TPCRM
June 12, 2024

Vazamentos de dados além dos números: uma perspectiva em gerenciamento de risco de terceiros

O Data Breach Investigations Report de 2024 da Verizon foi liberado para download. Como era de se esperar do DBIR, trata-se de um excelente resumo do cenário atual, explorando como as brechas ocorrem no mundo real e o que elas significam para empresas de todos os tamanhos e setores.

Uma das principais mudanças neste ano está no escopo das brechas tidas como relacionadas a terceiros. Agora, está inclusa “a infraestrutura de um parceiro sendo afetada e problemas diretos ou indiretos na cadeia de fornecedores, inclusive quando uma organização é afetada por vulnerabilidades em softwares de terceiros” (tradução nossa).

Com esta definição revisada, chamada de supply chain interconnection (interconexão da cadeia de fornecedores), 15% de todas as brechas envolvem um terceiro, um aumento de 68% em relação ao ano passado. O relatório atribui este aumento a ataques de ransomware e extorsão que utilizaram exploits dia zero.

Como gerenciamento de risco cibernético de terceiros é nosso foco aqui na Tenchi, queríamos compartilhar algumas reflexões sobre o relatório, principalmente sobre o número em questão, além de outras estatísticas que podem melhorar a compreensão do contexto.

Um erro, muitas consequências

Uma única falha de segurança em um terceiro pode desencadear uma sucessão de impactos em várias empresas ou em ecossistemas inteiros.

Ainda que não seja exatamente uma surpresa, é preocupante que um só incidente tenha influenciado muitos dos números do DBIR de 2024: a vulnerabilidade do MOVEit Transfer explorada pelo grupo de ransomware Cl0p.

Embora o time da Verizon tenha conseguido identificar 1.567 notificações de brechas vinculadas ao MOVEit, o relatório menciona que a CISA – a agência de cibersegurança dos Estados Unidos – já afirmou que o Cl0p comprometeu mais de 8 mil organizações no mundo todo. Quer dizer: o peso deste incidente poderia ter sido ainda maior.

Pelos números no DBIR, este único vetor de ataque teria sido responsável por cerca da metade de todos os incidentes no setor de Educação e por 8% de todos os incidentes no setor financeiro, que foram os dois mais afetados pelo problema no MOVEit. De modo geral, a saga do MOVEit Transfer deixou sua marca nas cifras de ataque de ransomware e extorsão para o ano todo.

Isso também significa que, se você é do setor de Educação – especialmente nos Estados Unidos, onde o MOVEit Transfer é mais usado –, o número de brechas relacionadas a terceiro foi três vezes o da média geral.

Se esquecermos brevemente dos números e olharmos para casos mais isolados, há relatos de organizações em que vários fornecedores foram atingidos pela MOVEit. Essa situação cria desafios para estratégias de gestão de risco que olham para a redundância como meio de melhorar a disponibilidade ou a confidencialidade.

Adicionar fornecedores em busca de segurança não é uma solução efetiva quando vários deles podem ser atingidos ao mesmo tempo, o que infelizmente é bastante provável. Empresas que fornecem serviços similares ou operam no mesmo mercado frequentemente também terão fornecedores em comum ou, no mínimo, vão usar o mesmo software. Para o setor de Educação nos Estados Unidos, um desses softwares, como descobrimos, é o MOVEit Transfer.

Mas isso não significa que apenas as instituições de ensino estejam correndo riscos. A questão é algum outro fornecedor que desempenha um papel semelhante em outra área pode ser o próximo alvo. Como não podemos prever o próximo alvo, todos precisam estar preparados.

Incidentes em terceiros são mais graves?

Alguns estudos tentam calcular o custo das brechas, mas isso pode ser bem difícil e impreciso. Há muitos desafios, incluindo o fato de que nem todas as pesquisas ou levantamentos usam as mesmas definições. Como acabamos de ver no caso do DBIR, até o escopo do que é um ataque envolvendo um “terceiro” ou a “cadeia de suprimentos” ainda está em evolução.

Em 2021, a Kaspersky disponibilizou um estudo afirmando que incidentes decorrentes de ataques a terceiros foram os que geraram mais custos para as empresas naquele ano. Ainda assim, entendemos que é preciso olhar mais de um dado para afirmar algo tão categórico.

No início deste ano, o Identity Theft Resource Center (ITRC) publicou um relatório com dados referentes a ciberataques e ao volume de dados pessoais vazados.

De 3.205 vazamentos (“data compromises“), o ITRC mapeou 242 ataques decorrentes da cadeia de fornecedores, os quais afetaram 2.727 entidades e 54.282.305 vítimas. Em média, são 11,2 entidades e 224.307 vítimas por ataques, acima da média de 110.149 vítimas por incidente avaliado no estudo.

Isso de fato sugere que ataques que passam por terceiros ou fornecedores normalmente atingem mais dados pessoais do que outros tipos de incidentes.

Já o Global Cybersecurity Outlook 2024 do Fórum Econômico Mundial revela que 41% das organizações que sofreram um impacto material disseram que o incidente foi causado por um terceiro. Isso parece indicar, então, que terceiros estão desproporcionalmente representados na parcela de incidentes que causam impactos materiais (material impact).

Outras conclusões do mesmo estudo ajudam a explicar o porquê. Por exemplo, 54% das organizações acreditam que não têm visibilidade suficiente sobre as vulnerabilidades em sua cadeia de fornecedores.

Uma das razões para isso é que há quem simplesmente não pergunte: 51% dos líderes consultados disseram que seus parceiros não solicitaram nenhuma comprovação da sua postura de cibersegurança.

Embora este número seja melhor para organizações grandes, já que 71% delas disseram que foi solicitada alguma prova de sua postura de cibersegurança, a qualidade e a pertinência do que é solicitado nem sempre colabora muito. Uma pesquisa que realizamos em um dos nossos eventos “Tenchi Conference” mostrou que muitas organizações que confiam em questionários e auditorias, que são as duas formas mais comuns para avaliar fornecedores, não repetem as avaliações mais do que uma vez por ano (vamos falar mais dessa nossa pesquisa em outra oportunidade aqui neste espaço).

Como o DBIR mostra que a segurança das credenciais ainda é um problema e que tivemos um aumento de 180% na exploração de vulnerabilidades – a maioria das quais nem existiria no momento da avaliação do fornecedor –, nós devemos buscar soluções que trabalham na velocidade das nossas conexões no mundo moderno.

Qual o caminho em frente?

Tem muita coisa acontecendo hoje na área de gestão de risco de terceiros, principalmente em risco cibernético. O conceito da “interconexão da cadeia de fornecedores” sugerido pelo time da Verizon é mais um passo para melhorar a conscientização sobre o tema.

Porém, para aqueles afetados por falhas em terceiros, o problema talvez seja pior do que algum número isolado nos levaria a crer.

Mas fornecedores e prestadores de serviço não são nossos inimigos. Muito pelo contrário: eles são parceiros, e essa é uma das chaves para resolver esse problema. Podemos trabalhar juntos e fazer aquilo que atacantes não podem. Podemos aproveitar da visão que temos por dentro, e seria uma pena desperdiçar essa vantagem olhando apenas para os nossos fornecedores a partir do lado de fora, como um atacante.

Devemos nos valer dessa parceria, da automação, de políticas de segurança e da tecnologia para construir e implementar soluções que sejam mais eficazes e proporcionem meios mais seguros para compartilhar os dados e a operação diária.