Temos observado, em diferentes regiões, campanhas de ataque em larga escala direcionadas a infraestruturas de tecnologia operacional e automação (OT), sistemas de controle industrial (ICS) e dispositivos IoT empregados em geração e distribuição de energia, especialmente em ativos distribuídos como parques eólicos, usinas solares e subestações remotas.
Nesses eventos invasores exploraram vulnerabilidades antigas sem patchs, falhas de higiene de senhas e exposição indevida de dispositivos de borda, mantendo persistência prolongada na rede. Foram comprometidos endpoints remotos, firewalls e concentradores VPN expostos diretamente à internet, muitos sem autenticação multifator e com credenciais fracas.
Esses ambientes compartilham características que ampliam significativamente a superfície de ataque, incluindo dispositivos de borda expostos à internet, acesso remoto permanente por VPN, credenciais fracas ou reutilizadas, equipamentos legados com baixa cadência de atualização e integração insuficiente entre equipes de TI e automação e operação.
Os impactos mais frequentes não são necessariamente apagões imediatos, mas sim perda de telemetria, indisponibilidade de controle remoto, necessidade de operação manual de campo, substituição de equipamentos e degradação prolongada da capacidade operacional. Em cenários extremos, observa-se uso de malware destrutivo com objetivo de sabotagem e, majoritariamente, sequestro de dados.
Recomendações
Diante desse contexto, recomenda-se que organizações do setor energético e industrial adotem uma postura de defesa em profundidade específica para OT/ICS, contemplando:
1. Medidas técnicas essenciais
- Autenticação multifator obrigatória para todo acesso remoto;
- Segmentação rigorosa entre redes IT, OT e IoT, com zonas bem definidas;
- Eliminação de exposição direta de dispositivos de borda à internet;
- Gestão contínua de vulnerabilidades e aplicação programada de patches;
- Inventário completo de ativos OT, incluindo firmware e versões;
- Monitoramento de integridade de endpoints, PLCs (controladoras lógicas programáveis) e gateways;
- Detecção de perda de comunicação ou telemetria como indicador de incidente; e
- Backups offline e planos de rápida reposição de equipamentos críticos.
2. Medidas operacionais e organizacionais
• Estabelecer SOC ou monitoramento dedicado a OT;
• Integrar feeds de threat intelligence setoriais, quando disponíveis;
• Realizar testes periódicos de resposta a incidentes e recuperação operacional;
• Desenvolver playbooks específicos para indisponibilidades;
• Realizar capacitação conjunta de equipes de TI, engenharia e automação; e
• Realizar exercícios de contingência com operação manual.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.