Segurança de Fornecedores: Arquiteturas do Colapso e o Caso Marks & Spencer
Em abril de 2025, a rede varejista britânica Marks & Spencer não sofreu um ataque direto.
O alvo inicial nem era ela. Era um fornecedor terceirizado de confiança, com acesso aos sistemas críticos da empresa, com credenciais válidas, com a aparência perfeita de um ator legítimo dentro da cadeia de operações.
O grupo Scattered Spider usou táticas avançadas de engenharia social para comprometer as credenciais de funcionários desse parceiro.
Uma vez dentro da infraestrutura da M&S, os atacantes desativaram sistemas de automação de estoque, derrubaram plataformas de pagamento online e paralisaram redes de distribuição.
A gigante do varejo foi forçada a retroceder décadas na operação, voltando a trabalhar literalmente com lápis e papel para manter o mínimo de funcionamento.
O impacto foi não menos que 300 milhões de libras esterlinas em perdas de lucro operacional, prateleiras vazias em lojas físicas e um efeito cascata que paralisou toda a cadeia de suprimentos por semanas.
E o ponto mais incômodo de tudo isso é que a M&S não falhou.
Foi o seu fornecedor.
Foi a ausência de controles integrados entre a empresa e seus parceiros que abriu a porta para o colapso.
A ilusão do perímetro: por que proteger só a própria casa não é mais suficiente
A maioria das estratégias de cibersegurança corporativa ainda opera em uma lógica de fortaleza: construímos muros, instalamos câmeras, treinamos os guardas e declaramos que estamos protegidos.
O problema é que essa fortaleza tem dezenas, às vezes centenas de portões laterais, um para cada fornecedor, parceiro, plataforma de terceiros e integração de API que foi adicionada ao ecossistema ao longo dos anos.
Cada um desses portões é uma superfície de ataque em potencial. E na maioria dos casos, a empresa não sabe exatamente quantos portões existem, quem tem a chave de cada um e que nível de controle é aplicado do outro lado.
O World Economic Forum documentou esse padrão: CEOs de organizações consideradas altamente resilientes identificam vulnerabilidades em cadeia de fornecimento e terceiros como o principal desafio para fortalecer a resiliência.
Não é uma ameaça emergente. É a ameaça dominante no ambiente atual, e as empresas que ainda tratam segurança de fornecedores como um checklist de conformidade estão operando com uma defesa que termina exatamente onde o adversário começa.
O ataque à M&S não explorou nenhuma vulnerabilidade técnica sofisticada. Explorou a confiança implícita que existe entre uma empresa e seus parceiros credenciados.
Os “hackers” não precisaram quebrar criptografia nem explorar uma falha de zero-day. Foi só convencer um colaborador de um fornecedor a entregar as credenciais certas.
O resto foi automático.
Arquitetura de defesa não é um catálogo de ferramentas. É uma decisão de design.
O erro mais caro que organizações cometem em cibersegurança é confundir investimento em ferramentas com investimento em proteção real.
É possível ter o melhor portfólio de soluções do mercado e ainda assim ser completamente vulnerável a um ataque como o que derrubou a M&S, simplesmente porque as ferramentas não foram projetadas para operar de forma integrada com o ecossistema de parceiros.
Defesa real começa no design da arquitetura, não na aquisição de tecnologia.
Ela exige que as decisões sobre identidade, acesso, dados e monitoramento levem em conta, desde o início, todos os atores que interagem com os sistemas da empresa. Isso inclui funcionários, mas também fornecedores, plataformas externas, provedores de nuvem e qualquer sistema de terceiros com acesso a dados ou processos críticos.
A abordagem de menor privilégio, em que cada ator recebe apenas o acesso estritamente necessário para executar sua função, é o fundamento mais básico dessa arquitetura.
E em ambientes complexos com múltiplos parceiros e integrações, aplicar esse princípio exige um inventário preciso de quem acessa o quê, com que frequência e com que justificativa.
Sem esse inventário, menor privilégio é apenas uma intenção sem execução.
O Gartner projeta que soluções de segurança preemptivas, aquelas focadas em prevenir incidentes antes que aconteçam, em vez de apenas detectá-los depois, chegarão a 50% do gasto total em segurança de TI até 2030.
Em 2024, esse número estava abaixo de 5%. Essa mudança de patamar reflete o reconhecimento de que a velocidade dos ataques modernos torna a abordagem puramente reativa cada vez mais ineficaz.
O fornecedor como extensão do perímetro de risco
Um ponto que a maioria das organizações ainda não incorporou à sua gestão de risco é que a maturidade de segurança de um fornecedor é, na prática, parte da maturidade de segurança da própria empresa.
Se um parceiro crítico opera com controles fracos, autenticação inadequada ou ausência de monitoramento, esse gap de segurança se transfere diretamente para o ecossistema de qualquer empresa que confie nesse parceiro com acesso a sistemas ou dados sensíveis.
Isso significa que avaliar a postura de segurança de fornecedores não é uma atividade de procurement. É uma atividade de gestão de risco operacional, com impacto direto sobre a continuidade do negócio. E ela precisa ser contínua, não pontual: um fornecedor que era seguro no momento da contratação pode ter sofrido mudanças organizacionais, adotado novos sistemas vulneráveis ou simplesmente negligenciado a atualização de seus controles nos meses seguintes.
O WEF registra que organizações mais resilientes já integraram segurança ao processo de compras e à avaliação contínua de maturidade de fornecedores.
Não como auditoria anual.
Como parte permanente da gestão do relacionamento.
A diferença entre essa abordagem e a abordagem tradicional é a diferença entre ter um sistema imunológico ativo e ter um plano de vacinação para uma doença que já chegou.
Resiliência é uma escolha de arquitetura, não um produto que se compra
O caso Marks & Spencer deixa uma lição que vai além da gestão de fornecedores.
Ele demonstra que a resiliência organizacional não é algo que se alcança com um investimento pontual em segurança. É o resultado de decisões arquiteturais tomadas deliberadamente ao longo do tempo, que determinam como a empresa se comporta quando parte do seu ecossistema é comprometido.
Uma organização verdadeiramente resiliente não apenas evita que ataques aconteçam. Ela está projetada para continuar operando mesmo quando um ataque atravessa um de seus portões. Isso exige segmentação real, processos de contenção testados e a capacidade de isolar sistemas comprometidos sem paralisar a operação inteira.
A M&S não tinha isso. E o custo foi de 300 milhões de libras e semanas de operação degradada.
O próximo alvo pode ser qualquer empresa que ainda acredita que proteger o próprio perímetro é suficiente em um mundo onde o adversário entra pela porta do parceiro.
O Frame Trends explora com dados e exemplos sobre como as organizações líderes estão redesenhando suas arquiteturas de segurança para incluir o ecossistema de fornecedores como parte integrante do modelo de defesa.
Saiba mais acessando a análise executiva abaixo:
- Relatórios de segurança independentes e cobertura da imprensa especializada: Caso Marks & Spencer e ataque do Scattered Spider, abril de 2025.
- World Economic Forum: Global Cybersecurity Outlook 2026 — Vulnerabilidades em cadeia de suprimentos e resiliência organizacional.
- Gartner: Projeções de gastos em segurança preemptiva até 2030.
- CrowdStrike Global Threat Report 2025: Táticas de engenharia social e ataques sem malware.


