A cadeia de suprimentos de software sempre foi vulnerável – o JP Morgan admitiu isso abertamente

Quando o diretor de segurança da informação do JP Morgan, Patrick Opet, soou o alarme esta semana nas empresas americanas com uma carta aberta dirigida ao setor, pedindo que a segurança na cadeia de suprimentos de software fosse tratada como prioridade, pouca gente ouviu ali algo realmente novo. O que mais chamou a atenção na notícia foi o fato de ela ter vindo do maior banco dos EUA (em ativos) e do maior banco do mundo (em capitalização de mercado) – e as instituições financeiras geralmente não são conhecidas por suas declarações ousadas e contundentes.

Além disso, a carta da Opet destaca o risco particular para setores mais regulamentados e sensíveis, como o financeiro, onde o custo do fracasso pode chegar a trilhões de dólares. O relatório do custo das violações de dados de 2024 da IBM constatou que o custo médio global de uma única violação no setor financeiro foi de USD 6,08 milhões, ficando atrás apenas dos custos de violação no setor de saúde, que custaram USD 9,77 milhões.

“A conveniência não pode mais superar o controle”, disse Opet em sua publicação no LinkedIn e, portanto, apelou aos fornecedores de software de terceiros, aos líderes de segurança e à comunidade de tecnologia em geral para que analisem mais atentamente os “pontos únicos de falha” que podem levar a “consequências potencialmente catastróficas em todo o sistema”.

Essa “conveniência” pode se apresentar como um sistema integrado de dados e processos que se atualizam sem atrasos ou interação manual, o que é inegavelmente um objetivo para as empresas. No entanto, como alerta Nataraj Nagaratnam, CTO de Segurança e Infraestrutura de IA da IBM , “À medida que os Agentes de IA popularizam o uso mais autônomo da IA, por exemplo, torna-se ainda mais importante garantir que as medidas de segurança empresarial estejam à altura do risco inerente a essas inovações.”

Nagaratnam conversou com o IBM Think diretamente do evento RSA em São Francisco, onde se juntou a 40.000 profissionais de segurança em um dos maiores eventos de cibersegurança do ano. A carta de Opet foi o assunto do dia, gerando debate e um reconhecimento de que se tratava de um apelo para a criação de padrões em todos os setores e uma forma de medir a adesão a eles.

Nesta fase inicial, ainda não há consenso sobre quais devem ser exatamente esses padrões e medidas. Mas a situação não poderia ser mais crítica. Um exemplo: o ataque de ransomware à fornecedora de software CDK Global, que presta serviços de software para o setor automotivo, custou às concessionárias de veículos mais de USD 1 bilhão no total, segundo estimativas da Anderson Economic Group, uma empresa de consultoria de East Lansing, MI. Como disse Opet, “A busca por participação de mercado em detrimento da segurança expõe todo o ecossistema do cliente a riscos significativos e resultará em uma situação insustentável para o sistema econômico.”

O que podemos concluir imediatamente com isso? O especialista da IBM ouviu três chamadas para ação da carta de Opet e do debate em torno dela:

1. Segurança desde a concepção: a segurança não pode ser uma consideração tardia. “Os fornecedores devem urgentemente redefinir as prioridades da segurança, colocando-a em pé de igualdade ou acima do lançamento de novos produtos”, escreveu Opet. Mark Hughes, sócio-gerente global da IBM para serviços de cibersegurança, antecipou esse sentimento em um relatório recente sobre cibersegurança: “As empresas precisam abandonar a mentalidade de prevenção pontual e se concentrar em medidas proativas, como modernizar o gerenciamento de autenticação, corrigir falhas na autenticação multifator e realizar buscas por ameaças em tempo real para descobrir ameaças ocultas antes que elas exponham dados confidenciais.” Em uma publicação no LinkedIn em resposta à carta de Opet, Hughes insta as empresas a lidarem com as lacunas em tecnologia e gestão de dados “antes que se tornem pontos de entrada para riscos”.
2. Controles padronizados: fornecedores de SaaS e outros terceiros devem adotar e incorporar controles padronizados, afirma Dinesh Nagarajan, sócio da IBM Consulting para dados e IA, segurança contra ataques quânticos e aplicação de serviços de segurança. Mas, acrescenta ele, não basta criar uma forma padronizada de avaliar os fornecedores de software; é essencial monitorar “se eles estão cumprindo as exigências ou os controles necessários”. A IBM ajudou a desenvolver controles para a nuvem para todo o setor, além de trabalhar com entidades setoriais como a Cloud Security Alliance para desenvolver controles em nuvem voltados para as instituições financeiras. Com base nesse trabalho, a IBM estendeu essa abordagem para o uso da IA generativa por instituições financeiras, em coautoria com dez bancos de vários continentes.
3. Governança em toda a cadeia de suprimentos: provedores de SaaS e empresas devem adotar uma abordagem holística para governar e gerenciar proativamente sua segurança e monitorar continuamente sua conformidade, afirma Nagaratnam. Uma maneira de fazer isso é a organização desenvolver e executar seu próprio manual de cibersegurança, buscando identificar vulnerabilidades, avaliar riscos e mitigar os impactos dos incidentes. Esses manuais de resposta a incidentes também precisam definir quem é responsável por ações específicas, como qual parte é responsável (e potencialmente responsabilizada) por proteger uma solução de IA generativa oferecida por um terceiro. A dependência de componentes de terceiros exige supervisão e controle rigorosos, além da compreensão de uma responsabilidade compartilhada, de modo que os fornecedores sejam responsáveis por proteger todo o conjunto de softwares, e não apenas sua parte.

Novas ferramentas do setor também aparecem quase todas as semanas para ajudar as empresas com governança e conformidade. Ainda ontem, por exemplo, a Credo AI, uma plataforma de governança de IA, e a IBM colaboraram para lançar o watsonx.governance Compliance Accelerator, que ajuda os proprietários de caso de uso de IA e os responsáveis pela conformidade a cumprirem várias regulamentações de forma mais rápida e automatizada.

Segundo Nagarajan, da IBM, responsabilizar os líderes empresariais individuais pela tecnologia que utilizam seria um grande passo para melhorar a segurança. “Quando você responsabiliza os líderes empresariais pela tecnologia que utilizam, pela forma como ela é gerenciada, para qual finalidade e como é mantida segura, isso automaticamente melhora a segurança.”