Hoje, a cadeia de suprimentos tornou-se um alvo principal para os cibercriminosos. Organizações que não garantem que seus fornecedores e parceiros de tecnologia estejam genuinamente comprometidos com a segurança cibernética correm o risco de interrupções operacionais, perdas financeiras significativas e danos potencialmente graves à reputação. Em alguns casos, isso pode até levar ao descumprimento de normas regulatórias e a penalidades substanciais.
Ataques cibernéticos recentes à cadeia de suprimentos na Espanha e na América Latina
Em setembro de 2024, uma das principais fornecedoras de energia da Espanha sofreu um ataque cibernético que comprometeu parcialmente seu banco de dados de clientes de eletricidade e gás. Esse incidente, que resultou no acesso não autorizado a informações pessoais como nomes, números de identidade e endereços, ocorreu por meio de um de seus fornecedores de tecnologia, evidenciando como uma vulnerabilidade na cadeia de suprimentos pode levar a uma violação de segurança com consequências significativas para a organização e seus usuários.
Outro exemplo da América Latina ocorreu em setembro de 2023, quando um provedor de serviços gerenciados foi vítima de um ataque de ransomware que impactou diretamente diversas entidades governamentais e empresas em países como Colômbia, Chile, Argentina e Panamá. Como um ator fundamental na infraestrutura tecnológica da região, o ciberataque desencadeou um efeito dominó que interrompeu os serviços de inúmeros clientes, demonstrando como uma violação em um provedor pode rapidamente se alastrar e afetar toda uma rede de organizações interdependentes.
Estatísticas preocupantes
De acordo com Estatística, Somente em 2023, foram registrados mais de 245.000 ataques maliciosos contra a cadeia de suprimentos de software de código aberto, representando um aumento de quase 2.801% em comparação com o ano anterior. Enquanto isso, Gartner A previsão é de que, até 2025, 451% das organizações em todo o mundo terão sofrido ataques às suas cadeias de suprimentos de software.
Essas tendências refletem a crescente ameaça que os ataques cibernéticos representam para a cadeia de suprimentos e a necessidade urgente de implementar medidas robustas de segurança cibernética para proteger as operações comerciais.
Quais são os riscos?
Um dos principais desafios que as organizações enfrentam para garantir a segurança cibernética de sua cadeia de suprimentos é a falta de visibilidade e controle sobre os fornecedores. Muitas empresas não possuem mecanismos eficazes para monitorar e avaliar a segurança de seus parceiros comerciais, o que dificulta a identificação precoce de possíveis ameaças.
Outro problema crítico é o erro humano, responsável por entre 75% e 95% dos incidentes de cibersegurança, de acordo com diversos estudos. Esses erros incluem práticas comuns como abrir e-mails maliciosos ou configurar sistemas incorretamente.
Além disso, a dependência de tecnologias obsoletas expõe as organizações a vulnerabilidades conhecidas que podem ser facilmente exploradas por atacantes. Por fim, o descumprimento das normas de cibersegurança vigentes, seja por falta de conhecimento ou de recursos, aumenta significativamente a exposição das empresas a riscos legais e operacionais.
Soluções para proteger a cadeia de suprimentos
Para minimizar os riscos associados a potenciais ciberataques na cadeia de suprimentos, é crucial adotar soluções que otimizem a cibersegurança dos sistemas e protejam a integridade tanto dos dados da organização quanto de sua infraestrutura tecnológica. Um aspecto fundamental é verificar e exigir que nossos fornecedores mantenham, no mínimo, um nível de cibersegurança igual ou superior ao nosso.
Por exemplo, investir em gestão de identidade e acesso (IAM) envolve a implementação de autenticação multifator e controles de acesso baseados em funções para limitar a disponibilidade de informações sensíveis. Além disso, o monitoramento contínuo do sistema é crucial para a detecção precoce de atividades suspeitas e para uma resposta rápida a incidentes. Os serviços de vigilância digital, em conjunto com aqueles oferecidos pelos Centros de Operações de Segurança (SOCs), frequentemente proporcionam recursos aprimorados de detecção precoce, otimizando assim a resposta da organização a incidentes que ainda não ocorreram.
Além disso, vimos como os próprios usuários são alvos desses ataques cibernéticos. Isso significa que o treinamento adequado e a conscientização sobre as melhores práticas de segurança cibernética para os funcionários são essenciais para fomentar uma cultura organizacional preventiva, que os tornará nossa primeira linha de defesa.
Por fim, é necessário realizar avaliações e gestão de riscos por meio de auditorias periódicas para identificar e corrigir potenciais vulnerabilidades na infraestrutura tecnológica, utilizando ferramentas como os serviços de teste de intrusão. Da mesma forma, e considerando a potencial falta de transparência por parte de alguns fornecedores, existem sistemas de monitoramento digital que nos permitem antecipar possíveis problemas de segurança cibernética com fornecedores, como o roubo de credenciais de acesso à nossa organização por parte do fornecedor ou mesmo medir o tempo médio de resolução de incidentes envolvendo credenciais de fornecedores, entre outros.
Gestão de riscos na cadeia de suprimentos por meio de regulamentações
O Diretiva SRI2 A diretiva NIS2 da União Europeia, em vigor desde janeiro de 2023, estabeleceu requisitos de cibersegurança mais rigorosos para empresas em setores críticos. Seu foco principal é a gestão de riscos na cadeia de suprimentos, onde as organizações devem avaliar e mitigar os riscos associados a seus fornecedores e parceiros tecnológicos.
Outra obrigação imposta por este novo regulamento é a notificação de incidentes de segurança significativos dentro de um prazo específico. O não cumprimento pode resultar em sanções, incluindo multas de até 10 milhões de euros ou 21% do volume de negócios anual global, dependendo da gravidade da violação.
A implementação da nova Diretiva NIS2 representa um avanço significativo na garantia da cibersegurança das organizações, uma vez que aborda aspectos fundamentais como a proteção dos recursos humanos e a gestão da cadeia de suprimentos. Para manter a segurança de suas operações e infraestrutura, as empresas devem adotar uma abordagem proativa que lhes permita cumprir os requisitos estabelecidos e fortalecer suas defesas contra potenciais ameaças cibernéticas.
Essa abordagem preventiva também envolve o alinhamento com outras regulamentações importantes que fortalecem a resiliência digital e a proteção de dados. Por exemplo, a Regulamento Geral de Proteção de Dados O Regulamento Geral sobre a Proteção de Dados (RGPD) estabelece requisitos rigorosos para o processamento e a proteção de dados pessoais, enquanto os regulamentos PCI-DSS, Com foco na proteção dos dados de cartões de pagamento, a legislação também tem implicações diretas para a segurança da cadeia de suprimentos, pois exige controles rigorosos sobre terceiros que processam, armazenam ou transmitem informações sensíveis, obrigando as empresas a avaliarem cuidadosamente seus fornecedores e a garantirem que estes cumpram os padrões de segurança exigidos.
No setor financeiro, o Regulamentos DORA A Lei de Resiliência Operacional Digital (DORA) reforça ainda mais esses requisitos ao estabelecer uma estrutura comum para a resiliência operacional digital de entidades do setor financeiro e seus provedores críticos de TIC. A DORA exige que as organizações não apenas garantam a continuidade de seus serviços diante de incidentes tecnológicos, mas também monitorem e gerenciem os riscos decorrentes de sua dependência de provedores de tecnologia terceirizados, alinhando-se, assim, aos princípios da NIS2 sobre supervisão da cadeia de suprimentos.
Proteger os ativos digitais das empresas
O soluções abrangentes de cibersegurança de Excelia São soluções especificamente concebidas para reforçar a cibersegurança dos nossos clientes. Desde consultoria especializada em proteção de ativos até gestão de riscos e conformidade (GRC), criamos estratégias personalizadas para cada empresa. Implementamos soluções para garantir a segurança da informação, das redes, dos endpoints e da nuvem, protegendo as infraestruturas contra ameaças. Além disso, prestamos consultoria sobre o cumprimento de todas as normas vigentes e oferecemos inteligência de ameaças e testes de penetração para detetar e mitigar riscos antes que estes ocorram.
A cibersegurança deixou de ser apenas uma questão interna. É uma estratégia compartilhada, construída com todos os membros do seu ecossistema. Somente aqueles que protegem toda a sua rede estarão preparados para resistir às ameaças de um ambiente cada vez mais hostil.
