O Relatório Global de Ameaças 2024 da CrowdStrike, uma referência no setor de cibersegurança, destaca os principais desafios e tendências enfrentados por organizações ao redor do mundo. Entre os diversos temas abordados, a exploração de relacionamentos com terceiros emerge como um dos mais críticos. Este artigo examina como as relações com parceiros e fornecedores podem se tornar tanto um ativo quanto uma vulnerabilidade para as empresas, especialmente quando a cibersegurança não é tratada com a devida importância.
A contratação de terceiros é uma prática comum em qualquer setor, permitindo às empresas expandirem suas capacidades, acessar novas tecnologias e melhorar a eficiência operacional. No entanto, essas parcerias também introduzem riscos significativos à cibersegurança. Como evidenciado no relatório da CrowdStrike, adversários frequentemente exploram esses relacionamentos para obter acesso inicial às redes corporativas. Isso ocorre quando um parceiro ou fornecedor, muitas vezes visto como uma entidade confiável, se torna um ponto de entrada para cibercriminosos devido a vulnerabilidades em sua própria infraestrutura.
O due diligence surge como uma medida preventiva essencial nesse cenário. Trata-se de um processo de investigação e avaliação dos potenciais riscos associados à contratação de um terceiro. No contexto da cibersegurança, isso significa examinar cuidadosamente as práticas de segurança do parceiro, sua conformidade com regulamentações como a Lei Geral de Proteção de Dados (LGPD), e sua capacidade de proteger informações sensíveis. Sem um due diligence robusto, as empresas podem inadvertidamente expor seus dados e sistemas a ameaças cibernéticas, colocando em risco não apenas sua segurança, mas também sua reputação e conformidade legal.
Outro ponto crucial é a gestão de acessos e identidades. Quando terceiros recebem acesso aos sistemas corporativos, é fundamental garantir que esse acesso seja rigorosamente controlado e monitorado. Infelizmente, a má gestão desses acessos pode resultar em brechas de segurança, como foi observado em vários incidentes relatados pela CrowdStrike. A imposição de práticas rigorosas, como autenticação multifator e revisão periódica dos direitos de acesso, pode mitigar esses riscos.
Além disso, o monitoramento contínuo das atividades dos parceiros é uma prática que não deve ser negligenciada. Mesmo após a contratação, é vital que as empresas continuem a avaliar as práticas de segurança dos terceiros, garantindo que elas permaneçam alinhadas com os padrões exigidos. Auditorias regulares, revisões contratuais e o uso de ferramentas avançadas de monitoramento são passos essenciais para manter a segurança da cadeia de fornecimento.
Exemplos Nacionais e Internacionais de Exploração de Relacionamentos com Terceiros
Exemplos de exploração de relacionamentos com terceiros não faltam, tanto no Brasil quanto no cenário internacional. No Brasil, o caso do Banco Inter, em 2018, ilustra como a falta de rigor na contratação de terceiros pode levar a vazamentos de dados sensíveis. Segundo a empresa, uma pessoa autorizada a atuar em seus sistemas quebrou o dever de sigilo, comprometendo os dados de milhares de correntistas.
Internacionalmente, o ataque à Target em 2013 é um exemplo clássico. Um fornecedor de serviços de HVAC (aquecimento, ventilação e ar-condicionado) foi comprometido, permitindo que hackers acessassem a rede da Target e roubassem informações de cartões de crédito de milhões de clientes. Esse incidente destacou a importância de avaliar rigorosamente a segurança dos parceiros e implementar controles robustos para limitar o acesso a informações críticas.
A exploração de relacionamentos com terceiros representa um risco significativo para a cibersegurança das empresas, como demonstrado pelos exemplos e pelo relatório da CrowdStrike. A implementação de processos de due diligence, gestão rigorosa de acessos, e monitoramento contínuo são fundamentais para mitigar esses riscos. Além disso, contar com parceiros especializados em cibersegurança, como a SECURAMDATA, pode fazer toda a diferença.
A SECURAMDATA oferece serviços completos de due diligence, ajudando sua empresa a identificar e mitigar riscos de cibersegurança associados à contratação de terceiros, garantindo a proteção dos seus ativos mais valiosos.