Ataques à cadeia de fornecimento digital expõe fragilidades na cibersegurança

A Panorays divulgou a edição de 2026 do seu “CISO Survey for Third-Party Cyber Risk Management”, revelando lacunas significativas na capacidade das organizações para identificar e mitigar ameaças na cadeia de fornecimento digital.

Com base em respostas de 200 CISO de empresas sediadas nos Estados Unidos, o estudo indica que, embora 60% dos responsáveis de segurança reportem um aumento de incidentes de segurança envolvendo terceiros, apenas 15% afirmam ter visibilidade total sobre esses riscos. Esta falta de visibilidade é apontada como um dos principais fatores que tornam o risco de terceiros um dos desafios mais críticos da atualidade em cibersegurança.

Os resultados mostram que 77% dos CISO consideram o risco de terceiros uma ameaça grave, mas apenas 21% testaram planos de resposta a crises, expondo as organizações a interrupções prolongadas, perdas financeiras, exposição de sistemas sensíveis e potenciais sanções regulatórias. Sem planos eficazes, mesmo incidentes aparentemente menores podem escalar rapidamente.

O estudo destaca ainda que a maioria das organizações monitoriza apenas fornecedores diretos. Apesar do aumento das violações envolvendo terceiros, apenas 41% acompanham riscos além do primeiro nível da cadeia, deixando fornecedores indiretos e dependências críticas fora do radar das equipas de segurança.

Outro fator de preocupação é o impacto da “shadow AI”. Apesar da rápida adoção de ferramentas baseadas em Inteligência Artificial (IA), apenas 22% dos CISO afirmam ter processos formais de avaliação destas soluções, o que resulta na integração de tecnologias de terceiros não validadas em ambientes críticos. Cerca de 60% dos inquiridos identificam a shadow AI como um risco particularmente elevado, por criar novos vetores de ataque difíceis de detetar.

O relatório revela também um elevado nível de insatisfação com as plataformas tradicionais de Governance, Risk and Compliance (GRC). Embora 61% das organizações tenham investido nestas soluções, 66% consideram-nas ineficazes para lidar com a natureza dinâmica dos riscos externos, obrigando as equipas de segurança a recorrer a processos manuais, mais lentos e sujeitos a erro.

As avaliações de segurança estáticas estão igualmente a perder relevância. 71% dos CISO admitem que os questionários tradicionais já não são eficazes, gerando fadiga em vez de visibilidade real. Em resposta, 66% das organizações estão a adotar ferramentas de avaliação baseadas em IA, numa tentativa de obter uma visão mais contínua e automatizada do risco.

“Os nossos dados mostram que as vulnerabilidades associadas a terceiros não estão a diminuir – pelo contrário, estão a tornar-se mais frequentes devido à falta de visibilidade e à adoção descontrolada de ferramentas de IA”, afirma Matan Or-El, fundador e CEO da Panorays. “É particularmente alarmante que apenas 15% dos CISO consigam mapear toda a sua cadeia de fornecimento.”

Apesar de alguns sinais positivos, o panorama geral mantém-se preocupante. Embora a adoção de soluções de IA para gestão de risco de terceiros tenha aumentado de 27% em 2025 para 66% em 2026, 85% das organizações continuam sem uma visão completa do seu cenário global de ameaças, reforçando a necessidade de novas abordagens para proteger cadeias de fornecimento cada vez mais complexas e interligadas.