Um estudo de OMICRON baseado em real implantação do seu sistema de detecção de intrusões (IDS) em mais de cem instalações revela que as redes de tecnologia operacional (OT) de subestações, centrais e centros de controlo ainda arrastam falhas que as deixam expostas. Após conectar sensores passivos em redes PAC (proteção, automação e controle), os equipamentos detectaram, em muitos casos, problemas críticos em questão de minutos: aparelhos sem adesivo, conexões externas inesperadas, segmentação deficiente e catálogos de ativos incompletos que dificultam compreender o que realmente existe na rede.
A natureza dos sistemas elétricos explica por que a detecção a nível de rede é imprescindível. Muitos dispositivos de automação industrial não executam sistemas operacionais convencionais e, portanto, não permitem agentes de segurança clássicos. Por isso, normas e marcos como o NIST Cybersecurity Framework recomendam capacidades de detecção baseadas na rede para ambientes industriais ( NIST), e os padrões sectoriais como IEC 62443 definem controles específicos para OT (ver explicação geral em ISA/IEC 62443).
A metodologia utilizada na análise combina monitoramento passivo por portos espelhos ou TAPs e sondas que observam o tráfego sem interferir nas comunicações, com consultas ativas quando o protocolo o permite. Além disso, a exploração de descritores padronizados como arquivos SCL de IEC 61850 e o uso de MMS para recuperar dados de “nameplate” facilitam construir inventários automáticos de dispositivos e conhecer firmware, fabricante e modelo. Essa mistura de técnicas ajuda a fechar a famosa “brecha de visibilidade” em que muitos operadores continuam presos ( IEC 61850 — visão geral).
Entre os achados técnicos recorrentes incluem equipamentos PAC com firmware obsoleto que contêm vulnerabilidades conhecidas; um exemplo documentado é a CVE-2015-5374, que permite provocar condições de recusa de serviço em relés de proteção por pacotes UDP e para a qual existem adesivos há anos ( detalhes CVE). Também foram localizados serviços inseguros que não deveriam estar ativos, desde partilha de arquivos Windows até funções de depuração em PLCs, e conexões TCP/IP externas não autorizadas que em alguns locais somavam dezenas de destinos persistentes. A constatação mais preocupante foi a frequência de arquiteturas em “flat network”, onde centenas de dispositivos compartilham comunicação sem barreiras claras, aumentando dramaticamente o alcance de qualquer incidente.
Os desdobramentos não só tiraram à luz riscos de cibersegurança: surgiram problemas operacionais que afetam a disponibilidade e a integridade das comunicações. Saltos errados de VLAN e rotulagem inconsistente de mensagens GOOSE, desajustamentos entre RTU e descrições SCD que impedem atualizações SCADA, erros de sincronização horária e ciclos ou configurações erradas em switches redundantes são exemplos que evidenciam como a fragilidade funcional pode amplificar o impacto de uma intrusão.
O fator humano e a organização também pesam muito. OMICRON detectou frequentemente responsabilidade difusa entre as equipes de IT e OT, carência de pessoal dedicado à segurança industrial e limitações orçamentais que travam a implementação de controlos. Quando a segurança OT é gerida como uma extensão de IT sem adaptar processos e papéis, as medidas são muitas vezes reduzidas em relação aos requisitos específicos do sector energético.
Uma das vantagens práticas de um IDS passivo nestes ambientes é a sua capacidade de oferecer representação visual do tráfego, gerar inventários de ativos automaticamente e apontar conexões ou serviços desnecessários. Isso facilita priorizar adesivos e controles sem tocar equipamentos em produção, minimizando o risco de provocar interrupções. Ferramentas com conhecimento de protocolos industriais (IEC 104, MMS, GOOSE, etc.) permitem também detectar desvios do comportamento esperado por listas brancas e assinaturas conhecidas, o que melhora a detecção precoce.
Os operadores não precisam inventar a roda: existem guias e recursos públicos que ajudam a projetar controles OT maduros e adaptados à infraestrutura crítica. Agências como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) publicam orientações para sistemas de controlo industrial e gestão de incidentes que são úteis para priorizar ações concretas ( CISA — ICS). Na Europa, a Agência da União Europeia para a Cibersegurança (ENISA) trabalhou em recomendações para proteger o sector energético contra ameaças modernas ( ENISA — energia).
Se houver uma lição clara do estudo, as soluções devem ser específicas para OT e complementares: inventários automatizados que reduzam a cegueira operacional, segmentação e controle de acessos que limitem o raio de efeito, revisões de serviços ativos para fechar portas desnecessárias, políticas de adesivos adaptadas à criticidade e rotinas de coordenação entre operações e segurança. Não basta transferir práticas de IT para OT sem adaptação: a convergência exige controlos pensados para a disponibilidade e segurança simultaneamente.
A trajetória é exigente, mas prática: implantação de monitoramento passivo em pontos estratégicos, priorizar ativos vulneráveis, fechar conexões externas não justificadas e resolver erros funcionais detectados (VLAN, sincronização, redundância) costuma oferecer melhorias rápidas em resiliência. Juntamente com isso, a formação de equipas mistas IT-OT e a atribuição de papéis claros de segurança OT são mudanças organizacionais igualmente decisivas.
O estudo do OMICRON evidencia que muitas infra-estruturas elétricas continuam a acumular riscos que podem ser exploradas com técnicas conhecidas. Atuar agora, com visibilidade e controles específicos, reduz o risco sistêmico e protege tanto a continuidade do serviço quanto a segurança pública. Para aprofundar as soluções tecnológicas utilizadas nestas análises, consultar a página do produto StationGuard de OMICRON ( OMICRON StationGuard) e os recursos citados de NIST, CISA e ENISA para se alinhar com boas práticas testadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...