"Risco de Terceiros: Por Que as Violações Começam no Fornecedor"

· Equipe CSURFACE · #Superfície de Ataque · #risco de terceiros · #gestão de risco de fornecedores · #TPRM · #cadeia digital]

O perímetro de uma organização deixou de coincidir com os ativos que ela própria administra. Hoje, uma parcela relevante da operação depende de fornecedores de tecnologia, plataformas SaaS integradas, provedores de nuvem e APIs de parceiros. Cada uma dessas conexões amplia a superfície exposta à internet e transfere, para fora do controle direto da companhia, uma fração do risco que os comitês de auditoria e de risco são responsáveis por supervisionar.

Os dados de 2025 tornaram essa dinâmica difícil de ignorar. O relatório anual da Verizon documentou que a participação de terceiros nas violações confirmadas dobrou em relação ao período anterior, passando de 15% para 30% dos casos analisados. A leitura é direta: aproximadamente uma em cada três violações agora envolve um elo da cadeia de fornecedores, e não exclusivamente os sistemas internos da organização atingida.

Este texto examina por que a exposição de terceiros cresceu, por que os instrumentos tradicionais de avaliação de fornecedores deixaram de acompanhá-la e o que a supervisão contínua da superfície de ataque de terceiros oferece a quem responde por risco no nível do conselho.

O que os números de 2025 estabelecem

A base analítica é ampla e converge. O relatório da Verizon examinou mais de 22 mil incidentes e 12.195 violações confirmadas, o maior conjunto de dados já reunido pela publicação, e registrou o salto da participação de terceiros de 15% para 30%. Trata-se de uma duplicação em um único ciclo anual.

A SecurityScorecard, em seu relatório global de violações de terceiros, aponta na mesma direção com metodologia independente: 35,5% das violações analisadas em 2024 tiveram origem no acesso de terceiros, uma alta de 6,5 pontos percentuais sobre o ano anterior. A própria publicação observa que o número tende a ser conservador, dada a subnotificação e a classificação incorreta de incidentes cuja origem externa nem sempre é reconstruída.

O custo acompanha a frequência. O relatório de custo de violação de dados da IBM identificou que um comprometimento de cadeia de suprimentos custa, em média, US$ 4,91 milhões e leva 267 dias para ser identificado e contido, o ciclo de vida mais longo entre todos os vetores acompanhados. A duração importa tanto quanto o valor: quanto mais tempo um comprometimento originado em um fornecedor permanece sem detecção, maior a janela de movimentação lateral e de exfiltração.

Há ainda o efeito de propagação. A análise da SecurityScorecard registrou que, para cada fornecedor comprometido, uma média de 5,28 organizações a jusante foram publicamente afetadas, o nível mais alto já observado. Um único ponto de falha em um provedor compartilhado converte-se, com frequência, em incidente simultâneo para dezenas de clientes.

O ransomware conecta-se diretamente a esse vetor. A mesma análise indica que 41,4% dos ataques de ransomware passaram a se iniciar por meio de terceiros. O acesso ao fornecedor tornou-se o caminho de menor resistência para o atacante que busca escala.

Por que a superfície de terceiros cresceu

A expansão não é acidental. Ela reflete a arquitetura tecnológica que as organizações adotaram na última década.

A operação moderna é composta por serviços integrados. Autenticação delegada a provedores de identidade, processamento em nuvem, ferramentas de colaboração, gateways de pagamento, plataformas de dados e software de transferência de arquivos formam uma malha de dependências. Cada integração exige credenciais, tokens de API ou canais de rede que permanecem ativos e expostos. O relatório da Verizon identifica que credenciais comprometidas seguem como o vetor de acesso inicial mais comum, presente em 22% das violações, e boa parte dessas credenciais pertence a contextos de integração entre organizações.

Os vetores mais explorados concentram-se em categorias específicas de fornecedores. As análises de 2025 apontam serviços de TI, plataformas de nuvem e soluções de software como os alvos mais recorrentes, com vulnerabilidades em software de transferência de arquivos figurando entre os pontos de entrada mais utilizados. Setores como varejo, tecnologia e energia registraram as maiores taxas de violação por terceiros.

O ponto estrutural é que a exposição de um fornecedor tornou-se, na prática, exposição da organização contratante. Um servidor de transferência de arquivos desatualizado, uma interface administrativa acessível pela internet ou um certificado expirado no ambiente de um parceiro criam risco que se materializa no negócio do cliente, ainda que nenhum ativo próprio tenha sido tocado.

Por que o questionário pontual falhou

O instrumento predominante de gestão de risco de fornecedores continua sendo o questionário de avaliação aplicado no momento da contratação e, quando há disciplina, renovado anualmente. Esse modelo carrega três limitações que os dados recentes expõem com clareza.

A primeira é temporal. O questionário captura uma declaração de postura em uma data específica. A superfície de ataque de um fornecedor, no entanto, muda continuamente: novos serviços entram em produção, ativos são publicados, vulnerabilidades são divulgadas e certificados vencem. Uma avaliação válida em janeiro descreve uma realidade que já não corresponde ao ambiente em junho. Entre um ciclo de revisão e o seguinte, a organização opera com base em uma fotografia vencida.

A segunda é de natureza da evidência. O questionário coleta autodeclarações. Ele registra o que o fornecedor afirma sobre seus controles, não o que está efetivamente exposto à internet em seu perímetro. Existe uma distância consistente entre a política documentada e a configuração real dos ativos, e é nessa distância que o incidente se origina.

A terceira é de cobertura. O programa formal de avaliação alcança os fornecedores contratualmente reconhecidos como críticos. A malha de integrações reais é mais ampla: inclui subfornecedores, serviços SaaS adotados por áreas de negócio sem passar pela avaliação central e conexões de parceiros que se acumularam ao longo do tempo. A concentração de dependência em provedores compartilhados, que a regulação europeia já trata explicitamente, raramente aparece em um questionário individual.

O próprio setor reconhece o descompasso. A recomendação central dos relatórios de 2025 é a transição da revisão periódica de fornecedores para a observação em tempo real, de modo a conter a exposição antes que ela se propague pela cadeia.

A convergência regulatória

A supervisão de terceiros deixou de ser recomendação de boa prática e passou a ser exigência normativa. Na União Europeia, o Regulamento de Resiliência Operacional Digital (DORA), aplicável às entidades financeiras desde janeiro de 2025, impõe o conjunto mais prescritivo de obrigações sobre risco de terceiros de TIC já formulado no setor. Ele exige um registro mantido de todos os provedores, com classificação de criticidade, avaliação de risco pré-contratual e análise de risco de concentração. A Diretiva NIS2, em vigor no bloco desde outubro de 2024, estende obrigações de segurança da cadeia de suprimentos a entidades essenciais e importantes em dezoito setores.

A leitura conjunta desses instrumentos aponta para um mesmo requisito: visibilidade contínua sobre a postura de segurança dos fornecedores e sobre a exposição que eles geram. As sanções são materiais, com penalidades que alcançam percentuais do faturamento global anual. Para organizações brasileiras com operação ou clientes na Europa, a exigência é imediata; para as demais, o padrão que se firma na regulação internacional tende a se tornar referência de auditoria e contratação.

Do inventário estático à visão contínua da exposição

A conclusão que se impõe aos comitês de risco é operacional, não conceitual. O programa de gestão de risco de fornecedores precisa incorporar uma dimensão que o questionário não fornece: a observação contínua e externa da superfície de ataque de cada terceiro relevante.

Essa observação parte de uma pergunta objetiva e verificável. Quais ativos de cada fornecedor estão expostos à internet, em que estado se encontram e como essa exposição evolui ao longo do tempo. Diferentemente da autodeclaração, essa é uma medição da realidade observável do perímetro, obtida da mesma perspectiva que um atacante teria. Ela complementa o questionário sem substituir a diligência contratual, e transforma a avaliação de um evento anual em um acompanhamento permanente.

O ganho para a supervisão é de tempestividade. A degradação da postura de um fornecedor crítico, a publicação de um novo ativo vulnerável ou a exposição de um serviço sensível passam a ser detectáveis quando ocorrem, e não no ciclo de revisão seguinte. Considerando que o comprometimento de cadeia leva, em média, 267 dias para ser contido, antecipar a identificação da exposição altera diretamente a extensão do dano.

O posicionamento da CSURFACE

A CSURFACE mapeia e monitora continuamente a superfície de ataque externa das organizações e de sua cadeia digital de fornecedores e parceiros. A plataforma identifica os ativos expostos à internet associados a cada terceiro relevante, acompanha a evolução dessa exposição ao longo do tempo e fornece aos comitês de risco e auditoria uma visão verificável da postura externa de sua cadeia, sustentada em observação e não em autodeclaração.

Para quem responde por risco no nível do conselho, o resultado é a substituição da fotografia anual por uma leitura contínua e defensável do risco que a cadeia de fornecedores introduz na operação. Em um cenário em que uma em cada três violações se origina em um terceiro, essa continuidade deixou de ser diferencial e passou a ser condição de supervisão adequada.

Fontes

Pronto para ver isso aplicado ao seu cenário?

Agendar Demonstração