Cresce o número de vulnerabilidade na cadeia de fornecedores (supply chain)

Criminosos digitais estão explorando cada vez mais as fragilidades das cadeias de suprimentos de grandes empresas, transformando fornecedores em pontos de entrada para ataques. O número de invasões por meio de terceiros dobrou em 2024, refletindo o crescimento do setor ilícito de ransomware, que movimenta bilhões de dólares.

Segundo o relatório de 2025 da Verizon, 30% dos 7.965 ataques cibernéticos no ano passado tiveram origem em parceiros externos, contra 14,9% em 2023. Esses incidentes incluem desde brechas em softwares até prestadores de serviços de TI, inteligência artificial e call centers. Em alguns casos, os hackers miram o “elo fraco” para alcançar empresas maiores, multiplicando os resultados de um único ataque.

Exemplos recentes incluem a varejista britânica Marks & Spencer, afetada após falha em um fornecedor, e o NHS inglês, atingido após ataque à Synnovis, empresa de serviços laboratoriais. Além de grupos criminosos, atores estatais, especialmente apoiados pela Coreia do Norte, têm ampliado o uso dessa tática, combinando volume com sofisticação.

Especialistas alertam que esse tipo de ameaça pode gerar vítimas colaterais, já que muitas vezes o alvo original está protegido, mas parceiros menos preparados tornam-se portas de acesso. A crescente onda de ataques já pressiona governos a reforçar legislações. A União Europeia, com a diretiva NIS2, exige que setores críticos gerenciem riscos de fornecedores. O Reino Unido prepara um projeto para incluir provedores de software, enquanto os EUA também exigem maiores salvaguardas de empresas que atendem ao governo federal.

Fonte: Boletim SEC.