Back to homepage
Search in acronis websites
Voltar
21 de novembro de 2025  —  Lee Pender
Backup e recuperaçãoSegurança cibernética

Por que o desenvolvimento seguro de software deve ser a primeira linha de defesa

Acronis
Acronis Cyber Protect for OT
Outros idiomas disponíveis:EnglishDeutschEspañolFrançaisItaliano日本語

Quando as linhas de produção da Jaguar Land Rover pararam completamente em 1º de setembro de 2025, o impacto financeiro foi imediato e impressionante: quase US$ 67 milhões por semana em perdas diretas, com estimativas do impacto econômico total chegando a US$ 2,8 bilhões . Mas o verdadeiro dano se estendeu muito além do balancete da montadora.

A paralisação repercutiu através da extensa cadeia de suprimentos da JLR, composta por 104.000 trabalhadores. Os fornecedores demitiram funcionários devido ao ataque, e o governo do Reino Unido interveio com um empréstimo garantido superior a 2 bilhões de dólares .

O ataque à JLR fez parte de um padrão preocupante: Os atacantes não estão mais apenas mirando empresas individuais. Eles estão transformando a cadeia de suprimentos de software em uma arma para alcançar o impacto máximo com o mínimo esforço. Uma maneira pela qual os invasores conseguem acesso é atacando as ferramentas e os processos de desenvolvimento dos aplicativos de software usados pelos fabricantes e seus parceiros da cadeia de suprimentos. Se você não for vigilante em garantir que os fornecedores de software usem práticas de desenvolvimento seguras, estará deixando sua organização aberta ao tipo de ataque que a JLR sofreu.

A vulnerabilidade oculta na sua cadeia de suprimentos

Para ambientes de tecnologia operacional (OT) em manufatura, energia, transporte ou infraestrutura crítica, o risco envolvido em um ciberataque é extremamente alto. Um ataque não compromete apenas os dados em ambientes OT; ele paralisa ecossistemas de produção inteiros, com custos de tempo de inatividade que podem chegar a centenas de milhares de dólares por hora.

Ainda assim, a maioria das organizações concentra suas avaliações de aquisição na saúde financeira, acordos de nível de serviço e segurança da infraestrutura. No entanto, muitas ignoram o ponto onde as vulnerabilidades são mais frequentemente introduzidas — o próprio processo de desenvolvimento de software. Por exemplo, o malware Infostealer permite que atacantes explorem credenciais antigas, obtendo acesso aos sistemas da cadeia de suprimentos dos fabricantes.

Isso revela uma fraqueza fundamental não nas defesas de perímetro, mas nas práticas de ciclo de vida de desenvolvimento seguro dos fornecedores de software que alimentam as operações industriais modernas. Os sistemas deles são vulneráveis porque não foram construídos para resistir às ciberameaças modernas — e isso também torna vulneráveis os sistemas de OT dos fabricantes.

Por que a continuidade dos negócios depende de um desenvolvimento seguro

Sem a garantia de que os fornecedores seguem práticas rigorosas de ciclo de vida de desenvolvimento de software seguro (SSDLC), os fabricantes herdam riscos que nenhuma segmentação de rede ou isolamento pode eliminar completamente.

O impacto nos negócios é mensurável e severo:

  • Tempo de inatividade operacional:: As paralisações na produção se espalham por cadeias de suprimentos just-in-time, afetando milhares de trabalhadores e interrompendo compromissos de entrega.
  • Perdas financeiras: Além das perdas diretas de receita, os custos de recuperação incluem resposta a incidentes, restauração de sistema, multas regulatórias e possíveis penalidades contratuais.
  • Violações de conformidade:: Regulamentos como a Diretiva NIS 2 da União Europeia, o DORA e o Cyber Resilience Act agora exigem explicitamente práticas de desenvolvimento seguro por parte dos fornecedores.
  • Danos reputacionais: Para os fornecedores, ser o "elo fraco" em uma violação de cadeia de suprimento pode danificar permanentemente a confiança do cliente final e levar à desqualificação de futuras parcerias.

Mas isso é mais do que apenas marcar caixas de conformidade. Trata-se de garantir que o software que controla suas linhas de produção, gerencia seus sistemas críticos e conecta suas operações industriais tenha segurança incorporada desde a primeira linha de código até a implantação final.

Por que a certificação IEC 62443-4-1 é importante para a sua cadeia de suprimentos.

A família de normas IEC 62443 aborda especificamente a segurança de sistemas de automação e controle industrial. Dentro deste framework, a IEC 62443-4-1 foca exclusivamente nos requisitos do ciclo de vida de desenvolvimento seguro de produtos, fornecendo o padrão mais rigoroso e relevante para avaliar fornecedores de software OT.

Ao contrário dos frameworks gerais de segurança da informação, a certificação IEC 62443-4-1 demonstra que um fornecedor implementou:

  • Segurança por design: Os requisitos de segurança são definidos e as ameaças modeladas antes de qualquer código ser escrito.
  • Práticas de codificação segura: Os desenvolvedores são treinados e o código passa por revisão obrigatória e testes automatizados de segurança.
  • Gerenciamento de dependências: Componentes de terceiros são avaliados, rastreados e mantidos através de práticas de Lista de Materiais de Software (SBOM).
  • Pipelines de lançamento seguro: Atualizações são assinadas, verificadas quanto à integridade e entregues através de canais reforçados.
  • Gerenciamento de vulnerabilidades: Processos de divulgação coordenada e cronogramas de resposta definidos para questões de segurança.

Para OEMs, integradores de sistemas e clientes finais em fabricação e infraestrutura crítica, esta certificação fornece evidências concretas e verificadas de forma independente de que os fornecedores de software não estão apenas prometendo segurança. Eles estão sistematicamente incorporando-a em cada produto.

Acronis: Segurança certificada para resiliência cibernética de OT

A Acronis alcançou a certificação IEC 62443-4-1, juntamente com ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e CSA STAR Nível 2 — demonstrando um compromisso abrangente com práticas de desenvolvimento seguro em ambientes de TI e OT.

Esta certificação confirma que Acronis Cyber Protect para OT — e o portfólio mais amplo da Acronis — são construídos usando práticas de segurança rigorosas e verificadas de forma independente, projetadas para as realidades dos ambientes industriais:

  • Proteção para sistemas de TI e OT sob uma plataforma unificada.
  • Capacidades de backup e recuperação que podem escalar em operações globais sem exigir intervenções manuais, site por site.
  • Controles de segurança projetados para ambientes onde a disponibilidade é crítica e as janelas tradicionais para aplicar patches podem ser limitadas.
  • Suporte de conformidade para organizações que navegam pelas regulamentações NIS 2, DORA, IEC 62443 e regulamentos específicos de setor.

 

Lee Pender

Sobre a Acronis

Uma empresa suíça fundada em Singapura em 2003, a Acronis possui 15 escritórios no mundo inteiro e funcionários em mais de 50 países. O Acronis Cyber Protect Cloud está disponível em 26 idiomas em 150 países e é utilizado por mais de 21,000 provedores de serviços para proteger mais de 750,000 empresas.

Mais da Acronis

17 de novembro de 2025 — 5 min de leitura
Acronis
17 de novembro de 2025 — 5 min de leitura
22 de outubro de 2025 — 4 min de leitura
Acronis
22 de outubro de 2025 — 4 min de leitura
8 de outubro de 2025 — 1 min de leitura
Acronis
8 de outubro de 2025 — 1 min de leitura
20 de agosto de 2025 — 3 min de leitura
Acronis
20 de agosto de 2025 — 3 min de leitura