Cadeia de suprimentos se consolida como a nova fronteira do risco cibernético

A segurança da informação deixou de ser um desafio restrito aos limites internos das empresas. Dados recentes mostram que 62% dos incidentes de segurança registrados em 2025 tiveram conexão direta com terceiros, como fornecedores, prestadores de serviço e parceiros tecnológicos, segundo o relatório IBM X-Force Threat Intelligence. No mesmo período, a superfície de ataque associada à cadeia de suprimentos quadruplicou na última década, de acordo com o Enisa Supply Chain Threat Landscape 2025.

Esse cenário evidencia uma mudança estrutural no modelo de risco corporativo. Para Jardel Torres, sócio e diretor comercial (CCO) da Ostec, empresa especializada em cibersegurança, a lógica tradicional de defesa já não é suficiente. “Se antes bastava proteger as muralhas da própria casa, hoje o risco está distribuído por toda a rede de parceiros. A cadeia de suprimentos se tornou a nova superfície de ataque, e muitas empresas ainda não perceberam isso”, afirma.

Ataques emblemáticos dos últimos anos ajudaram a consolidar essa percepção. O caso SolarWinds em 2020 demonstrou como um ataque à cadeia de desenvolvimento de software pode comprometer atualizações legítimas, afetando milhares de organizações em todo o mundo.

Já os incidentes envolvendo Kaseya e MOVEit evidenciaram o efeito cascata provocado por vulnerabilidades em Managed Service Providers (MSPs) e ferramentas de transferência de arquivos, permitindo o roubo de dados em massa e a paralisação de operações críticas em diversos setores.

Nos últimos dois anos, novos episódios reforçam que o problema não é pontual, mas estrutural como o CodeIntegrity SDK – um SDK amplamente utilizado por aplicativos de fintechs foi comprometido para capturar silenciosamente credenciais de login e dados de transações de usuários finais; ConnectWise ScreenConnect – uma vulnerabilidade crítica em uma ferramenta popular de acesso remoto foi explorada como porta de entrada para ataques de ransomware, especialmente via MSPs; e Cloud-Ops-Pro – uma fornecedora de automação em nuvem teve seus sistemas violados, permitindo a instalação de ransomware diretamente em ambientes AWS e Azure de dezenas de clientes.

Segundo Cassio Brodbeck, CEO do Grupo Ostec, a tendência é de continuidade e sofisticação desses ataques. “Esses incidentes mostram que o atacante não precisa mais atacar diretamente a empresa-alvo. Ele explora o elo mais frágil da cadeia e escala o ataque. É um modelo que veio para ficar”, explica.

O impacto no Brasil e na América Latina

No Brasil e na América Latina, o cenário não é diferente. Casos recentes de fraudes associadas ao sistema Pix e o ataque a um grande hospital em São Paulo chamaram atenção para o impacto direto desse tipo de ameaça. No episódio do hospital, consultas e cirurgias foram canceladas, rotas de ambulâncias desviadas e serviços essenciais comprometidos.

Na América Latina, um incidente envolvendo o varejo expôs dados de clientes por meses devido a uma API mal configurada em um integrador de pagamentos amplamente utilizado em plataformas de e-commerce.

“A proximidade cultural e o modelo de negócios baseado em confiança acabam mascarando riscos reais. Muitas vezes, o fornecedor tem acesso amplo a sistemas críticos sem o mesmo nível de controle exigido internamente”, alerta Jardel Torres.

A raiz do problema: pessoas, processos e tecnologia

De acordo com a Ostec, a maioria dos incidentes continua tendo origem em “falhas triviais” nos três pilares fundamentais da segurança da informação:

Pessoas: fornecedores sem cultura de segurança, ausência de treinamentos contínuos, compartilhamento de credenciais privilegiadas, engenharia social direcionada a terceiros e falta de responsáveis claros por segurança.

Processos: auditorias superficiais focadas apenas em compliance, contratos sem cláusulas de responsabilidade, ausência de gestão do ciclo de vida de acessos e falta de planos integrados de resposta a incidentes envolvendo fornecedores.

Tecnologia: conexões remotas inseguras, privilégios excessivos e permanentes, redes não segmentadas, APIs sem autenticação forte e monitoramento, além do uso de bibliotecas e sistemas desatualizados.

Sendo assim, para reduzir esses riscos, os especialistas da Ostec recomendam a adoção de uma estratégia integrada que combine governança, due diligence e controles técnicos robustos. O primeiro passo é mapear e classificar os fornecedores de acordo com o nível de criticidade para o negócio, permitindo priorizar ações de segurança.

Antes da contratação, é fundamental realizar uma due diligence de segurança baseada em boas práticas reconhecidas no Nist CSF, CIS Controls, ISOs e extensões, além de exigir contratos com cláusulas claras sobre proteção da informação, conformidade com a LGPD e direito de auditoria. Também é recomendável solicitar certificações como a ISO 27001, relatórios de testes de intrusão (pentest) e o SBOM (Software Bill of Materials), garantindo maior visibilidade sobre os riscos da cadeia de software.

Do ponto de vista técnico, a Ostec destaca a importância da adoção de modelos de Zero Trust, microsegmentação de rede, gestão de acessos privilegiados (PAM), análise de composição de software (SCA), monitoramento contínuo da superfície de ataque externa e proteção das integrações entre sistemas. “Segurança é uma só. Não é uma tecnologia diferente para fornecedores, mas a aplicação consistente das mesmas boas práticas. O erro mais comum é achar que isso exige soluções novas, quando na verdade exige disciplina, visibilidade e governança”, reforça Torres.

Serviço
www.ostec.com.br