Sistemas legados e a resiliência em setores críticos: estratégias para decisões eficazes

Desafios da cibersegurança em infraestruturas críticas na Era Digital

Discutir infraestruturas críticas na Era Digital é um tema complexo, especialmente no campo da cibersegurança, onde se evidenciam as diferenças em relação à TI tradicional.

Setores como energia, manufatura, óleo e gás, e saneamento operam com sistemas legados, muitos dos quais foram desenvolvidos há décadas. Nessa época, os padrões atuais de cibersegurança não eram conhecidos ou amplamente aplicados. Esses sistemas, essenciais para operações industriais, foram projetados com foco na confiabilidade e desempenho, negligenciando a segurança cibernética. A substituição desses ativos é um desafio, pois envolve riscos operacionais, altos custos e longos períodos de inatividade.

Tentar impor uma modernização abrupta sem considerar essa realidade pode ser um erro crítico na gestão de cibersegurança em ambientes de tecnologia operacional.

Entender os desafios é o primeiro passo

Integrar normas de cibersegurança em sistemas legados enfrenta limitações que não podem ser ignoradas.

O principal desafio é a tecnologia utilizada. Muitos sistemas ainda operam com plataformas obsoletas ou incompatíveis com os padrões modernos. Um exemplo comum são os ambientes industriais que ainda dependem de sistemas como Windows XP, que não recebem atualizações de segurança e cuja migração é inviável devido a limitações de hardware.

Outro ponto crítico são as limitações de recursos. Controladores industriais, como PLCs, frequentemente não têm capacidade de processamento para suportar mecanismos modernos, como criptografia ou sistemas de detecção de intrusão, o que inviabiliza a aplicação de camadas adicionais de proteção sem comprometer o desempenho.

O impacto operacional também deve ser considerado. A interrupção de uma linha de produção para atualizar um sistema pode resultar em perdas financeiras significativas, além de riscos à segurança e à qualidade do produto. Em ambientes críticos, o tempo de inatividade não é apenas um inconveniente, mas um risco operacional real.

Além disso, a compatibilidade é um desafio. Sistemas legados não operam de forma isolada.

Atualizar um sistema SCADA para suportar criptografia, por exemplo, pode exigir a atualização de todos os dispositivos conectados, aumentando a complexidade e os custos do projeto.

Por último, a questão financeira se torna relevante. A substituição de sistemas legados pode demandar investimentos elevados em hardware, software, reprogramação e treinamento, e o retorno sobre esses investimentos nem sempre é imediato, dificultando a tomada de decisões em orçamentos restritos.

Segurança precisa acompanhar a realidade operacional

A pergunta que deve guiar qualquer estratégia é: “qual risco precisa ser mitigado agora?”. Essa abordagem altera completamente a forma de atuação.

Uma estratégia eficaz começa com a avaliação de risco, identificando ativos críticos, entendendo vulnerabilidades e avaliando o impacto de uma possível indisponibilidade. Nem todos os ativos são igualmente importantes; tratá-los da mesma forma pode resultar em desperdício de recursos e baixa efetividade.

Esse debate se torna ainda mais relevante ao considerar o impacto financeiro dos incidentes. Um levantamento indica que violações em ambientes de tecnologia operacional podem gerar perdas anuais de até US$ 330 bilhões, com mais da metade dessas perdas relacionadas à interrupção de negócios.

A priorização, nesse contexto, transforma-se em uma decisão estratégica para proteger a continuidade operacional.

Quando substituir não é viável, é preciso ser pragmático

Em um projeto em uma hidrelétrica, foi identificado um ativo crítico operando em Windows NT Workstation, sem antivírus e sem possibilidade de atualização. Embora a substituição fosse tecnicamente viável, os custos do software dedicado superavam milhões de dólares, inviabilizando a troca naquele momento.

Cada falha exigia a reinstalação completa do sistema, resultando em cerca de nove horas de inatividade, com cada hora representando aproximadamente R$ 1 milhão em energia não registrada, o que gerava um impacto financeiro direto e significativo.

Diante da impossibilidade de substituir o ativo, a estratégia adotada foi a criação de controles compensatórios e um plano robusto de resposta e continuidade.

Uma máquina paralela foi preparada para assumir a operação, com testes de compatibilidade validados. Implementaram-se rotinas de backup contínuo, procedimentos claros para troca entre sistemas e treinamento intensivo da equipe.

O resultado foi uma redução do tempo de inatividade de nove para duas horas inicialmente.