Ataques à cadeia de valor lideram ameaças

Os ataques à cadeia de abastecimento tornaram-se a principal ciberameaça enfrentada pelas empresas no último ano, segundo um estudo global da Kaspersky. Cerca de 31% das organizações reportaram incidentes deste tipo, superando outras ameaças como ransomware ou Ameaças Persistentes Avançadas (APT).

O relatório “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, que se baseia num inquérito global encomendado pela Kaspersky, focado na análise da exposição das organizações a riscos emergentes em ecossistemas digitais interdependentes, analisa o impacto da crescente interligação digital nas organizações e destaca o aumento da exposição a riscos associados a fornecedores e terceiros.

Dados do Fórum Económico Mundial indicam que 65% das grandes empresas consideram as vulnerabilidades de terceiros e da cadeia de abastecimento como os principais entraves à ciberresiliência.

O estudo revela que as grandes organizações são as mais afetadas, com uma taxa de incidentes de 36%, refletindo a complexidade dos seus ecossistemas digitais. Em média, estas empresas gerem cerca de cem fornecedores de software e hardware e concedem acesso a mais de 130 prestadores de serviços, ampliando significativamente a superfície de ataque.

Além dos ataques à cadeia de abastecimento, os ataques a relações de confiança também ganharam relevância, tendo afetado 25% das organizações a nível global. Estes ataques exploram ligações legítimas entre empresas para comprometer sistemas e dados.

Apesar da frequência destes incidentes, muitas organizações continuam a subestimar o risco. Apenas 9% identificam ataques à cadeia de abastecimento como a principal preocupação, evidenciando um desalinhamento entre perceção e exposição real.

Em mercados como México, China e Espanha, a exposição a este tipo de ameaça apresenta níveis superiores à média global. O estudo destaca ainda que empresas em Singapura, Brasil e Colômbia atribuem maior relevância a estes riscos.

No contexto português, a dependência de fornecedores tecnológicos, serviços de outsourcing e soluções cloud aumenta a exposição a este tipo de ameaças. A integração em cadeias de valor internacionais amplifica o impacto potencial de incidentes, com consequências na continuidade do negócio, confiança dos clientes e cumprimento de requisitos regulatórios, incluindo a diretiva NIS2.

Sergey Soldatov, Head of Security Operations Center da Kaspersky, afirma que a segurança empresarial deve ser encarada como um ecossistema interligado, onde cada fornecedor ou integração influencia diretamente o perfil de risco.

Para mitigar estes riscos, a Kaspersky recomenda uma abordagem abrangente, incluindo avaliação rigorosa de fornecedores, definição de requisitos contratuais de segurança, adoção de modelos como zero trust, monitorização contínua e planos de resposta a incidentes que contemplem a cadeia de abastecimento.