Artigo por Luiz Fernando Freitas-Gutierres, pesquisador do Think Tank da Associação Brasileira das Empresas de Software (ABES)
Na Ucrânia, em 2015, uma campanha de spearphishing viabilizou a instalação do malware BlackEnergy3 na rede corporativa de distribuidoras de energia elétrica. O comprometimento permitiu a coleta de credenciais e o uso indevido de acessos por redes virtuais privadas (do Inglês, virtual private networks [VPN]) sem autenticação multifator (multi-factor authentication [MFA]).
Além disso, falhas de segmentação entre a rede corporativa e os sistemas supervisórios (supervisory control and data acquisition [SCADA]) favoreceram a movimentação lateral dos invasores até as interfaces de operação das subestações. Em 2023, a campanha C0031, atribuída ao grupo Cyber Av3ngers e voltada principalmente ao setor de água e saneamento, explorou controladores lógicos programáveis (CLPs) e interfaces homem-máquina (IHMs) expostos à Internet com credenciais padrão ou senhas fracas, em alguns casos tão simples quanto “1111”. Já em 2025, a campanha C0063, atribuída a um ator estatal russo, impactou recursos energéticos distribuídos na Polônia por meio de wipers. Além disso, táticas, técnicas e procedimentos (TTPs) sofisticados foram combinados com o uso de senhas padrão de fábrica para acessar unidades terminais remotas (RTUs) e sistemas de proteção, automação e controle (PAC). Finalmente, em 2026, uma nova onda de ataques contra sistemas de controle industrial (em Inglês, industrial control systems [ICS]), descrita na diretriz AA26-097A da Cybersecurity and Infrastructure Security Agency (CISA), explorou CLPs expostos indevidamente à Internet em múltiplos segmentos de infraestruturas críticas nos Estados Unidos. Segundo as fontes oficiais, os ambientes comprometidos apresentavam hardening insuficiente e, em diversos casos, os invasores utilizaram software legítimo do fabricante para interagir com os ativos industriais.
Usando uma analogia para refletir sobre os casos apresentados acima, é como se você estivesse acompanhando a febre com um termômetro ultramoderno, mas ignorando que a infecção continua sem tratamento adequado. Tecnologias de ponta — firewalls de próxima geração, integração com serviços de inteligência de ameaças cibernéticas e soluções de monitoramento de tráfego e detecção de anomalias (muitas vezes apoiadas em técnicas de aprendizado de máquina e inteligência artificial) — são fundamentais, mas não substituem a “higiene básica”: segmentar apropriadamente as redes de tecnologia da informação e operacional (operational technology [OT]), remover credenciais padrão, reduzir a superfície de exposição e garantir que operadores saibam o que fazer em cenários de crise cibernética e, quando for necessário, operar em modo manual. Sem isso, cada nova campanha de agentes mal-intencionados pode até se deparar com defesas bem postas e com soluções avançadas de segurança para OT-ICS, mas ainda assim encontrar uma organização “debilitada”, seja por um jump host comprometido para acesso remoto de terceiros ou de fabricantes, seja pelo uso descuidado de ativos cibernéticos transitórios (como dispositivos de armazenamento removíveis ou notebooks contaminados por malware, utilizados para coletar dados ou configurar ativos industriais), ou ainda por exceções temporárias em regras de firewalls e “gambiarras” que acabam se tornando permanentes.
Uma vez mais, controles robustos de perímetro e soluções de vanguarda para visibilidade e detecção de anormalidades devem, sim, ser discutidos e implementados. No entanto, antes disso, é essencial que equipes de cibersegurança industrial (quando efetivamente existentes — o que, por si só, já pode revelar outro problema) e gestores tenham clareza sobre o básico: quais são todos os possíveis pontos de entrada para os ambientes de OT-ICS? Está claramente definido e documentado quais sistemas e dispositivos são críticos para a continuidade operacional e quais unidades da organização são prioritárias em um cenário de crise? Quais exceções foram introduzidas durante projetos, paradas programadas, comissionamentos ou manutenções de emergência e jamais revertidas? E, por fim, quais incidentes cibernéticos já registrados podem ser aproveitados como referência para exercícios internos de tabletop e wargames?
Os cinco controles críticos para cibersegurança de sistemas OT‑ICS, propostos pelo SANS Institute, podem orientar a busca por respostas a essas perguntas. Eles oferecem uma referência para definir planos de resposta a incidentes, construir uma arquitetura de rede defensável, estabelecer uma estratégia de visibilidade e monitoramento, implementar acessos remotos seguros e conduzir um gerenciamento de vulnerabilidades orientado ao risco. Também podem apoiar a comunicação com a diretoria ao traduzir necessidades técnicas em prioridades de risco, continuidade operacional e segurança física e de processos. De forma complementar, o MITRE D3FEND pode apoiar blue teams ao oferecer um vocabulário padronizado para descrever técnicas defensivas e contramedidas relacionadas às TTPs ofensivas mapeadas pelo MITRE ATT&CK. Entre essas contramedidas estão, por exemplo, o hardening de mecanismos de autenticação e gestão de credenciais (como a troca de credenciais padrão de fábrica [D3-CDP] e a exigência de MFA [D3-MFA]), técnicas de detecção (como a análise de padrões de login por geolocalização de usuários [D3-UGLPA]) e controles de isolamento e mediação de acesso (incluindo controles de acesso a arquivos locais [D3-LFAM], por exemplo). Em especial, o MITRE D3FEND inclui grafos com foco em OT-ICS, construídos a partir de incidentes, como o da Colonial Pipeline (envolvendo ransomware na rede corporativa e gerando impacto indireto em ambientes OT-ICS), que podem apoiar a compreensão da cadeia de ataque (kill chain) empregada pelos adversários. Esses artefatos ajudam a destacar os pontos da cadeia que realmente importam para cada organização, evidenciar oportunidades para interromper ou dificultar a progressão do ataque e orientar a elaboração de planos de resposta adaptados ao contexto operacional.
Para acesso a uma coletânea de incidentes no setor elétrico, consulte o Cyber Incident Tracker for Electric Power Systems (CITEPS). Para maiores aprofundamentos sobre cibersegurança industrial e inteligência de ameaças cibernéticas, acesse a Ind.Cyber.Sec Letters.
Luiz Fernando Freitas-Gutierres é pesquisador do Think Tank da Associação Brasileira das Empresas de Software (ABES) e professor adjunto no Departamento de Eletromecânica e Sistemas de Potência (DESP) da Universidade Federal de Santa Maria (UFSM). As opiniões expressas neste artigo não refletem, necessariamente, os posicionamentos da Associação.
