Com mais de 360 mil terceirizados, a Petrobras enfrenta vulnerabilidades que ampliam a superfície de risco e colocam em xeque a segurança de informações críticas
A Petrobras, maior empresa brasileira e uma das líderes globais no setor de energia, confirmou em comunicado oficial a exposição indevida de dados por meio da fornecedora SA Exploration, especializada em serviços de exploração sísmica. O grupo hacker conhecido como Everest anunciou ter obtido 90 GB de informações ligadas à Petrobras e outros 176 GB da fornecedora.
A estatal reconheceu a exposição, mas reforçou que não houve invasão direta em seus sistemas internos. O comunicado oficial pode ser consultado no portal de transparência da Petrobras.
“A Petrobras esclarece que não houve qualquer registro de acesso não autorizado ou incidente de segurança em seus sistemas internos. Todos os dados sensíveis e estratégicos da companhia permanecem seguros, em conformidade com os mais rigorosos padrões de segurança da informação. A companhia foi comunicada sobre uma ocorrência pontual de exposição não autorizada de informações, a partir do ambiente de uma prestadora de serviços de exploração, que não compromete as operações, clientes ou colaboradores da Petrobras. A Petrobras está acompanhando o caso junto à fornecedora, reforçando orientações de segurança e monitoramento”.
A Petrobras mantém cerca de 86 mil empregados próprios, mas sua força de trabalho terceirizada é muito maior: aproximadamente 360 mil contratados indiretos. Essa dependência amplia a superfície de risco, já que cada fornecedor pode se tornar uma porta de entrada para incidentes de segurança.
O episódio, revelado em meados de novembro, reacende o debate sobre os riscos da dependência de terceiros em setores estratégicos
O episódio envolvendo a Petrobras e a exposição de dados por meio de uma fornecedora terceirizada evidencia uma vulnerabilidade recorrente e cada vez mais discutida em escala global: a fragilidade da cadeia de fornecedores. Em um cenário em que grandes corporações dependem de centenas de parceiros externos para manter suas operações, o risco não está apenas dentro dos muros da empresa, mas se estende por toda a rede de terceiros que compõem sua estrutura de negócios.
No caso da Petrobras, maior empresa brasileira e uma das líderes mundiais em energia, a dependência de aproximadamente 360 mil trabalhadores terceirizados amplia de forma significativa a superfície de risco. Isso significa que, mesmo sem uma invasão direta aos sistemas da estatal, dados estratégicos podem ser expostos por meio de brechas em fornecedores.
Essa realidade é conhecida internacionalmente como Third-Party Risk Management (TPRM), disciplina que busca identificar, avaliar e mitigar vulnerabilidades que surgem na relação com parceiros externos.
A exposição de informações críticas não afeta apenas a operação imediata da companhia. A imagem e reputação da empresas alvo ficam em xeque diante da opinião pública e do mercado, em um momento em que a confiança é um ativo tão valioso quanto o petróleo que a empresa explora.
Além disso, considerando o papel da estatal na matriz energética brasileira, a segurança nacional também pode ser impactada, já que dados técnicos relacionados a exploração e produção de petróleo possuem valor estratégico e geopolítico.
Especialistas em segurança da informação destacam que o controle da cadeia de terceiros exige práticas consolidadas internacionalmente, como Vendor Risk Assessment, que consiste em avaliar continuamente os riscos associados a cada fornecedor; Supply Chain Security, que busca proteger toda a cadeia de suprimentos contra ataques cibernéticos e físicos; e processos de Due Diligence, que verificam a conformidade e a robustez dos parceiros antes da contratação. Essas medidas, quando aplicadas de forma integrada, reduzem a probabilidade de incidentes e fortalecem a resiliência corporativa.
Estratégia Zero Trust
A adoção da estratégia Zero Trust vem se consolidando como padrão internacional para mitigar vulnerabilidades na cadeia de terceiros.
Diferentemente dos modelos tradicionais de segurança, o Zero Trust parte do princípio de que nenhuma entidade — interna ou externa — deve ser considerada confiável por padrão. Cada acesso precisa ser continuamente verificado, autenticado e monitorado. Nesse contexto, ferramentas de Identity and Access Management (IAM) desempenham papel central, incluindo soluções de Multi-Factor Authentication (MFA), Privileged Access Management (PAM), Single Sign-On (SSO) e Identity Governance and Administration (IGA). Essas tecnologias permitem controlar de forma granular quem acessa quais sistemas, em que condições e por quanto tempo, reduzindo a superfície de ataque e garantindo rastreabilidade.
Além das soluções de IAM, a estratégia Zero Trust se fortalece com o uso de Endpoint Detection and Response (EDR), Network Segmentation, Data Loss Prevention (DLP) e monitoramento contínuo por meio de Security Information and Event Management (SIEM).
A integração dessas ferramentas cria uma arquitetura de defesa em camadas, capaz de proteger não apenas os sistemas internos da empresa, mas também os pontos de interconexão com fornecedores e parceiros.
Para corporações como a Petrobras, que dependem de uma extensa rede terceirizada, a implementação de Zero Trust não é apenas uma tendência tecnológica, mas uma necessidade estratégica para assegurar a resiliência operacional e a proteção de dados críticos.
Artigos já publicados pelo Crypto ID, reforçam que o elo mais vulnerável da segurança corporativa costuma estar fora da própria empresa.
O caso da Petrobras confirma essa máxima e mostra que, em tempos de ataques cada vez mais sofisticados, a proteção da informação não pode se limitar ao perímetro interno. É preciso ampliar o olhar para toda a rede de terceiros, adotando padrões internacionais de governança e monitoramento contínuo.
Vazamento da Gol expõe fragilidade da cadeia de terceiros
Fraude em Baltimore e o ponto cego das cadeias de fornecedores: como mitigar riscos antes que seja tarde
Em ‘Cybersecurity’, Seu Parceiro Pode Ser Seu Maior Problema: Ameaças na Cadeia de Suprimentos
Como a Inteligência Artificial pode impulsionar a inovação nas cadeias de suprimentos
Check Point Software analisa o ataque da cadeia de suprimentos do GitHub
Segurança em Redes Corporativas aliando Tecnologia e cultura em toda Cadeia. Por Eder Souza
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
IAM: Segurança que vai além do acesso
O Crypto ID, referência editorial em tecnologia e segurança digital, mantém uma coluna especializada em IAM – Identity and Access Management (Gerenciamento de Identidade e Acesso). Mais do que apresentar soluções, nossa curadoria mergulha nas múltiplas vertentes dessa disciplina essencial — como IAG, PAM, CIAM, CIEM, MFA, SSO, RBAC, ABAC, entre outras variações que compõem o ecossistema de identidade digital.
Voltada para profissionais que estão estudando ou implementando essas estratégias, a coluna oferece uma visão técnica, confiável e abrangente, sempre alinhada às melhores práticas do mercado. O foco é claro: interoperabilidade, maturidade e adequação às necessidades reais de cada ambiente corporativo.
Nossa Coluna IAM é riquíssima em conteúdo e insights que fazem diferença.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia, segurança e regulação. Há 11 anos provocamos reflexão que sustentam decisões estratégicas para transformação digital e cibersegurança.
