A segurança cibernética industrial evoluiu bastante na última década, impulsionada pelo aumento de ataques a sistemas de controle industrial (ICS/OT) e pela necessidade de proteger infraestruturas críticas. Nos últimos anos, em particular, cibercriminosos têm explorado vulnerabilidades em equipamentos de automação em setores como Alimentos, Química e Saneamento.

Ao mesmo tempo, muitos dos dispositivos embarcados que controlam os processos de linha de produção ainda apresentam lacunas de segurança e falta de proteções adequadas, tornando-se alvos fáceis. A segurança de muitos dispositivos embarcados usados em infraestrutura crítica não está acompanhando o ritmo de evolução das ameaças, e diversos operadores industriais não possuem entendimento suficiente dos seus dispositivos para mitigar riscos.

A questão é que muitos fabricantes de sistemas e equipamentos de automação industrial estão começando a usar o framework MITRE EMB3D, lançado no final de 2023, e atualizado no ano passado, quando a MITRE – organização não-governamental que desenvolve pesquisas em cibersegurança e cujos frameworks são adotados por empresas em todo o mundo – fez algumas recomendações para mitigação de ameaças a utilização de abordagem de segurança por design.

Evolução dos frameworks de segurança industrial

Historicamente, a proteção de ambientes industriais seguiu padrões e frameworks desenvolvidos para TI, adaptados posteriormente para OT. Inicialmente, normas e boas práticas gerais (como ISO 27001 e o modelo Purdue de segmentação de redes industriais) forneciam alguma orientação, mas frameworks específicos para ameaças em ICS eram limitados. Com o crescimento dos ataques direcionados a ICS, surgiram esforços dedicados para modelar e categorizar essas ameaças, tais como o Microsoft STRIDE, desenvolvido na década de 2000; MITRE ATT&CK for ICS, lançado em 2019, que é uma extensão do framework ATT&CK da MITRE, adaptado para ambientes industriais; e o MITRE CWE (Common Weakness Enumeration), catálogo amplamente usado de fraquezas e vulnerabilidades de software/hardware.

Nos últimos anos, também apareceram padrões setoriais como a série IEC 62443, que define requisitos de segurança para sistemas de automação industrial, e iniciativas governamentais (por exemplo, guias do ICS-CERT/CISA). No entanto, até recentemente faltava um framework unificado que encapsulasse tanto as ameaças específicas a dispositivos industriais embarcados quanto as medidas de defesa correspondentes. Em outras palavras, os fabricantes e operadores tinham que combinar informações de múltiplas fontes – TTPs (via ATT&CK), vulnerabilidades (CWE/CVE) e melhores práticas – para modelar ameaças aos seus equipamentos.

É nesse contexto que o MITRE EMB3D se diferencia, por oferecer uma base de conhecimento centralizada sobre ameaças a dispositivos embarcados. E um dos motivos para a criação do EMB3D foi a natureza distinta dos ambientes industriais: nesses sistemas, há ameaças focadas em hardware e firmware muito mais presentes do que no mundo de TI tradicional.

Dispositivos como controladores lógicos programáveis (CLPs/PLCs), sensores e equipamentos de IoT industrial possuem características únicas, que podem introduzir vetores de ataque não cobertos pelos modelos tradicionais. Equipes de segurança de produto vinham realizando threat modeling por conta própria, porém enfrentavam dificuldade em acompanhar a rápida evolução das ameaças e vulnerabilidades na OT.

MITRE EMB3D: adoção no setor industrial brasileiro

Em termos estratégicos, a adoção desse framework pode elevar o patamar de segurança dos produtos e operações, influenciar requisitos de compras e fomentar uma cultura de security by design. No Brasil, onde setores industriais como energia, petróleo e gás e saneamento têm impacto direto na economia e sociedade em caso de qualquer incidente, o framework oferece alguns benefícios – e também desafios na sua implementação.

Do lado dos benefícios estratégicos, destaca-se a possibilidade de padronização e eficiência na gestão de risco cibernético industrial. Empresas de grande porte poderão economizar esforços e custos ao aproveitar um modelo comum em vez de desenvolver métricas e frameworks proprietários para avaliar a segurança de seus ICS.

Para empresas menores ou operadores de infraestrutura com recursos limitados, o EMB3D pode funcionar como um "roteiro" simplificado de cibersegurança industrial. Muitas organizações no setor industrial brasileiro não dispõem de equipes especializadas em segurança de OT. O framework, contudo, organiza o conhecimento essencial de forma acessível: mesmo times enxutos podem consultá-lo para entender quais ameaças priorizar e quais controles mínimos exigir de seus fornecedores. Isso democratiza o acesso à inteligência de ameaças de alto nível – um benefício crucial num país onde há grande disparidade de maturidade cibernética entre empresas de diferentes portes.

Ainda dentro do contexto brasileiro, vale notar que nos últimos anos o país vem fortalecendo suas políticas de segurança cibernética em infraestrutura crítica. Desde a Estratégia Nacional de Cibersegurança de 2020 e uma série de normas setoriais (p.ex. a Resolução Normativa 964/2021 da ANEEL para o setor elétrico), criou-se um arcabouço regulatório abrangente que abrange diferentes setores e estabelece obrigações de proteção de dados e de ativos críticos. Esse movimento regulatório – aliado à crescente conscientização após incidentes cibernéticos de alto perfil – sinaliza que a segurança de OT/ICS ganhou prioridade na agenda corporativa e governamental no Brasil.

A adoção de frameworks reconhecidos internacionalmente como o EMB3D pode, portanto, alavancar a postura de segurança das empresas brasileiras e alinhá-las às melhores práticas globais.

Legado e falta de mão de obra são obstáculos

Apesar dos benefícios claros, há desafios práticos para a implementação do EMB3D no setor industrial brasileiro. Um dos principais é a lacuna de capacitação e conhecimento especializado. Segurança de ICS/OT é uma disciplina relativamente nova e complexa; profissionais capazes de conduzir threat modeling aprofundado em sistemas industriais ainda são escassos no mercado. Será necessário investir em treinamento da equipe de engenharia e TI/OT para utilizar o framework de forma eficaz – interpretando suas taxonomias (que hoje estão majoritariamente em inglês) e adaptando-as ao contexto de cada planta ou produto.

Outro desafio está ligado à realidade do parque industrial instalado. Muitas fábricas brasileiras operam com equipamentos legados, alguns com décadas de uso e com limitações severas para atualização de segurança. Aplicar as mitigações sugeridas pelo EMB3D nesses sistemas pode não ser viável imediatamente – por exemplo, implementar autenticação criptográfica em um CLP antigo pode exigir troca de hardware. Nesses casos, o framework ainda é útil ao evidenciar onde estão as exposições, mas as empresas precisarão desenvolver planos graduais de mitigação (como segmentar a rede para proteger um dispositivo legado vulnerável, ou introduzir compensações em camadas externas).

Por fim, há também o aspecto cultural e de conscientização. Tradicionalmente, nas indústrias, as equipes de engenharia de produção e manutenção focavam mais em segurança funcional (safety) do que em segurança cibernética. A introdução de um framework formal de ciberameaças exigirá envolvimento multidisciplinar – engenheiros, times de TI/OT e lideranças – para integrar práticas de segurança ao ciclo de vida industrial.

Preparar a organização para utilizar frameworks como este – por meio de capacitação, investimento e cultura – será um diferencial competitivo e de sustentabilidade no cenário industrial dos próximos anos. Adotar o EMB3D é, portanto, antecipar o futuro da segurança industrial e proteger hoje os pilares que sustentarão a indústria 4.0 amanhã.

Sobre a Solo Iron  

Solo Iron é a vertical de cibersegurança da Solo Network especializada em oferecer proteção cibernética corporativa de ponta a ponta, por meio da uma equipe altamente especializada e soluções dos maiores fabricantes de tecnologias de cibersegurança do mundo. Reunindo a expertise e a bagagem de mais de 20 anos de experiência da Solo Network, o portfólio Solo Iron oferece soluções que vão desde a proteção de endpoints até o SOC totalmente gerenciado.