Thiago N. Felippe (*)
O conteúdo gerado por IA pode estar incorreto.O ataque sofrido pela C&M Software no dia 30 de junho tem feito CISOs e CIOs reverem suas políticas de segurança em relação a seus fornecedores terceirizados de software e serviços. Nesta estratégia de violar sistemas bancários por meio da supply chain que sustenta grandes plataformas de pagamentos como o PIX, um funcionário da C&M Software, João Nazareno Roque, aceitou suborno para compartilhar suas senhas.
Com isso, os criminosos conseguiram explorar brechas a partir de acessos legítimos, entrando em sistemas que sustentam a conexão entre diversos bancos menores e a plataforma do Banco Central. Em vez de atacar as próprias instituições financeiras, os criminosos buscaram os elos mais fracos na supply chain de software e serviços.
Num mundo baseado em aplicações modernas – sistemas extremamente distribuídos e conectados entre si por APIs (Application Programming Interfaces) – o invasor pode utilizar vários vetores de penetração. O prejuízo divulgado no início de julho é de R$ 541 milhões, mas estimativas do Banco Central indicam que as perdas podem chegar a R$ 800 milhões.
Há várias lições a serem tiradas deste episódio.
É mais importante do que nunca realizar um risk assessment do ambiente do parceiro de supply chain. A meta é medir a maturidade em cybersecurity deste provedor de serviços, detectando, por exemplo, seus pontos cegos (shadow IT), se o desenvolvimento das aplicações desta empresa é baseado nas melhores práticas de segurança, como é a resposta a incidentes, quão atualizadas são as tecnologias usadas para, por exemplo, enfrentar ameaças baseadas em AI.
O incidente revelou um novo patamar de sofisticação nas ameaças à supply chain digital. Há indicios de que o ataque foi resultado de meses de planejamento, oferecendo subornos em troca de acesso aos ativos digitais. Trata-se de uma evolução clara do modus operandi de fraudes financeiras. O alvo não é apenas uma vulnerabilidade técnica, mas uma fragilidade humana e processual orquestrada com precisão e intenção de escala.
ISO 37001, contra corrupção, e ISO 27001, de cybersecurity
O uso de engenharia social e suborno pelos criminosos coloca sob o foco a importância dos integrantes da supply chain contarem com uma cultura de tolerância zero com crimes digitais e com a corrupção.
Os parceiros que compreendem essa verdade destacam-se por contar com o selo ISO 37001. No nosso caso, entendemos o alinhamento a essa norma como um complemento natural do selo ISO 27001, baseado em processos que preservam a integridade dos dados corporativos, dos clientes e de todo o ecossistema de supply chain. Nas duas ISOs, os processos têm de ser constantemente analisados e reescritos, de modo a retratar uma empresa dinâmica.
Gerenciamento de senhas e controle de identidades
O integrante da supply chain precisa, também, utilizar tecnologias avançadas de proteção de dados. O incidente da C&M talvez pudesse ter sido evitado se a empresa contasse, por exemplo, com uma plataforma que ofereça controle granular sobre as senhas. É recomendável que a gestão de senhas seja feito de forma alinhada ao PCI DSS 4.0 e outras normas que exigem o uso de senhas fortes, incluindo as diretrizes NIST 800-63B, com as melhores práticas em relação à expiração programada de senhas.
Toda a política de conformidade da empresa é fortalecida com o uso de soluções de gerenciamento de senhas com validações em camadas que antecipam e resolvem problemas sem, no entanto, afetar a produtividade do usuário.
Zero Trust e direitos mínimos de acesso
Outra estratégia pode ser o alinhamento à disciplina ITDR (Identity Threat Detection and Response – detecção e resposta a ameaças contra identidades). Esse modelo foi criado pelo Gartner e visa proteger a infraestrutura de identidade. O ITDR implementa mecanismos de detecção, investiga alterações de postura e atividades suspeitas, e responde a ataques para restaurar a integridade da infraestrutura de identidade.
A partir de uma abordagem Zero Trust e direitos mínimos de acesso, o controle fica mais granular e qualquer comportamento fora do padrão gera alertas. Essa disciplina pode ser implementada com auxílio de soluções ITDR que realizam essas ações de forma automatizada, em ambiente distribuído, na nuvem.
Monitoramento contínuo de comportamento e prevenção de insiders
O episódio reforça, também, a necessidade de monitoramento contínuo do ambiente interno, com foco especial em comportamentos anômalos de usuários com acesso privilegiado. É fundamental que as organizações adotem práticas que vão além da coleta de logs ou da geração de relatórios, e passem a monitorar ativamente e em tempo real os desvios de comportamento.
A identificação precoce de um insider não depende apenas de uma violação explícita, mas da capacidade de detectar quebras sutis de padrão — acessos fora de horário, alterações em configurações críticas, movimentações incomuns em arquivos sensíveis, ou atividades que não fazem sentido para o perfil daquele usuário.
O problema é que, em muitos casos, as organizações até possuem ferramentas capazes de trazer essas informações, mas só abrem os relatórios depois que o estrago já foi feito. Monitoramento sem ação é apenas acumular histórico. A eficácia está na visibilidade ativa e na tomada de decisão em tempo hábil, com processos de resposta bem definidos e inteligência aplicada à rotina de auditoria.
Nesse contexto, prevenir a cooptação de insiders — como ocorreu no caso da C&M — exige mais do que tecnologia: requer disciplina operacional, integração com equipes de segurança e governança, e uma cultura que valorize a vigilância contínua, mesmo quando tudo parece “normal”.
Conexão umbilical
O ataque sofrido pela C&M, e seu impacto sobre organizações financeiras, é um retrato do momento atual da economia digital. A computação em nuvem e a disseminação de aplicações modernas – muitas delas baseadas em IA – fazem com que o dado trafegue todo tempo entre plataformas diferentes rodando em empresas independentes. Nesta realidade, cabe à organização usuária ter uma visão aguda sobre a cultura e a maturidade em cybersecurity de sua supply chain. O parceiro, por seu lado, é chamado a seguir avançando em sua resiliência cibernética, consciente de sua responsabilidade com a sustentação dos negócios de seu cliente. A conexão entre esses dois polos é umbilical, e precisa evoluir sem cessar.
(*) CEO da Aiqon, hub de inteligência em cybersecurity.