Fornecedores do setor financeiro apresentam mais falhas em cibersegurança do que os próprios bancos, aumentando os riscos de ataques. É crucial que as instituições financeiras reforcem a segurança ...
Fornecedores do setor financeiro apresentam mais falhas em cibersegurança do que os próprios bancos, aumentando os riscos de ataques. É crucial que as instituições financeiras reforcem a segurança de sua cadeia de suprimentos para evitar vulnerabilidades.
Um novo relatório da BitSight trouxe um alerta importante para o setor financeiro: fornecedores de tecnologia e serviços que atendem bancos e instituições financeiras estão com desempenho inferior em cibersegurança quando comparados aos seus próprios clientes. Essa diferença expõe um risco direto de ataques à cadeia de suprimentos, um dos métodos mais explorados por grupos criminosos nos últimos anos.
A análise avaliou 22 vetores de risco, incluindo portas abertas, segurança de aplicações web, bloqueio de spam, atualizações de softwares, endpoints e práticas de patching. Em 16 deles, fornecedores tiveram resultados piores, com lacunas que chegaram a 15%. Os pontos mais críticos envolveram segurança de aplicações web, configurações TLS e cabeçalhos HTTP — áreas essenciais para proteger dados sensíveis e impedir invasões.
Embora alguns fornecedores apresentem bons resultados em protocolos de e-mail como DMARC, DKIM e DNSSEC, o relatório aponta que empresas de tecnologia normalmente lidam com maior volume de ativos digitais e acabam absorvendo riscos de diferentes clientes. Apenas 36% da cadeia de fornecedores é monitorada continuamente pelo setor financeiro, enquanto a média dos demais segmentos é ainda menor, de 25%.
A BitSight identificou que fornecedores que não são monitorados chegam a ter três vezes mais vulnerabilidades críticas. E, curiosamente, aqueles monitorados por vários clientes apresentaram leve queda de desempenho, possivelmente por serem grandes fornecedores com superfícies de ataque maiores.
Dica de prevenção:
Empresas financeiras e seus parceiros devem reforçar processos de due diligence, adotar avaliações contínuas de terceiros, exigir conformidade com padrões internacionais e realizar testes periódicos de segurança. Pentests, auditorias internas e políticas de gestão de fornecedores ajudam a reduzir o risco de ataques que exploram elos frágeis da cadeia.
Os fornecedores apresentam riscos significativos devido a falhas em cibersegurança, que podem resultar em vulnerabilidades exploráveis por atacantes, afetando toda a cadeia de suprimentos.
É essencial implementar um programa de monitoramento contínuo que inclua avaliações regulares, auditorias e testes de segurança para identificar e mitigar possíveis vulnerabilidades.
A cibersegurança dos fornecedores é crucial porque os bancos dependem deles para operar. Vulnerabilidades nos fornecedores podem ser um ponto de entrada para ataques que comprometem a segurança financeira.
A segurança do setor financeiro depende cada vez mais de toda a sua rede de parceiros. Para fortalecer sua empresa com pentests, threat intelligence com IA, auditoria interna e estruturação de políticas, conheça os serviços da LC SEC em lcsec.io.