja em fase piloto, obtivemos ótimos resultados. Planejamos ter a CCE completamente pronta em 2019 e dispor de várias empresas de serviços credenciadas para executar a metodologia por volta de 2020. Mas mesmo hoje, os principais preceitos da abordagem da CCE podem ser adaptados por qualquer organização. (O laboratório desenvolveu também uma estrutura paralela: engenharia de informação cibernética, que, apesar de similar à CCE em vários aspectos, descreve métodos para integrar as mitigações do risco cibernético em todo o ciclo de vida do processo.)

A metodologia compreende quatro passos que devem ser executados de forma extremamente colaborativa por:

• um expert da CCE — no momento alguém do INL, mas no futuro pessoas de empresas de serviços de engenharia treinadas pelo INL;
• todos os líderes responsáveis pelo compliance regulador, pelos procedimentos jurídicos e pela mitigação de riscos: o CEO, o diretor de operações (COO), o diretor financeiro (CFO), o diretor de risco, o conselheiro geral e o diretor de segurança (CSO);
• pessoas que fiscalizam as funções operacionais centrais;
• especialistas em sistemas de segurança e operadores e engenheiros familiarizados com os processos dos quais a empresa mais depende;
• especialistas cibernéticos e engenheiros de processo que sabem como os sistemas e os equipamentos podem ser usados de forma incorreta.

Para muitos no exercício dessas funções, o processo pode ser estressante. Por exemplo, a exposição aos riscos, até agora desconhecidos, no nível empresarial certamente fará o CSO sentir-se desconfortável de início. Isso nem sempre é justo. Nenhum CSO pode pretender preparar por completo a empresa para um ataque de um adversário extremamente bem provido de recursos.

1. Identificar os processos “joia da coroa”
O trabalho começa com o que o INL chama de priorização de consequências: a geração de possíveis cenários catastróficos ou de enormes consequências. Esse passo exige identificar funções ou processos cuja falha provocaria danos tão devastadores que ameaçariam a própria sobrevivência da companhia. Podemos citar como exemplos ataques aos transformadores de empresas geradoras de eletricidade que as impediriam de distribuir energia — ou a estações de compressão de companhias de fornecimento de gás natural que as impossibilitariam de distribuir o produto aos clientes — durante um mês. Outros exemplos incluem um ataque bem direcionado aos sistemas de segurança de uma indústria de produtos químicos ou a uma refinaria de petróleo fazendo a pressão exceder os limites e provocando uma explosão que poderia matar ou ferir centenas ou milhares de pessoas, gerar processos judiciais com prejuízos financeiros devastadores, provocar o caos no mercado de capitalização da empresa e custar o emprego dos líderes.

Analistas familiarizados com o nível de sofisticação dos atos de adversários cibernéticos ajudam a equipe a prever os prováveis objetivos finais dos potenciais ataques. Com base na resposta da empresa a perguntas como “o que você faria se quisesse destruir seus processos ou arruinar sua empresa?” e “quais as primeiras instalações que você atacaria?”, os analistas identificam os alvos cuja destruição seria mais catastrófica e desenvolvem cenários para ser discutidos pelos executivos do C-level. Dependendo do porte da empresa, esse passo pode demorar semanas ou meses.

2. Mapear o terreno digital
A próxima tarefa, que costuma levar uma semana inteira, mas pode demorar mais, consiste em mapear todo o hardware, softwares, tecnologia de comunicação e o pessoal de apoio e processos (incluindo fornecedores e serviços de terceiros) nos cenários finais da empresa. Essa tarefa envolve definir os passos de produção, documentar com grande detalhamento todos os locais onde são empregados sistemas de controle e de automação e capturar todos os inputs físicos ou de dados necessários aos processos e funções. Essas conexões são caminhos potenciais para os hackers, e as empresas, muitas vezes, não têm conhecimento de todos eles.

Os mapas atuais desses elementos nunca correspondem perfeitamente à realidade. Respostas a perguntas como “quem tem acesso ao seu equipamento?” e “como a informação trafega pelas suas redes e como você a protege?” sempre trarão surpresas. Por exemplo, um arquiteto ou engenheiro de rede informa à equipe que um sistema vital está conectado não só aos sistemas operacionais, mas também à rede da empresa dedicada a contas a pagar e receber, sistemas de pagamento, sistemas de informação dos clientes e — por extensão — à internet. Questionando o responsável pelo gerenciamento dos fornecedores, a equipe descobre que o fornecedor desse sistema mantém uma conexão direta sem fio para realizar análises e diagnósticos remotos. Um fornecedor de um sistema seguro afirma que ele não pode se comunicar diretamente com o equipamento, mas uma análise cuidadosa da mecânica e dos processos de atualização revela que, na verdade, ele pode sim. Qualquer descoberta dessas é um momento eureka para a equipe.

3. Demarcar os prováveis caminhos do ataque
A seguir, usando uma variante de uma metodologia desenvolvida pela Lockheed Martin, a equipe de analistas identifica os caminhos mais curtos e mais prováveis que os atacantes seguirão para atingir os alvos identificados no passo 1. Esses caminhos são classificados de acordo com o grau de dificuldade. O chefe da CCE e outros experts externos, incluindo pessoas com acesso a informação sigilosa sobre hackers e seus métodos, desempenham um papel importante nesta fase. Eles compartilham informações coletadas de fontes governamentais sobre ataques a sistemas similares no mundo todo. Input adicional da empresa relacionado a sistemas de segurança, capacidades e procedimentos da empresa em responder a ameaças cibernéticas ajuda a equipe a finalizar a lista de caminhos do ataque, que é utilizada no passo 4 para priorizar ações de mitigação que os líderes seniores devem considerar.

4. Gerar opções para mitigação e proteção
Chegou a hora de apresentar opções para reformular os riscos cibernéticos de mais altas consequências. Se houver dez caminhos para um alvo, mas todos eles passarem por determinado nó, este será, obviamente, um local perfeito para instalar um disparador passivo — um sensor cuidadosamente monitorado que alerta a equipe de defesa de prontidão ao primeiro sinal de problema.

Algumas soluções são muito fáceis e baratas, por exemplo um software gratuito equipado com um sensor de vibração integrado que desacelera ou aciona uma unidade que recebeu instruções digitais maliciosas que podem danificá-la ou destruí-la. Outras soluções requerem mais tempo e têm altos custos, como manter um sistema de backup redundante — mas não idêntico —, pronto para continuar uma função vital, mesmo que em condições precárias. Embora muitas soluções não tenham impacto negativo na eficiência e nas oportunidades de negócios, outras podem ter. Por isso, os líderes da empresa precisam decidir por fim como agir, dependendo dos riscos que podem aceitar, evitar, transferir ou tentar mitigar.

Se determinado processo precisa ter um canal digital para monitorar ou enviar sinais de controle, o objetivo deve ser reduzir ao mínimo o número de caminhos digitais de ida e volta do processo vital para facilitar a identificação de tráfego anormal. Além disso, a empresa deve adicionar um dispositivo para proteger determinado sistema se ele receber comandos digitais que possam causar um evento catastrófico — uma válvula ou interruptor mecânico, por exemplo, que impeça que a pressão ou temperatura exceda determinados valores críticos. E, às vezes, a empresa pode querer reintroduzir uma pessoa de confiança na atividade — para monitorar um termômetro mecânico ou um medidor de pressão, por exemplo, e assim garantir que os dispositivos digitais estejam funcionando corretamente. Se sua empresa não sofreu nenhum ataque cibernético grave, a ideia de desconectar tudo o que for possível, instalar dispositivos mecânicos ultrapassados e colocar pessoas em funções automatizadas poderia parecer uma decisão empresarial regressiva. Mas, ao contrário, ela deve ser reformulada como uma decisão proativa de gestão de risco. Pode haver diminuição de eficiência, mas se o custo, um pouco mais alto, reduzir radicalmente a possibilidade de um desastre que seus métodos atuais não conseguem evitar, essa é a medida mais inteligente a tomar.

Não é difícil imaginar que os CEOs e COOs avaliam esse processo com ceticismo. Em qualquer projeto de mudança de gestão, demover corações e mentes das ideias a que se mantiveram fiéis por décadas é um desafio e tanto. Espere resistência, principalmente no início. Revelar tanta informação sobre sua empresa e admitir fraquezas que você desconhecia ou não queria admitir é psicologicamente oneroso. As fases posteriores abalarão a convicção dos engenheiros à medida que forem testadas as fraquezas de seus sistemas e práticas. Faça com que os responsáveis pelos sistemas se sintam seguros até durante as avaliações mais duras. No fim das contas, a informação detalhada das abordagens dos adversários e de aonde eles poderiam chegar — mostrando que nada disso é impossível de acontecer com você — será uma revelação. Até mesmo os executivos mais resistentes cederão às evidências quando reconhecerem os riscos e se inteirarem da melhor forma de mitigá-los.

O que você pode fazer hoje
Aprender a pensar como seus adversários. Forme uma equipe interna encarregada de avaliar continuamente o poder de suas defesas quando se trata de atingir alvos vitais. A equipe deve incluir especialistas nos processos em questão, sistemas de controle e segurança e redes operacionais.

Mesmo se você não puder manter consistentemente altos níveis de higiene cibernética, deve estar preparado para uma violação de dados. A melhor forma de se defender é criar uma cultura de segurança cibernética similar às que existem nas grandes indústrias químicas e usinas nucleares. Todos os funcionários, do mais antigo ao mais recente, devem estar cientes da importância de reagir rapidamente quando um sistema de computador ou uma máquina aos seus cuidados começa a se comportar de forma anormal: pode ser mau funcionamento do equipamento, mas pode ser também um ataque cibernético.

Finalmente, um plano B deve estar pronto para ser executado, se e quando você e sua equipe perderem a confiança nos sistemas que apoiam as funções vitais. Ele deve ser projetado para permitir que sua empresa mantenha suas operações essenciais em funcionamento, mesmo que seja em nível reduzido. Idealmente, o sistema de backup não deve depender de tecnologias digitais e não deve estar conectado a nenhuma rede — principalmente internet. No mínimo, ele não deve replicar exatamente o sistema em questão, por um motivo óbvio: se os hackers conseguirem violar o sistema original, eles serão capazes também de invadir facilmente qualquer outro idêntico ao original.

Qualquer organização que dependa de tecnologias digitais e da internet está vulnerável a um ataque cibernético devastador. Nem mesmo as melhores práticas de higiene cibernética poderão parar a Rússia, Coreia do Norte, grupos terroristas e criminosos extremamente habilidosos e bem providos de recursos. A única forma de proteger sua empresa é dar, onde for possível, o que pode parecer um passo tecnológico para trás, que, no entanto, é na verdade um passo adiante em matéria de engenharia inteligente. O objetivo é reduzir — se não for possível eliminar — a dependência de funções vitais a tecnologias digitais e suas conexões com a internet. O custo, às vezes mais alto, será uma bagatela se comparado ao preço potencialmente devastador do negócio, como sempre.

 

Compartilhe nas redes sociais!