Em quem você confia? Na indústria, a resposta é ninguém

28 jul 2025 20:13

A olhar para a evolução das fábricas e do IoT, José Dias lembra que num ambiente onde o tempo de atividade e a segurança são primordiais, a única suposição segura é que tudo – humano ou máquina – pode ser comprometido.

Por José Dias (*)

Imagine que está num café e um estranho lhe pede emprestado o telemóvel. Entrega-lho? Provavelmente não. Vai querer saber quem é a pessoa, por que quer o equipamento e o que vão fazer com isso. Com todos os dados confidenciais e acesso bancário no telemóvel, essa hesitação faz de si paranoico, mas inteligente.

Agora imagine a mesma lógica aplicada ao fabrico em milhares de sistemas interligados que controlam máquinas – desde robôs de fábrica a redes elétricas, passando por todo o hardware e software que monitoriza e controla dispositivos, processos e infraestrutura. Nos processos de fabrico modernos, os sensores IoT monitorizam tudo, da pressão à temperatura; A IA decide quando desligar sistemas; e as plataformas na nuvem gerem os fluxos de trabalho globais. Estes são sistemas construídos para a produtividade, mas quando a confiança é colocada indevidamente ou não verificada, as consequências podem ser graves, ameaçando o bem-estar dos trabalhadores, a qualidade dos produtos e até mesmo a segurança pública. Até mesmo os pequenos lapsos de confiança podem-se repercutir em ambientes de fabrico complexos.

Esqueça a ponte levadiça: a era da segurança baseada no perímetro acabou

Os modelos de segurança tradicionais tratavam as redes como castelos fechados – qualquer pessoa ou qualquer coisa dentro do perímetro era considerada segura (não é por acaso que um tipo de malware projetado para tirar proveito dessa abordagem é designado como cavalo de Tróia). Mas, à medida que os ambientes de fabrico evoluíram, essa suposição transformou-se numa responsabilidade.

As fábricas de hoje já não são silos isolados de máquinas. A manufatura tornou-se um ecossistema hiperconectado onde os sistemas de TI e OT partilham dados, a IA automatiza decisões, os gémeos digitais simulam operações inteiras e os dispositivos de terceiros ligam-se diretamente às linhas de produção. Cada conexão é um ponto de entrada potencial, e os invasores sabem disso.

A manufatura é agora a indústria mais apontada para ransomware, representando até 29% dos ataques relatados, segundo a CheckPoint Research. E não se trata apenas de perda de dados – quando os sistemas de tecnologia operacional (OT) são comprometidos, o impacto geralmente é físico e imediato. Pense em paralisações, cadeias de abastecimento interrompidas ou até mesmo disrupções à escala nacional.

Por exemplo, em abril de 2025, o corte de energia elétrica em Espanha e Portugal paralisaram comboios, hospitais e fábricas. Embora não tenha sido causado por um ataque cibernético, o incidente salientou o impacto que um único ponto de falha pode causar no mundo real.

E com os sistemas produtivos a suportar tudo, desde alimentos e produtos farmacêuticos a energia e defesa, os riscos não poderiam ser maiores. Num ambiente onde o tempo de atividade e a segurança são primordiais, a única suposição segura é que tudo – humano ou máquina – pode ser comprometido. Aqui entra a abordagem de confiança zero ou zero trust.

Zero trust: Mais do que um framework de cibersegurança

O Zero Trust começa com um princípio simples: nunca confie, verifique sempre. Lembra-se de aprender as palavras para colocar perguntas na escola – quem, o quê, quando, onde, porquê, qual? Num ambiente de confiança zero, cada utilizador, dispositivo e aplicação deve responder a essas perguntas, sempre, antes de lhe ser concedido acesso.

É um modelo que assume a violação por padrão e usa dados em tempo real para avaliar a identidade, o comportamento, a integridade do dispositivo e o contexto de acesso.

Nos processos industriais, isto vai além da verificação de pessoas. As máquinas também precisam de identidade. Por exemplo, um controlador lógico programável (PLC) só deve aceitar instruções de aplicações aprovadas ou engenheiros autorizados. Todo sistema deve impor acesso com privilégios mínimos, permitindo que pessoas e dispositivos o façam apenas o que lhes é permitido fazer. E cada ação deve ser registada automaticamente, para que as equipas possam controlar quem fez o quê, quando e porquê para respeitar a conformidade e a resposta a incidentes.

A indústria moderna exige uma nova mentalidade

Apesar da rápida transformação digital que integra plataformas de cloud, robótica autónoma, IA e IoT, muitos fabricantes ainda dependem de modelos de segurança desatualizados, como flat networks, PLCs legacy e poucos controlos de acesso. Estes sistemas foram concebidos para levar em conta a fiabilidade e não a resiliência. Basta levar em conta a explosão de ferramentas de acesso remoto e integrações de terceiros para concluir que a superfície de ataque cresceu significativamente.

O Zero Trust oferece um plano prático para os fabricantes:

Autenticação em todas as camadas: Utilizadores humanos e máquinas devem verificar a identidade e a integridade do dispositivo antes de ser atribuído acesso.
Atribuir o mínimo de privilégios: Os engenheiros e os dispositivos só podem interagir com sistemas aos quais estão explicitamente autorizados a aceder.
Microsegmentar as redes: Divida e isole os sistemas para evitar que os atacantes naveguem livremente.
Garanta a resiliência offline: Utilize ferramentas que sincronizem com segurança os dados recolhidos off-line assim que se voltem a ligar à rede.
Audite tudo: Todas as ações são registadas para respeitar a conformidade e a investigação rápida.

Ir para além de zero confiança na manufatura

O que se passa hoje na indústria é reflexo de uma tendência mais alargada em setores como as finanças, saúde ou os serviços públicos – qualquer lugar onde a infraestrutura física toca o controlo digital. Dos ventiladores hospitalares às redes de água e terminais de pagamento, o princípio é o mesmo: quando o risco cibernético encontra os sistemas físicos, as consequências aumentam exponencialmente. E é por isso que o zero trust está a ganhar força muito para além do chão de fábrica. Os grandes players que atuam em diversos setores reconhecem cada vez mais que o zero trust não é apenas responsabilidade da TI e necessita de ser uma iniciativa de toda a organização.

O custo de não fazer nada é mais alto que o custo da mudança

O zero trust é difícil de implementar, especialmente em ambientes construídos há décadas em sistemas legacy não planeados para este novo nível de escrutínio. Os choques culturais entre equipas de TI e OT são previsíveis. E sim, os orçamentos são habitualmente reduzidos.

Mas não fazer nada tem o potencial de vir a ser muito mais caro: tempo de inatividade operacional, pagamentos de resgate, danos de reputação, falhas regulatórias e, mais importante, riscos para a segurança das pessoas.

Essa mudança não se centra na desconfiança dos colaboradores ou na em tornar demasiadamente complexos os sistemas. Trata-se de se adaptar a uma nova realidade. Uma realidade em que a infraestrutura digital é crítica para os negócios, e a cibersegurança deve evoluir de uma questão tecnológica para um risco empresarial a ser considerado ao nível do conselho de administração.

O perímetro caíu

No atual cenário industrial a identidade é o novo perímetro. Cada pessoa, máquina e sistema deve provar que pertence ao ecossistema – continuamente. O Zero Trust oferece aos fabricantes um caminho prático e escalável para a resiliência e a continuidade operacional.

Para além da confiança zero, existe um paradigma de segurança mais adaptável e resiliente que integra avaliação contínua de riscos, inteligência de ameaças e resposta automatizada. Esta próxima fase concentra-se não só na verificação de identidade e acesso, mas também na antecipação, mitigação e recuperação de ataques sofisticados em tempo real.

Conceitos como resiliência cibernética, deteção de ameaças impulsionada por IA e análise comportamental ganham cada vez mais força, com o objetivo de criar sistemas de defesa dinâmicos que aprendem e evoluem. Nesta abordagem de futuro, a confiança não só é verificada de forma contínua, como ainda avaliada contextualmente, permitindo uma proteção mais inteligente e responsiva em ambientes híbridos complexos.

Comece pelos seus sistemas críticos. Compreenda a fundo os seus ativos, utilizadores e fluxos de acesso. Crie pontos de verificação e de validação. Prossiga com a verificação e autorização de todas as conexões e, por fim feche a brecha entre o risco e a resiliência em toda a organização.

(*) Portugal Cybersecurity Country Lead da DXC

Pergunta do Dia

Em destaque

Últimas

Casa dos Bits · Apps · 28 jul 2025 22:05

Manus AI é um agente de inteligência artificial para ajudar as ideias a passarem do papel à realidade
Casa dos Bits · Opinião · 28 jul 2025 20:13

Em quem você confia? Na indústria, a resposta é ninguém
Casa dos Bits · Internet · 28 jul 2025 19:24

Jogadores usam Death Stranding para contornar as novas regras de verificação de idade no Reino Unido
Casa dos Bits · How To Tek · 28 jul 2025 18:45

O seu computador está mais lento? Conheça algumas das causas e como resolver

por Rui Parreira
Casa dos Bits · Negócios · 28 jul 2025 17:27

Tesla aposta na Samsung para fabricar chips num novo negócio de 16,5 mil milhões de dólares

por Francisca Andrade
Casa dos Bits · Computadores · 28 jul 2025 16:43

Serão os óculos inteligentes os computadores do futuro (presente)?

por Rui Parreira

Comentários

Entre com a sua conta do Facebook ou registe-se para ver e comentar

Relacionados Playlist

Autoplay

Notificações web	Coisa
Alertas SMS	Gerir

Em quem você confia? Na indústria, a resposta é ninguém

Pergunta do Dia

Em destaque

Multimédia

App do dia

Site do dia

How to TEK

Últimas

Comentários

Relacionados Playlist

Em quem você confia? Na indústria, a resposta é ninguém

Pergunta do Dia

Veja também

Em destaque

Multimédia

App do dia

Site do dia

How to TEK

Comentários

Veja também