O setor financeiro está enfrentando mais um lembrete severo de sua dependência de fornecedores terceirizados, após um vazamento substancial de dados na Marquis Software Solutions. A fornecedora de software de marketing e comunicações, que dá suporte às operações de mais de 700 bancos e cooperativas de crédito nos Estados Unidos, divulgou um incidente que comprometeu os dados pessoais de aproximadamente 85 mil indivíduos, principalmente residentes da Carolina do Sul.
O vazamento, que foi detectado e contido em dezembro de 2025, envolveu acesso não autorizado aos sistemas da Marquis. Os dados expostos são exatamente o tipo que alimenta roubo de identidade e fraude financeira: nomes completos, números de Previdência Social, números de carteira de motorista e informações detalhadas de contas financeiras. Para os clientes afetados, as cartas de notificação de suas instituições financeiras marcam o início de um período prolongado de vigilância, frequentemente envolvendo serviços de monitoramento de crédito e alertas de fraude.
Da perspectiva do profissional de cibersegurança, o incidente da Marquis não é uma anomalia, mas um sintoma de um desafio generalizado da indústria. Instituições financeiras, vinculadas a regulamentações rigorosas como a Lei Gramm-Leach-Bliley (GLBA) nos EUA, normalmente investem pesadamente em suas próprias defesas cibernéticas. No entanto, sua postura de segurança é tão forte quanto o elo mais fraco de sua cadeia de suprimentos estendida. Fornecedores de marketing, provedores de serviços de TI, plataformas em nuvem e processadores de pagamento representam pontos de entrada potenciais para agentes de ameaças que buscam dados valiosos.
A lição central aqui é a inadequação das avaliações estáticas de risco de fornecedores em um momento específico. Muitas organizações ainda dependem de questionários de segurança anuais e relatórios de auditoria (como o SOC 2). Embora tenham valor, eles fornecem um instantâneo histórico, não uma visão em tempo real da saúde de segurança de um fornecedor. A superfície de ataque é dinâmica; novas vulnerabilidades são descobertas diariamente e as redes dos fornecedores estão em constante evolução.
Organizações progressistas estão agora migrando para um modelo de gerenciamento contínuo de risco de terceiros (TPRM). Isso envolve:
- Validação Técnica: Ir além da papelada para usar plataformas de classificação de segurança (por exemplo, BitSight, SecurityScorecard) que fornecem uma visão externa da postura de segurança de um fornecedor com base em dados observáveis, como portas abertas, vulnerabilidades conhecidas e infecções por malware.
- Rigor Contratual: Garantir que os contratos de serviço definam explicitamente os requisitos de segurança, prazos de notificação de vazamento (bem abaixo da marca regulatória de 72 horas), responsabilidade por incidentes e direitos de auditoria ou realização de avaliações de segurança independentes.
- Acesso com Mínimo Privilégio: Aplicar controles rígidos de acesso a dados, garantindo que os fornecedores possam acessar apenas os dados específicos necessários para seu serviço contratado – um princípio que pode ter limitado o raio de impacto no caso da Marquis.
- Resposta a Incidentes Integrada: Exigir que os planos de resposta a incidentes do fornecedor estejam alinhados e integrados ao plano próprio da instituição financeira. Exercícios simulados (tabletop exercises) devem incluir cenários de vazamento em terceiros.
Para a comunidade mais ampla de cibersegurança, este vazamento reforça várias tendências-chave. Primeiro, o direcionamento a provedores de serviços como um multiplicador de força para cibercriminosos continua inabalável. Atacar um fornecedor pode render dados de centenas de alvos. Segundo, o escrutínio regulatório sobre o risco de terceiros está se intensificando. Agências como o Escritório do Controlador da Moeda (OCC) e o Federal Reserve enfatizaram repetidamente a gestão de risco de fornecedores, e é provável que este evento leve a mais orientações ou ações de enforcement.
Por fim, o incidente ressalta o modelo de responsabilidade compartilhada em serviços em nuvem e terceirizados. Enquanto a Marquis é responsável pela segurança da sua nuvem, seus clientes bancários são responsáveis pela segurança na nuvem – ou seja, como seus dados são classificados, acessados e protegidos dentro do ambiente do fornecedor. Uma estratégia robusta de governança de dados, incluindo medidas de criptografia e prevenção de perda de dados (DLP) para dados em repouso e em trânsito para fornecedores, é inegociável.
Em conclusão, o vazamento na Marquis Software Solutions é um caso clássico de materialização do risco de terceiros. Para líderes de cibersegurança em finanças e outros setores, a resposta deve ser estratégica e sistêmica. Ela exige investimento em ferramentas modernas de TPRM, uma mudança cultural em direção ao monitoramento contínuo e uma abordagem colaborativa com fornecedores para elevar os padrões de segurança em todo o ecossistema. O custo da prevenção, embora significativo, é pequeno em comparação com o dano reputacional, multas regulatórias e atrito de clientes que seguem um vazamento dessa magnitude.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.