A cibersegurança tem vindo a tornar-se uma prioridade essencial para empresas e governos em todo o mundo. No entanto, uma ameaça menos visível e que muitas vezes passa despercebida está a ganhar força: os ataques à cadeia de fornecedores. Ações criminosas que visam determinada organização ou instituição, como aqueles a que Portugal assistiu nos últimos meses, que interrompem operações digitais, acesso a serviços e até a utilização de transportes públicos.

Estes ataques não têm como alvo direto as grandes empresas, mas sim os seus fornecedores e parceiros. A estratégia é simples: explorar as fragilidades de empresas mais pequenas e, através delas, penetrar em sistemas de organizações de maior dimensão. Este tipo de ataques aproveita a confiança entre as partes para se infiltrar de forma mais discreta.

Nos dias de hoje, as empresas estão mais interligadas do que nunca, especialmente com a crescente digitalização e globalização. Ao colaborar com fornecedores, as empresas partilham frequentemente acesso a sistemas, dados sensíveis e infraestruturas críticas. Isso significa que, se um fornecedor for comprometido, toda a cadeia de fornecimento pode estar em risco. A segurança de uma empresa está, assim, diretamente ligada à segurança dos seus parceiros.

Esta realidade obriga-nos a considerar o conceito de “empresa alargada” também quando se fala de cibersegurança e segurança de informação, onde a operação, os processos e as tecnologias de uma empresa não se limitam às suas fronteiras internas, mas incluem também as redes e sistemas dos seus fornecedores. Estão na memória de todos os recentes ataques informáticos em Portugal, cujo impacto transcendeu as entidades visadas, afetando a operação de outras organizações que não aquelas que foram diretamente atacadas. No ecossistema de uma cadeia de fornecimento, a segurança de uma organização é tão forte quanto o seu elo mais fraco.

Para responder a estas ameaças, a União Europeia avançou com regulamentações importantes, como a Diretiva NIS2 e o Regulamento Ciber-Resiliência. Estas medidas têm como objetivo reforçar a segurança ao longo da cadeia de fornecimento, exigindo que tanto grandes como médias empresas implementem sistemas de proteção robustos. Além disso, estas normas introduzem requisitos para garantir que produtos digitais, como software e hardware, integram a segurança desde a sua conceção, evitando que eventuais vulnerabilidades possam ser exploradas.

Para as empresas que pretendem reduzir o risco de ataques à cadeia de fornecimento, há várias ações práticas a tomar. Em primeiro lugar, é essencial realizar avaliações regulares dos fornecedores e dos seus sistemas de segurança, assegurando que cumprem com os mesmos padrões exigidos internamente. Em segundo lugar, devem ser implementadas políticas de acesso controlado, limitando os dados e sistemas a que os fornecedores têm acesso, minimizando a exposição.

Estas políticas devem estar suportadas por tecnologias que asseguram a sua aplicação operacional. Além disso, a monitorização contínua das redes é crucial para detetar rapidamente qualquer atividade suspeita. Por fim, é importante fomentar uma relação de transparência e comunicação constante com os parceiros, de forma a garantir que qualquer risco ou vulnerabilidade é imediatamente partilhado e resolvido em conjunto. Ao adotar estas medidas, as empresas podem fortalecer a sua posição no ecossistema alargado em que operam, reduzindo significativamente o risco de ataques e protegendo tanto os seus ativos como os dos seus parceiros.

É crucial que as empresas entendam que os ataques à cadeia de fornecedores não são um cenário hipotético, são uma realidade concreta que pode ter consequências devastadoras e cuja tendência aponta para um aumento generalizado. O verdadeiro diferencial estará na capacidade de criar um ambiente de cooperação estratégica entre as empresas e os seus fornecedores, onde a segurança cibernética não é tratada como uma obrigação isolada, mas como um esforço colaborativo.