Mais de 70% das organizações relatam ter sofrido pelo menos um incidente material de segurança cibernética de terceiros no ano passado, e 5% sofreram dez ou mais incidentes
O relatório 2025 Supply Chain Cybersecurity Trends Survey, da SecurityScorecard, revela que 88% dos líderes de segurança cibernética estão preocupados com os riscos cibernéticos da cadeia de suprimentos e que mais de 70% das organizações relatam terem sofrido pelo menos um incidente material de segurança cibernética de terceiros no ano passado, e 5% sofreram dez ou mais incidentes.
Foram ouvidos 550 CISOs e profissionais de segurança em todo o mundo e os resultados revelam que a maneira como a maioria das organizações gerencia os riscos cibernéticos da cadeia de suprimentos não está acompanhando o ritmo crescente das ameaças.
O envolvimento de terceiros em violações dobrou, passando de 15% para quase 30%, de acordo com o Relatório de Investigações de Violações de Dados da Verizon de 2025. Um pequeno grupo de provedores terceirizados agora oferece suporte a grande parte da tecnologia e infraestrutura do mundo, criando uma concentração extrema de risco. Quando apenas um desses provedores é comprometido, os efeitos colaterais podem afetar milhares de organizações simultaneamente.
Os invasores entendem esta situação: a cadeia de suprimentos sendo um ponto de entrada cada vez mais atraente para os ataques. Cada relacionamento com um fornecedor expande a superfície potencial de ataque. A assimetria é gritante: os defensores precisam proteger todas as conexões em suas redes de terceiros e de enésima parte, enquanto os invasores precisam explorar apenas uma única vulnerabilidade para obter acesso.
Ryan Sherstobitoff, Diretor de Inteligência de Ameaças de Campo da SecurityScorecard, afirmou que “ataques cibernéticos à cadeia de suprimentos não são mais incidentes isolados; são uma realidade diária. No entanto, as violações persistem porque a gestão de riscos de terceiros permanece amplamente passiva, focada em avaliações e listas de verificação de conformidade, em vez de ações.”
Essa abordagem ultrapassada não operacionaliza os insights que coleta. O que é necessário – segundo Sherstobitoff – é uma mudança para a defesa ativa: recursos de resposta a incidentes na cadeia de suprimentos que fechem a lacuna entre as equipes de risco de terceiros e os centros de operações de segurança, transformando o monitoramento contínuo e a inteligência de ameaças em ações em tempo real. Verificações estáticas não impedirão ameaças dinâmicas — apenas a detecção e a resposta integradas o farão.”
Principais conclusões
– Mais de 70% das organizações relatam ter sofrido pelo menos um incidente material de segurança cibernética de terceiros no ano passado, e 5% sofreram dez ou mais incidentes;
– Menos da metade das organizações monitoram a segurança cibernética em pelo menos 50% de suas cadeias de suprimentos de n-ésima parte, e 79% dizem que menos da metade de suas cadeias de suprimentos de n-ésima parte está atualmente coberta por programas de segurança cibernética;
– Apenas 26% das organizações incorporam a resposta a incidentes em seus programas de segurança cibernética da cadeia de suprimentos. A maioria depende de avaliações pontuais fornecidas por fornecedores ou de seguro cibernético;
– 88% dos entrevistados dizem estar preocupados com os riscos de segurança cibernética da cadeia de suprimentos.
– Quase 40% dos entrevistados citam a sobrecarga de dados e a incapacidade de priorizar problemas e ameaças como seu maior desafio de segurança cibernética na cadeia de suprimentos.