Combatting Supply Chain Cyber Threats: Safeguarding Data and Protecting Digital Supply Chains in a Rapidly Evolving Cyber Landscape (Salvaguarda de dados e proteção das cadeias de abastecimento digitais num cenário cibernético em rápida evolução)

Principais conclusões

As cadeias de abastecimento da indústria transformadora tornaram-se alvos de elevado valor para os cibercriminosos, enfrentando ataques implacáveis, uma vez que a indústria continua a ser o setor mais visado pelo quarto ano consecutivo. Os ataques relacionados com a cadeia de abastecimento aumentaram 431% desde 2021 e estão entre os mais dispendiosos e de resolução mais lenta.
A supervisão insuficiente dos fornecedores cria lacunas críticas na cibersegurança. Muitos fabricantes não conseguem monitorizar adequadamente os fornecedores terceiros e terceiros, permitindo que os agentes de ameaças explorem ligações de rede fiáveis e se infiltrem em alvos primários através de ligações mais fracas na cadeia de abastecimento, expandindo o âmbito de um ciberataque e ampliando a exposição ao risco cibernético da cadeia de abastecimento.
A resiliência cibernética fortalece as cadeias de abastecimento de fabrico e a vantagem de mercado. A integração dos princípios de segurança desde a conceção, a diligência devida do fornecedor robusto e as práticas de gestão do risco da cadeia de fornecimento cibernético (C-SCRM) nas operações permitem que os fabricantes criem cadeias de fornecimento seguras, ágeis e sustentáveis, melhorando a continuidade do negócio e a competitividade do mercado no atual cenário digital intensivo em ameaças.

A indústria transformadora continua a ser, pelo quarto ano consecutivo, o sector mais visado pelos ciberataques[1]. Mais de 26% das ocorrências cibernéticas em todo o mundo têm como alvo a indústria transformadora. As cadeias de abastecimento são frequentemente o alvo à medida que se tornam mais digitalizadas e interligadas. O cenário de ameaças muda rapidamente, com ataques cada vez mais sofisticados que visam todos os elos do ecossistema da cadeia de abastecimento, desde fornecedores de software e fornecedores de logística a fabricantes e distribuidores.

À medida que os fabricantes constroem as suas cadeias de fornecimento nos EUA, não estão apenas a expandir as operações - estão a lançar as bases para uma resiliência a longo prazo. Ao integrar as melhores práticas de segurança cibernética desde o início, as empresas podem transformar a gestão de riscos em uma vantagem competitiva para suas operações e garantir que seu crescimento seja seguro e sustentável.

Os ciberataques às cadeias de abastecimento continuam a aumentar

Os ciberataques à cadeia de abastecimento aumentaram drasticamente em termos de prevalência, custo e prazos de resolução. Entre 2021 e 2023, o número de ataques relacionados à cadeia de suprimentos aumentou 431%.[2] No ano passado, eles se tornaram o segundo vetor de ataque mais prevalente (representando 15% de todas as violações no ano passado).[3] Eles também são o segundo tipo de ataque mais caro. O custo médio de uma violação nos EUA continua a aumentar, uma vez que aumentou 9% em 2025 para 10,22 milhões de dólares (com base em dados relativos a violações relacionadas com 2024) e ainda mais para os comprometimentos da cadeia de abastecimento.[4] Os ataques à cadeia de abastecimento também são os que demoram mais tempo a resolver. No ano passado, os ataques cibernéticos à cadeia de abastecimento demoraram 267 dias a serem detectados e contidos[5].

Porquê? A investigação sugere que as empresas não supervisionam adequadamente os seus fornecedores, o que leva a uma deteção latente e a um aumento dos custos e dos horizontes de resolução quando os ciberataques são finalmente detectados. Por exemplo, um inquérito de 2024 realizado pela Gartner - a principal empresa de investigação e consultoria do mundo - revela que, embora 95% das organizações tenham visto uma bandeira vermelha associada aos seus fornecedores terceiros nos últimos 12 meses, apenas cerca de metade delas a encaminharam para as equipas de conformidade[6].

Os atacantes exploram estas relações de confiança e redes expansivas. Como se explica mais adiante, os atacantes tiram partido da confiança estabelecida entre fornecedores, vendedores, fabricantes e clientes e das suas comunicações computador a computador[7]. Os atacantes sabem que os clientes e os seus fornecedores imediatos muitas vezes não mantêm um controlo adequado e não se esforçam por garantir a conformidade dos fornecedores mais a jusante na cadeia[8].

É pouco provável que esta tendência abrande, uma vez que os atacantes continuam a aperfeiçoar as suas técnicas. O primeiro passo para combater estes ataques é compreender melhor as suas tácticas comuns, de modo a implementar as melhores práticas institucionais.

Ciberataques à cadeia de abastecimento: Tecnologia em evolução mas tácticas familiares

Como funcionam

Um ciberataque à cadeia de abastecimento tira partido das relações de confiança entre parceiros de fornecimento. Todas as organizações têm um nível de confiança implícito noutras empresas, uma vez que instalam e utilizam o software da empresa nas suas redes ou trabalham com elas como fornecedores. Os piratas informáticos optam frequentemente pelo caminho de menor resistência, visando o elo mais fraco de uma cadeia de ecossistemas e software interligados, devido à sua capacidade de se infiltrarem em várias organizações através de um único ponto de comprometimento.

Assim, mesmo que a sua organização esteja bem defendida e tenha um forte programa de cibersegurança em vigor, no caso de um dos seus fornecedores de confiança não ser seguro, os atacantes terão como alvo esse fornecedor para contornar qualquer segurança que esteja em vigor na organização do fornecedor. Lançam esquemas de phishing ou ataques de engenharia social para comprometer as credenciais de um funcionário do fornecedor.

Uma vez que os atacantes ganham uma posição no sistema de um fornecedor, temo-los visto explorar e explorar vulnerabilidades movendo-se lateralmente através da rede. Por exemplo, podem explorar vulnerabilidades de software não corrigidas, controlos de acesso fracos ou sistemas mal configurados para aumentar os seus privilégios e aprofundar ainda mais a sua penetração, utilizando-a como plataforma de lançamento para implantar malware ou código malicioso ou obter acesso às redes das principais organizações visadas. Esta via de ligação fraca contorna medidas de segurança que, de outro modo, seriam extremamente difíceis de atacar diretamente.

Estas ameaças têm implicações globais. Já vimos hackers - intencionalmente ou não - ganharem controlo sobre toda a infraestrutura de uma organização, mesmo que esta não tenha sido diretamente visada. Além disso, como já foi referido, as organizações não têm de se preocupar apenas com os fornecedores imediatos; os riscos podem ser muito mais profundos na cadeia de abastecimento, com fornecedores terceiros e terceiros, uma vez que o impacto de uma perturbação num único fornecedor pode afetar várias partes da cadeia.

Alguns tipos comuns de ciberataques que afectam as cadeias de abastecimento

Um gráfico resume quatro tipos de ciberataques: software, hardware, firmware e ataques de IA, enumerando as principais caraterísticas e métodos de cada um.

Embora tácticas como o phishing, o ransomware e o malware continuem generalizadas, a rápida evolução da inteligência artificial (IA) está a tornar o panorama da cibersegurança ainda mais desafiante. De facto, 16% das violações de dados já comunicadas em 2025 envolveram alguma forma de IA [9] . Os agentes de ameaças estão agora a tirar partido da IA para gerar imitações de deepfake altamente convincentes, criar campanhas de phishing realistas a uma velocidade sem precedentes e identificar e explorar vulnerabilidades em cadeias de abastecimento complexas[ 10].[10] Por exemplo, os agentes de ameaças podem utilizar a IA para analisar rapidamente perfis publicamente acessíveis dos executivos da empresa-alvo e utilizar essas informações para criar mensagens de correio eletrónico de phishing, adaptadas à função e ao estilo de comunicação de cada destinatário, orientando os funcionários desconhecidos para clicarem em ligações maliciosas que revelam as suas credenciais de início de sessão a terceiros não autorizados.

Três incidentes de cibersegurança de alto nível em cadeias de abastecimento ilustram estas tácticas em ação.

Ataque de ransomware com impacto no sectorda energia (janeiro de 2024): Uma empresa multinacional de gestão de energia sofreu um ataque substancial de ransomware depois de os agentes da ameaça, que se acredita estarem associados ao grupo de ransomware Cactus, terem obtido acesso inicial aos seus sistemas através da exploração de uma vulnerabilidade relacionada com um dispositivo VPN. Os atacantes alegaram ter exfiltrado 1,5 TB de dados sensíveis e divulgaram 25 MB desses dados, que incluíam cópias de acordos de não divulgação e passaportes digitalizados de cidadãos americanos. Até à data, o custo deste ataque e o número de clientes afectados não são conhecidos. No entanto, é provável que seja significativo, uma vez que a empresa serve mais de 2.000 clientes em todo o mundo[11].
Hacking de plataforma de dados baseada em nuvem (abril de 2024): Uma popular plataforma de dados baseada na nuvem sofreu uma violação de dados significativa quando um engenheiro de software utilizou credenciais roubadas através de malware infostealer para se infiltrar na rede. Esta violação comprometeu os dados de 165 clientes, que processam coletivamente os dados de mais de 500 milhões de indivíduos. Até à data da redação deste artigo, o custo total da violação permanece desconhecido[12].
Ataque de ransomware a um fornecedor global de logística e transitário (agosto de 2024). Uma grande empresa global de logística e transitários sofreu um ataque de ransomware, causando interrupções técnicas e afectando a prestação de serviços. O serviço ao cliente, a faturação, os sistemas de pagamento e a integração de dados com os sistemas dos clientes e dos fornecedores foram todos afectados. O sistema central de operações e o portal de atendimento ao cliente estiveram offline durante vários dias (o que impediu os clientes de acompanharem os seus envios em tempo real, criando desafios logísticos a nível mundial). Até à data da redação deste artigo, o custo total do incidente permanece desconhecido[13].

Melhores práticas para mitigar os riscos cibernéticos em toda a sua cadeia de fornecimento

Ser proactivo. Os parceiros de fornecimento devem adaptar-se a estas ameaças crescentes, gerindo e preparando-se para os riscos da cadeia de fornecimento e para as perturbações relacionadas com o ciberespaço, em vez de se limitarem a reagir aos problemas à medida que estes ocorrem. A sua cadeia de fornecimento é tão forte quanto o seu elo mais fraco. Pense internamente e em toda a sua cadeia de fornecimento para implementar protocolos de segurança.

Segurança desde a conceção. Implementar princípios de segurança desde a conceção durante as fases de desenvolvimento e implementação do produto. Ao incorporar medidas de segurança numa fase inicial, as organizações podem reduzir as falhas exploráveis e ajudar a reforçar a resiliência dos seus sistemas de cadeia de fornecimento.
Quadro de gestão do risco. Implementar um quadro de gestão de riscos abrangente que integre os princípios da Gestão do Risco da Cadeia de Abastecimento Cibernético (C-SCRM)[14]. A C-SCRM é um processo sistemático para gerir a exposição ao risco de cibersegurança ao longo das cadeias de abastecimento e desenvolver estratégias, políticas, processos e procedimentos de resposta adequados. Além disso, o National Institute of Standards and Technologies ("NIST") Cybersecurity Framework (CSF) 2.0 fornece uma abordagem estruturada para a gestão de riscos cibernéticos e pode servir de base para organizações de todas as dimensões e sectores desenvolverem as suas estratégias de gestão de riscos.[15] O CSF 2.0 também inclui resultados adicionais do C-SCRM para ajudar as organizações a lidar com estes riscos. As subcategorias da Categoria C-SCRM do QCA [GV.SC] servem de ponte, ligando os resultados centrados na cibersegurança aos objectivos mais amplos da C-SCRM.
Governação da IA e do software como serviço ("SaaS"). Catalogar e controlar todo o uso de todas as soluções de IA e ferramentas SaaS internas (por exemplo, funcionários) e externas (por exemplo, fornecedores) para ajudar a minimizar as vulnerabilidades exploráveis em toda a cadeia de suprimentos. À medida que a IA evolui, as organizações devem atualizar a formação de segurança para ameaças orientadas para a IA, avaliar os riscos de terceiros e estabelecer a governação da IA para manter a segurança. É fundamental lembrar que um programa de governança só é eficaz se os funcionários entenderem como aderir corretamente às suas políticas e procedimentos.
Diligência devida do fornecedor. Efectue uma diligência prévia completa ao selecionar os fornecedores e avalie a sua postura de cibersegurança, capacidades de resposta a incidentes, resiliência e adesão às leis, regulamentos e normas industriais aplicáveis em matéria de proteção e segurança dos dados. Isto ajuda a identificar e mitigar potenciais riscos associados a fornecedores terceiros.
Avaliações exaustivas dos actuais fornecedores. Efectue regularmente avaliações e auditorias de segurança aos fornecedores existentes para avaliar a eficácia dos controlos e práticas de cibersegurança e para garantir a conformidade com as normas de segurança relevantes e outros requisitos legais e contratuais aplicáveis ao longo do ciclo de vida da cadeia de abastecimento. Recomenda-se também que implemente práticas de C-SCRM para identificar e mitigar os riscos da cadeia de abastecimento associados a fornecedores terceiros. Além disso, a gestão de fornecedores requer uma comunicação eficaz em toda a organização para garantir que quaisquer problemas materiais ou relacionados com a segurança que envolvam fornecedores terceiros sejam corretamente escalados ao longo da cadeia para serem resolvidos.
Contratos com fornecedores. Assegurar a existência de requisitos sólidos de cibersegurança em cada RFP e contrato com um fornecedor chave da cadeia de abastecimento que abranja ou aborde, no mínimo, responsabilidades claramente definidas e atribuição de responsabilidade aos fornecedores, resiliência dos próprios sistemas dos fornecedores, formação regular do seu pessoal, notificação imediata de incidentes de segurança e cooperação contínua com a sua organização em relação aos mesmos, auditorias periódicas, subcontratação e outras medidas relacionadas necessárias para o cumprimento da legislação aplicável e das normas do sector. As empresas devem também rever e atualizar regularmente os contratos de fornecedores existentes para garantir que estão em vigor requisitos suficientes de cibersegurança e procurar adendas quando não estiverem.
Monitorização e deteção contínuas. Implementar mecanismos de monitorização e deteção contínuos para identificar e responder a ciberameaças em tempo real. Por exemplo, as organizações devem considerar a utilização de feeds de informações sobre ameaças, sistemas de gestão de informações e eventos de segurança (SIEM) e sistemas de deteção/prevenção de intrusões para monitorizar actividades suspeitas e anomalias que envolvam sistemas e/ou software utilizados na sua cadeia de fornecimento.
Controlos de acesso seguros, medidas de encriptação e gestão de patches. Implemente controlos de acesso robustos e medidas de encriptação de dados para proteger informações sensíveis partilhadas na cadeia de fornecimento. A encriptação de dados, tanto em repouso como em trânsito, ajuda a protegê-los contra o acesso não autorizado ou interceção. Os controlos de acesso (por exemplo, autenticação multi-fator, controlos de acesso baseados em funções, princípios de privilégio mínimo, etc.) ajudam a limitar o acesso a bens e sistemas críticos por parte de fornecedores terceiros. Além disso, mantenha todo o software, incluindo sistemas operativos e aplicações, atualizado com os patches de segurança mais recentes. As actualizações regulares garantem que as vulnerabilidades são prontamente resolvidas.
Planos de resposta a incidentes e de continuidade da atividade. Desenvolver ou atualizar os planos de resposta a incidentes existentes, de modo a incluir processos de resposta a ciberincidentes que envolvam ou tenham origem em fornecedores terceiros importantes da cadeia de abastecimento (e com práticas relevantes de C-SCRM incorporadas para fazer face a ameaças e vulnerabilidades específicas da cadeia de abastecimento). Além disso, seria prudente desenvolver e testar regularmente planos de continuidade do negócio e de recuperação de desastres para garantir a continuidade das operações no caso de um ciberataque à cadeia de abastecimento.
Educação e sensibilização. Fornecer formação regular de sensibilização para a cibersegurança aos funcionários, fornecedores e partes interessadas para (i) educá-los sobre a importância das ciberameaças comuns e das melhores práticas, (ii) promover a sensibilização para os princípios C-SCRM e a importância da segurança da cadeia de abastecimento na mitigação dos riscos cibernéticos, e (iii) ajudá-los a reconhecer e encorajá-los a comunicar potenciais ciberameaças.

Conclusão

Para os fabricantes que estão a expandir a sua presença nos EUA, chegou o momento de tratar a cibersegurança não como uma caixa de verificação de conformidade, mas como um facilitador estratégico. Uma cadeia de fornecimento resiliente não é apenas mais segura - é mais inteligente, mais ágil e melhor posicionada para o sucesso a longo prazo.

Caso contrário, negligenciar a gestão do risco dos fornecedores acarreta riscos de perdas financeiras significativas, roubo de propriedade intelectual, danos à reputação e impacto social. Embora as ciberameaças sejam inevitáveis, as empresas podem minimizar significativamente os seus efeitos estabelecendo um quadro sólido de gestão do risco para os fornecedores e reforçando as medidas de segurança. Ao fazê-lo, as empresas poderão proteger melhor os seus valiosos activos, a sua reputação e as relações com as partes interessadas.

[1] Ver IBM X-Force 2025 Threat Intelligence Index, disponível em https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index (último acesso em 17 de agosto de 2025).

[2] Ver Cowbell Cyber, Cyber Roundup Report 2024, p. 4, https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Q4-CyberRoundupReport24.pdf (último acesso em 17 de agosto de 2025).

[3] Id. na p. 17.

[4] PonemonInstitute (patrocinado, analisado e publicado pela IBM), Cost of a Data Breach Report 2025 (Aug. 2024) (a seguir designado "Cost of a Data Breach Report"), na p. 4, disponível em https://www.ibm.com/reports/data-breach (é necessário registo para aceder ao conteúdo) (último acesso em 17 de agosto de 2025).

[5] Id. na p. 18.

[6] Gartner, Gartner Says Compliance Leaders Need Consistent Communication with Relationship Owners to Effectively Manage Third-Party Risk (23 de abril de 2025), https://www.gartner.com/en/newsroom/press-releases/2025-04-23-gartner-says-compliance-leaders-need-consistent-communication-with-relationship-owners-to-effectively-manage-tihird-party-work.

[7] Ver relatório sobre o custo de uma violação de dados, p. 18.

[8] Ver id.

[9] Ver id. na p. 38.

[10] Ver id.

[11] Secureframe, 20 Recent Cyber Attacks & What They Tell Us About the Future of Cybersecurity (15 de julho de 2025), disponível em https://secureframe.com/blog/recent-cyber-attacks (último acesso em 17 de agosto de 2025).

[12] Ravie Lakshmanan, Snowflake Breach Exposes 165 Customers' Data in Ongoing Extortion Campaign (11 de junho de 2024), disponível em https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html (último acesso em 17 de agosto de 2025).

[13] Fórum Económico Mundial, Why Cyber Resilience Should be a Top Priority for Freight Forwarders (4 de junho de 2025), disponível em https://www.weforum.org/stories/2025/06/cyber-resilience-top-priority-for-freight-forwarders/.

[14] NIST SP 800-161 Rev. 1 (2024), https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final.

[15] NIST Cybersecurity Framework (CSF) 2.0 (2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Um homem de fato escuro e gravata cor de laranja, especializado em apoio a litígios, sorri para a câmara contra um fundo interior desfocado.

[email protected]

Chicago 312.832.4915

[email protected]

Milwaukee 414.297.5339

Informações relacionadas

Ver todas as publicações

4 de dezembro de 2025 Consultor da Indústria Transformadora

Atualização da Foley Automotive

Análise de Julie Dautermann, Analista de Inteligência Competitiva A Foley está aqui para ajudá-lo em todos os aspetos da reformulação da sua estratégia de longo prazo...

3 de dezembro de 2025 Consultor da Indústria Transformadora

Fabricado na China: O que a indústria automóvel deve saber sobre o surgimento global da fabricação chinesa de veículos conectados em meio às crescentes restrições dos EUA

A indústria automóvel chinesa tornou-se global, em grande parte devido aos avanços tecnológicos, às vantagens em termos de custos e ao investimento estrangeiro através de joint ventures, particularmente nas tecnologias de veículos elétricos («EV») e veículos conectados.

2 de dezembro de 2025 Consultor da Indústria Transformadora

O franqueado deve cumprir as obrigações pós-rescisão razoáveis previstas nos contratos de franquia.

Uma recente decisão do tribunal federal ressalta a disposição dos tribunais em fazer cumprir uma linguagem clara nos contratos de franquia, impondo condições razoáveis...