Da fazenda ao prato, passando pelo ransomware
o setor alimentar global sob pressão cibernética — e o que isso revela sobre governança, continuidade e resposta
Em maio de 2025, Jonathan Braley, diretor do Food and Agriculture Information Sharing and Analysis Center (Food and Ag-ISAC), falou ao Recorded Future News na RSA Conference, uma das maiores conferências de cibersegurança do mundo:
"Grande parte desses casos nunca é reportada. Um ataque de ransomware acontece, mas os detalhes não chegam a público. Seria importante que as empresas compartilhassem com mais transparência o que foi explorado e como responderam, para que o restante do setor possa se prevenir." — Jonathan Braley, diretor do Food and Ag-ISAC, RSA Conference, maio de 2025
Braley não estava falando de um setor periférico. Estava falando da cadeia que abastece supermercados, restaurantes, hospitais e mercados de exportação em escala global.
O problema que ele aponta não está apenas no aumento dos ataques. Está na forma como a cadeia continua operando sem estruturas equivalentes de governança, continuidade e resposta para lidar com eles.
Empresas sofrem ataques, resolvem em silêncio e preservam a reputação no curto prazo. Mas o silêncio tem um custo coletivo: impede aprendizado setorial, reduz visibilidade sobre vulnerabilidades recorrentes e torna mais provável que a próxima resposta ocorra, outra vez, sob pressão e improviso.
Antes de qualquer dado, é necessário entender a fonte. O Food and Agriculture Information Sharing and Analysis Center (Food and Ag-ISAC) é uma organização sem fins lucrativos criada pela própria indústria alimentar e agrícola para compartilhar inteligência de ameaças entre empresas do setor.
Não vende produtos de segurança. Não tem incentivo comercial para inflar risco. Seu papel é consolidar, organizar e compartilhar informação útil para prevenção e resposta em uma cadeia crítica.
Seus dados são coletados em parceria com o IT-ISAC a partir de monitoramento de sites de vazamento na dark web, feeds públicos de incidentes, contribuições de membros e compartilhamento entre ISACs nacionais. A metodologia é publicada e verificável. Desde 2020, a iniciativa acumulou mais de 15.265 incidentes registrados — a base setorial mais abrangente hoje disponível.
É, em termos práticos, um centro de inteligência para ameaças cibernéticas no setor de alimentos e agricultura. E seus dados revelam um padrão que o setor ainda trata como exceção, quando já deveria tratar como condição operacional.
O relatório mais recente do Food and Ag-ISAC, publicado em fevereiro de 2026, documenta a evolução do cenário de 2023 a 2025:
2023: 167 ataques de ransomware contra o setor alimentar e agrícola, de um total de 2.905 incidentes monitorados globalmente — 5,5% do total. O setor era o 7º mais visado entre os setores críticos monitorados.
2024: 212 ataques contra o setor, de um total de 3.494 incidentes — 5,8% do total. Crescimento de 27% em relação ao ano anterior. No quarto trimestre de 2024, o aumento foi de 118% em relação ao mesmo período de 2023.
2025: 265 ataques contra o setor alimentar e agrícola, de um total de 6.377 incidentes globais — crescimento de 82% no total de ataques em relação a 2024. O setor respondeu por 4,2% dos incidentes.
Três observações críticas sobre esses números:
Primeiro, são mínimos. O próprio Food and Ag-ISAC reconhece que a maioria dos ataques nunca é reportada. O que está documentado é a parte visível do problema, não sua extensão real.
Segundo, a concentração geográfica distorce a percepção de risco. Em 2025, os EUA concentraram 52,13% de todos os incidentes globais de ransomware — mais do que todos os outros países combinados, nenhum dos quais superou 5% individualmente. Isso não significa que o restante do mundo esteja menos exposto. Significa, em grande medida, que reporta menos.
Terceiro, os atores são conhecidos. O relatório de 2025 mapeia 72 grupos ativos atacando o setor, com Rússia respondendo por 59,3% da atividade adversária observada e China por 25,4%. Os cinco grupos mais ativos no setor em 2025 foram Qilin, Akira, CL0P, Play e Lynx — responsáveis por quase 50% dos incidentes registrados.
O dado mais relevante, porém, não está apenas no crescimento dos ataques. Está no fato de que a cadeia continua sendo pressionada exatamente onde sua margem de resposta é menor: fornecedores, logística, operação contínua e confiança entre elos interdependentes.
O que torna este momento diferente de anos anteriores não é apenas o volume de ataques. É a magnitude dos casos individuais, agora documentados com números auditados em relatórios financeiros públicos.
Em abril de 2025, a Marks & Spencer, uma das maiores redes varejistas do Reino Unido com 65.000 funcionários e mais de 1.400 lojas, foi atingida por um ataque de ransomware executado pelo grupo Scattered Spider usando a ferramenta DragonForce. O vetor de entrada foi engenharia social: os atacantes se passaram por funcionários e convenceram a central de suporte terceirizada — operada pela Tata Consultancy Services — a redefinir senhas e acessos. Em seguida, comprometeram máquinas virtuais críticas e paralisaram sistemas de pedidos, logística e rastreamento de estoque.
O impacto foi imediato e extenso: sistemas de pedidos automatizados desativados, reversão para controle manual de estoque, prateleiras de alimentos frescos vazias por semanas e vendas online paralisadas por 46 dias. No relatório financeiro subsequente, a M&S declarou impacto de £300 milhões em lucros operacionais e £750 milhões apagados de capitalização de mercado.
O ponto central não é apenas o prejuízo. É o vetor: o atacante não precisou superar tecnologia sofisticada. Bastou explorar a confiança depositada em um fornecedor terceirizado.
Em setembro de 2025, a Asahi Group Holdings — um dos maiores conglomerados de bebidas do Japão — sofreu um ataque de ransomware que paralisou a produção em múltiplas plantas industriais no país. A empresa atribuiu ao incidente uma perda de JPY 5 bilhões em receita e atrasou a divulgação de seus resultados financeiros do terceiro trimestre.
O grupo responsável foi o Qilin — o mesmo identificado pelo Food and Ag-ISAC como o ator mais ativo contra o setor alimentar em 2025.
A United Natural Foods Inc. (UNFI), maior distribuidora de alimentos naturais e orgânicos dos Estados Unidos — fornecedora de redes como Whole Foods —, foi atingida em junho de 2025. A empresa precisou desativar sistemas críticos de comunicação com lojas e logística. O resultado: falhas em entregas, excesso de produtos não solicitados, falta de itens básicos em diversas lojas. As ações da empresa caíram 17,3% em dois dias, eliminando aproximadamente US$ 292 milhões de valor de mercado.
A leitura estrutural do padrão
Os três casos não apontam para falhas tecnológicas isoladas. Apontam para estruturas de decisão, supervisão de terceiros e continuidade operacional que não acompanharam o grau de integração da cadeia.
A falha não começa no ransomware. Ela começa antes, quando acessos de terceiros são tratados como conveniência operacional, quando a continuidade é presumida e quando a resposta depende de decisões tomadas pela primeira vez no meio da crise.
O relatório do Food and Ag-ISAC identifica três características estruturais que tornam o setor particularmente atraente para criminosos:
Entrega just-in-time como alavanca de pressão. A cadeia alimentar opera com margem temporal mínima. Produção contínua, logística refrigerada, janelas de abate, colheita com prazo climático — qualquer interrupção tem custo imediato e muitas vezes irrecuperável. Essa urgência aumenta a pressão por retomada rápida e, com ela, a disposição para pagar resgates ou tomar decisões sob incerteza.
Fragmentação da cadeia como superfície de ataque. Nenhuma agroindústria opera isolada. Fornecedores de insumos, transportadores, certificadoras, sistemas de rastreabilidade, exportadores e plataformas compartilhadas formam uma superfície ampliada de risco. Como demonstrado nos casos da M&S e da UNFI, o ataque não precisa atingir a empresa principal. Basta comprometer um elo com acesso.
Digitalização mais rápida do que a governança. ERPs integrados, sistemas IoT em campo, rastreabilidade digital, plataformas de logística em tempo real — o setor digitalizou a operação em velocidade elevada. A estrutura de decisão e resposta a incidentes não evoluiu no mesmo ritmo.
Aqui é necessário ser preciso.
Não existe, no Brasil, um caso documentado publicamente de ataque cibernético a uma agroindústria ou cooperativa agroindustrial com impacto operacional confirmado em nível equivalente ao que o FBI documentou nas cooperativas americanas em 2021 ou ao que os relatórios da M&S e da Asahi revelaram em 2025.
Isso não significa que não tenham ocorrido. Significa que não foram reportados.
O próprio diretor do Food and Ag-ISAC declarou publicamente que a maioria dos ataques ao setor nunca chega ao conhecimento externo. No Brasil, essa tendência tende a ser ainda mais acentuada por três razões estruturais:
Ausência de obrigação regulatória específica de reporte. Diferentemente da União Europeia, onde a Diretiva NIS2 — em vigor desde outubro de 2024 — exige que empresas de produção, processamento e distribuição alimentar implementem medidas de gestão de riscos cibernéticos e reportem incidentes significativos, o Brasil não possui regulação equivalente para o setor agroindustrial.
Pressão reputacional e contratual. Para uma agroindústria exportadora, admitir publicamente uma falha que afetou sistemas de rastreabilidade ou continuidade operacional significa abrir espaço para questionamentos de compradores internacionais, certificadoras e reguladores.
Escala suficiente para atrair atenção adversária. O Brasil é o maior exportador mundial de carne de frango, um dos maiores exportadores de carne bovina e um dos maiores produtores de açúcar e etanol orgânicos do mundo. A cadeia que sustenta essas posições é exatamente o tipo de infraestrutura crítica que o Food and Ag-ISAC identifica como alvo de interesse crescente.
A conclusão é direta: a ausência de casos reportados não reduz a exposição. Apenas dificulta o aprendizado, reduz a visibilidade sobre vulnerabilidades recorrentes e aumenta a probabilidade de que a resposta ocorra sob pressão, sem coordenação prévia.
A resposta não é tecnológica. É de governança.
O Food and Ag-ISAC recomenda, em todos os seus relatórios, um conjunto de medidas que não são sofisticadas — são estruturais. A maioria das empresas atacadas com sucesso não foi vencida por tecnologia superior dos atacantes. Foi vencida por ausência de processo, decisão e supervisão.
Decisões definidas antes da pressão. Quando o sistema para, quem decide? Com quais critérios? Em quanto tempo? Essa decisão não pode surgir pela primeira vez durante o incidente.
Gestão da cadeia de fornecedores como extensão do risco. O acesso concedido a fornecedores, transportadores e prestadores de serviço é parte da superfície de risco da organização. Deve ser avaliado e supervisionado como parte da própria governança.
Rastreabilidade do incidente equivalente à rastreabilidade do produto. O SIF exige rastreabilidade da cadeia produtiva. A continuidade operacional exige o equivalente para o incidente: o que aconteceu, quando foi detectado, quem foi notificado, o que foi decidido, quanto tempo levou para retomar.
Continuidade testada, não presumida. Um plano que nunca foi simulado não é um plano. A diferença entre resposta coordenada e improviso costuma estar menos no documento e mais no treino.
O setor que você lidera digitalizou suas operações mais rápido do que estruturou sua capacidade de resposta. Isso não é uma anomalia brasileira. É o padrão global documentado pelo Food and Ag-ISAC.
A diferença entre a M&S, que levou 46 dias para retomar pedidos online e declarou impacto de £300 milhões, e organizações que contiveram incidentes similares em poucos dias não foi tecnologia. Foi estrutura de resposta.
O setor alimentar brasileiro já aprendeu, há muito tempo, a estruturar protocolos rigorosos para proteger a qualidade sanitária, a rastreabilidade e o acesso a mercados internacionais. O desafio agora é aplicar a mesma lógica à continuidade operacional digital — antes que o incidente exija isso sob pressão máxima.
Em cadeias críticas, o impacto não é definido pelo ataque. É definido pela estrutura de governança, continuidade e decisão que sustenta — ou não sustenta — a resposta quando a pressão chega.
Organizações inseridas em cadeias alimentares altamente integradas e dependentes de fornecedores críticos precisam de estruturas capazes de sustentar continuidade, supervisão e resposta sob pressão. A ARKHION atua exatamente nesse ponto: conectando governança, gestão de riscos e continuidade à operação real do negócio.