Segurança para Usina Solar e Eólica: protegendo SCADA, inversores e turbinas contra sabotagem e indisponibilidade
Parques de geração renovável dependem de inversores, turbinas e SCADA frequentemente acessíveis por fabricantes estrangeiros via acesso remoto. A Decripte audita esse canal, segmenta a rede OT e implanta monitoramento contínuo de geração para impedir sabotagem, manipulação de despacho e ransomware no centro de operação.
Resposta direta
Para proteger uma usina solar ou eólica você precisa tratar a rede OT/ICS como um domínio próprio: segmentar fisicamente e logicamente o SCADA da rede corporativa (modelo Purdue), eliminar acesso remoto direto de fabricantes substituindo VPNs persistentes por acesso intermediado, gravado e com janela limitada (jump host com MFA e aprovação), inventariar e monitorar cada inversor, turbina, PLC e gateway de telemetria, e operar detecção 24x7 com baselines de comportamento de geração que disparam alerta quando setpoints, curvas de potência ou despacho fogem do esperado. Some a isso pentest periódico do SCADA e do canal de acesso remoto, gestão de vulnerabilidades de firmware e um plano de resposta a incidentes com contenção em até 1 hora. A Decripte estrutura exatamente isso para geração distribuída, alinhado aos requisitos de ciber da ANEEL e do ONS. Comece com um diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.
24/7
SOC monitorando OT e geração
<=1h
SLA de contenção de incidentes
Purdue
Modelo de segmentação OT/ICS aplicado
ANEEL/ONS
Conformidade regulatória do setor elétrico
Em resumo
- ›O maior vetor de risco em parques renováveis não é a internet pública, e sim o acesso remoto legítimo concedido a fabricantes de inversores e turbinas, muitas vezes via VPN persistente sem gravação, sem MFA e sem janela de tempo.
- ›SCADA, inversores e turbinas falam protocolos industriais (Modbus, IEC 60870-5-104, DNP3, IEC 61850) sem autenticação nativa: quem alcança a rede OT controla a geração, e segmentação é a primeira linha de defesa.
- ›Ransomware que atinge o centro de operação (CLP/HMI/historiador) causa indisponibilidade de despacho e perda de visibilidade, mesmo quando não toca diretamente os ativos de geração.
- ›Monitoramento de geração com baseline comportamental detecta manipulação de setpoint e curvas de potência anômalas antes que vire perda física ou multa regulatória.
- ›A Decripte responde com contenção em até 1 hora, segmenta a rede OT, audita o canal de acesso remoto do fornecedor e implanta SOC 24x7 com conformidade ANEEL/ONS.
- ›Você pode validar o nível de exposição do seu parque sem custo: comece o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.
Cibersegurança para Geração Renovável (Solar e Eólica)
Parques de geração renovável dependem de inversores, turbinas e SCADA frequentemente acessíveis por fabricantes estrangeiros via acesso remoto. A Decripte audita esse canal, segmenta a rede OT e implanta monitoramento contínuo de geração para impedir sabotagem, manipulação de despacho e ransomware no centro de operação.
Por que parques solares e eólicos são alvos atrativos e frágeis
A geração renovável distribuída inverteu a lógica de segurança do setor elétrico. Onde antes existia uma usina hidrelétrica ou térmica com perímetro físico controlado e poucos pontos de acesso, hoje há dezenas ou centenas de inversores fotovoltaicos, strings, skids de medição, turbinas eólicas com seus próprios controladores embarcados e um SCADA que precisa enxergar todos esses ativos espalhados por quilômetros de terreno. Cada um desses equipamentos é, na prática, um computador industrial com firmware, rede e, frequentemente, um canal de manutenção remota que aponta para o fabricante.
O problema central é que esses ativos foram projetados para disponibilidade e telemetria, não para resistir a um adversário. Inversores e turbinas falam protocolos industriais como Modbus TCP, DNP3, IEC 60870-5-104 e IEC 61850, que historicamente não trazem autenticação nem cifragem nativas. Quem consegue trafegar na rede OT consegue ler e, em muitos casos, escrever setpoints: limitar potência, derrubar um inversor, abrir disjuntores lógicos, mudar curvas de operação. Não é preciso explorar uma vulnerabilidade exótica quando o protocolo confia em qualquer um que esteja na mesma rede.
O vetor mais subestimado: o fornecedor que você contratou
O acesso remoto do fabricante de inversores ou turbinas é, ao mesmo tempo, indispensável para garantia e suporte, e o caminho mais curto para um comprometimento de cadeia de suprimento. VPNs persistentes, credenciais compartilhadas entre técnicos, ausência de MFA, e sessões não gravadas transformam o canal legítimo de manutenção em uma porta lateral que ignora todo o perímetro que você construiu. Boa parte dos incidentes em geração renovável começa exatamente aqui, não num ataque vindo da internet aberta.
Some a isso a pressão operacional e regulatória. Indisponibilidade de geração tem custo direto: energia não despachada, penalidades por descumprimento de programação, e exposição perante o ONS e a ANEEL. Um adversário que entende o setor não precisa explodir nada: basta manipular a geração e o despacho para gerar prejuízo financeiro e regulatório, ou cifrar o centro de operação e cobrar resgate enquanto a planta opera às cegas.
Anatomia da superfície de ataque de um parque renovável
Os quatro domínios que precisam ser tratados separadamente
Para defender um parque é preciso parar de tratá-lo como uma rede única. Existem quatro domínios com riscos e controles distintos, e a falha mais comum é deixá-los conectados sem fronteiras claras. O primeiro é a camada de campo: inversores, strings, controladores de turbina (turbine controllers), estações meteorológicas e medidores. O segundo é a camada de controle e supervisão: CLPs/PLCs, RTUs, gateways de protocolo, HMIs e o próprio SCADA. O terceiro é a camada de operação e dados: historiador (historian), servidores de engenharia, estações de despacho e integração com o centro de operação. O quarto é a camada corporativa e de TI, que inclui internet, e-mail, ERP e o acesso administrativo.
Modelo Purdue aplicado à geração
- ›Nível 0/1 — Campo e controle: inversores, turbinas, PLCs, RTUs, sensores. Protocolos Modbus, IEC 61850, DNP3.
- ›Nível 2 — Supervisão: SCADA, HMI, gateways de telemetria. Concentra o controle operacional.
- ›Nível 3 — Operações: historiador, servidores de engenharia, despacho, gestão de geração.
- ›Nível 3.5 — DMZ industrial: ponto único e controlado de troca entre OT e TI; onde mora o jump host de acesso remoto.
- ›Nível 4/5 — Corporativo: TI tradicional, internet, integração com ONS/comercialização.
Quando esses níveis estão achatados em uma rede plana, qualquer comprometimento na camada corporativa (um phishing bem-sucedido, um notebook de engenharia infectado) alcança diretamente o SCADA e os inversores. A DMZ industrial no nível 3.5 existe justamente para que nenhum tráfego de TI toque OT diretamente, e para que todo acesso remoto de fornecedor passe por um ponto controlado, autenticado e gravado. É a fronteira que transforma um incidente de TI em um susto contido, em vez de uma sabotagem de geração.
Telemetria não é só leitura
Muitos operadores assumem que o canal de telemetria do fabricante é somente leitura. Na prática, o mesmo canal que envia dados de geração para a nuvem do fornecedor frequentemente permite comandos de configuração, atualização de firmware e ajuste de parâmetros remotamente. Se esse canal for sequestrado ou se a nuvem do fabricante for comprometida, a manipulação chega aos seus ativos sem passar pela sua rede.
Os dados de geração renovável (solar e eólica) já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
As quatro ameaças prioritárias e como elas se concretizam
1. Sabotagem de inversores e turbinas via SCADA
Um adversário com acesso à rede de controle pode emitir comandos legítimos do ponto de vista do protocolo: reduzir a potência ativa, forçar paradas de turbinas, alterar limites de proteção ou injetar setpoints inválidos. Como Modbus e IEC 60870-5-104 não autenticam o emissor, o SCADA e os equipamentos obedecem. O impacto vai de perda de geração a estresse mecânico real em turbinas, dependendo do parâmetro manipulado.
2. Acesso remoto inseguro de fabricante e ransomware no centro de operação
VPNs always-on apontando para o fabricante, credenciais compartilhadas, ausência de MFA e falta de gravação de sessão criam um vetor que ignora todo o perímetro. Se o fabricante for comprometido, o atacante herda o acesso a todos os parques daquele fornecedor de uma só vez. Já o ransomware raramente cifra um inversor: ele cifra o historiador, as HMIs, os servidores de engenharia e as estações de despacho. O parque pode continuar gerando, mas a equipe opera às cegas, sem telemetria nem capacidade de despacho coordenado com o ONS, e a pressão para pagar é alta porque a indisponibilidade tem custo regulatório imediato.
Sinais de que seu acesso remoto de fornecedor é um risco
- ✓Existe uma VPN do fabricante permanentemente conectada, sem janela de tempo definida.
- ✓As credenciais de manutenção são compartilhadas entre vários técnicos do fornecedor.
- ✓Não há MFA exigido para a sessão de manutenção.
- ✓As sessões de acesso remoto não são gravadas nem auditadas.
- ✓O acesso do fornecedor chega direto ao SCADA, sem passar por um jump host na DMZ industrial.
- ✓Você não consegue dizer com precisão quem acessou o que e quando, nos últimos 90 dias.
3. Manipulação de geração e despacho
O ataque mais sofisticado não derruba nada: ajusta sutilmente curvas de potência, falsifica dados de geração reportados ou interfere na programação de despacho. O dano é financeiro e regulatório, e pode passar despercebido por semanas se não houver baseline comportamental de geração comparando o esperado com o realizado.
O fio condutor das ameaças
Todas exploram a mesma fragilidade: confiança implícita dentro da rede OT e um canal de acesso remoto sem controle. Resolver segmentação e acesso remoto reduz drasticamente a superfície das quatro ameaças simultaneamente. É por isso que a Decripte começa sempre por esses dois eixos antes de qualquer coisa.
Caso ilustrativo: comprometimento via acesso remoto de fornecedor
Cenário ilustrativo (não é um cliente real)
O caso a seguir é um cenário construído para fins didáticos, representativo dos incidentes que a Decripte trata em geração renovável. Os detalhes são típicos do setor, mas não correspondem a nenhuma organização específica.
Um parque solar de grande porte mantém contrato de O&M com o fabricante dos inversores. Para suporte, foi estabelecida uma VPN persistente da rede OT do parque para a infraestrutura do fornecedor. As credenciais são compartilhadas entre a equipe de manutenção do fabricante, não há MFA, e as sessões não são gravadas. O canal chega diretamente ao SCADA, sem passar por uma DMZ industrial.
O fabricante sofre um comprometimento na sua própria rede corporativa. O atacante descobre a infraestrutura de manutenção e, a partir dela, enumera os parques conectados. Encontra a VPN do parque solar, reutiliza as credenciais compartilhadas e alcança a rede de controle. A partir daí, começa a reconhecer o ambiente: mapeia o SCADA, os concentradores de inversores e o historiador, tudo usando comandos de protocolo legítimos que não disparam alarme nenhum porque ninguém está observando o comportamento da rede OT.
O ponto cego que prolongou a permanência
Durante semanas, o tráfego anômalo não foi detectado porque não havia monitoramento na rede OT nem baseline de comportamento de geração. O atacante operava com credenciais válidas e protocolos legítimos: do ponto de vista dos sistemas, nada estava errado. Esse é o padrão real dos incidentes de geração, e a razão pela qual detecção comportamental 24x7 importa mais do que assinaturas.
Os primeiros sinais visíveis foram operacionais: pequenas discrepâncias entre a geração esperada (com base em irradiância e histórico) e a realizada, e ajustes de setpoint que ninguém da operação havia feito. A equipe interpretou inicialmente como falha de equipamento. Foi quando acionaram a Decripte que o quadro real apareceu.
Como a Decripte estabiliza, segmenta e monitora
A atuação da Decripte em geração renovável combina resposta a incidentes com estruturação duradoura. Não basta expulsar o atacante; é preciso fechar o vetor de acesso remoto, segmentar a rede OT e implantar visibilidade contínua para que o próximo incidente seja detectado em minutos, não em semanas. O trabalho começa com contenção e termina com um SOC 24x7 enxergando geração, despacho e o comportamento da rede de controle.
O que muda após a estruturação da Decripte
- ✓O acesso remoto de fornecedores passa a ser intermediado por jump host na DMZ industrial, com MFA, aprovação por janela e gravação integral de sessão.
- ✓A rede OT é segmentada por níveis Purdue, com a camada de controle isolada da corporativa e da internet.
- ✓Cada inversor, turbina, PLC e gateway está inventariado e monitorado, com baseline de comportamento.
- ✓O SOC 24x7 correlaciona telemetria de geração com tráfego de protocolo e alerta sobre desvios de setpoint e curvas anômalas.
- ✓Existe um plano de resposta a incidentes específico de OT, com contenção em até 1 hora e papéis definidos.
- ✓A conformidade com requisitos de ciber da ANEEL e do ONS é mapeada e evidenciada.
A diferença prática é que o parque passa a operar com a premissa de que a rede OT é hostil por padrão: ninguém tem confiança implícita, todo acesso é autenticado e registrado, e qualquer comando que foge do baseline gera investigação. Essa é a postura que separa um parque resiliente de um parque que descobre o incidente pela conta de energia não despachada.
Quanto custaria um incidente em geração renovável (solar e eólica)? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Pentest de SCADA e do canal de acesso remoto
A Decripte realiza pentest específico de ambientes OT/ICS de geração, com metodologia adaptada para não impactar a disponibilidade. Diferentemente de um pentest de TI, em OT o teste é planejado com a equipe de operação, executado em janelas combinadas e, quando necessário, em réplica ou laboratório para os ativos mais sensíveis. O objetivo é demonstrar, com evidência, o que um atacante conseguiria fazer a partir do canal de acesso remoto, da rede corporativa e da própria rede OT.
O que o pentest de geração cobre
- ›Canal de acesso remoto do fabricante: enumeração, reuso de credenciais, ausência de MFA, escopo da sessão.
- ›Segmentação: validação real de que a camada corporativa não alcança o SCADA.
- ›Protocolos industriais: avaliação de Modbus, DNP3, IEC 60870-5-104 e IEC 61850 quanto a comandos não autenticados.
- ›Exposição externa: serviços de SCADA, HMIs e gateways indevidamente acessíveis pela internet.
- ›Firmware e gestão de patches de inversores, turbinas e gateways.
- ›Cadeia de suprimento: dependências da nuvem do fabricante e integrações de telemetria.
Pentest de OT não é pentest de TI
Rodar ferramentas de varredura agressiva em uma rede OT pode derrubar equipamentos legítimos que não toleram tráfego inesperado. A Decripte usa abordagem passiva e de baixo impacto na produção, reserva técnicas ativas para janelas controladas e prioriza a demonstração de impacto sobre o volume de testes. Segurança que derruba a geração não é segurança.
Conformidade ANEEL/ONS e o papel do monitoramento contínuo
O setor elétrico brasileiro avança em requisitos de cibersegurança aplicáveis a agentes de geração, com a ANEEL e o ONS estabelecendo expectativas de gestão de risco cibernético, proteção de ativos críticos e capacidade de resposta a incidentes. Some-se a isso a LGPD para os dados pessoais tratados pela organização (colaboradores, fornecedores, eventualmente consumidores em geração distribuída) sob fiscalização da ANPD. A Decripte mapeia esses requisitos para controles concretos e produz a evidência necessária para demonstrá-los.
Eixos de conformidade que a Decripte estrutura
- ✓Gestão de risco cibernético dos ativos de geração e do centro de operação.
- ✓Controles de acesso e segregação de funções no ambiente OT.
- ✓Capacidade de detecção e resposta a incidentes com registro auditável.
- ✓Gestão de vulnerabilidades e atualização controlada de firmware.
- ✓Tratamento de dados pessoais conforme a LGPD, sob a ANPD.
- ✓Documentação e evidências para demonstrar maturidade perante ANEEL e ONS.
O monitoramento contínuo é o que transforma conformidade de documento em prática verificável. Um SOC 24x7 que correlaciona geração, despacho e tráfego de protocolo não só detecta ataques: produz a trilha de auditoria que comprova, perante o regulador, que a organização tem visibilidade e capacidade de resposta sobre seus ativos críticos.
Comece pela visibilidade, sem custo
Antes de qualquer projeto, você pode medir a exposição do seu parque com o diagnóstico gratuito de Gestão de Ameaças da Decripte em decripte.io/free. Ele revela o que está exposto, qual a postura do seu acesso remoto e por onde um atacante começaria. Quando quiser avançar para SOC, pentest ou estruturação OT completa, os planos pagos estão em /planos.
Comprometimento de parque solar via acesso remoto de fornecedor
Cenário ilustrativo
Cenário ILUSTRATIVO, não corresponde a cliente real. Um parque solar de grande porte mantém contrato de operação e manutenção com o fabricante dos inversores. Para suporte, há uma VPN persistente da rede OT para a infraestrutura do fornecedor, com credenciais compartilhadas entre técnicos, sem MFA, sem gravação de sessão e chegando direto ao SCADA, sem DMZ industrial. O fabricante sofre um comprometimento em sua rede corporativa; a partir dele, o atacante enumera os parques conectados, reutiliza as credenciais e alcança a rede de controle do parque, operando por semanas com comandos de protocolo legítimos sem ser detectado, até surgirem discrepâncias entre geração esperada e realizada.
Detecção
A operação nota discrepâncias entre a geração esperada (por irradiância e histórico) e a realizada, além de ajustes de setpoint não autorizados. Inicialmente atribuído a falha de equipamento. A Decripte é acionada e, com captura passiva da rede OT, identifica sessões de acesso remoto ativas e comandos de escrita Modbus/IEC 104 originados do canal do fornecedor fora de janelas de manutenção.
Contenção
Em menos de 1 hora, a Decripte derruba a VPN persistente do fabricante, revoga as credenciais compartilhadas e isola a rede de controle da camada corporativa e do canal externo, preservando a geração. Coloca o SCADA atrás de uma segmentação emergencial e estabelece monitoramento imediato do tráfego de protocolo para flagrar qualquer comando anômalo restante.
Erradicação
Mapeamento completo da movimentação do atacante: ativos tocados, comandos emitidos, credenciais usadas. Remoção de qualquer persistência em servidores de engenharia e HMIs, rotação de todas as credenciais de manutenção e validação de integridade dos setpoints e configurações dos inversores contra a baseline documentada.
Recuperação
Restauração dos parâmetros corretos de operação, reconciliação dos dados de geração e despacho, e retorno gradual à operação normal com o SOC acompanhando cada etapa. Verificação de que nenhuma alteração maliciosa de firmware ou proteção permaneceu nos equipamentos.
Reestruturação do acesso remoto
Substituição da VPN persistente por acesso intermediado em jump host na DMZ industrial: MFA obrigatório, aprovação por janela de tempo, credenciais individuais por técnico e gravação integral de cada sessão de manutenção do fornecedor.
Segmentação e monitoramento permanente
Implantação da segmentação Purdue com a camada de controle isolada, inventário completo de inversores, turbinas, PLCs e gateways, e SOC 24x7 com baseline comportamental de geração que alerta sobre desvios de setpoint e curvas de potência anômalas.
Lições aprendidas
O incidente entrou pelo fornecedor, não pela internet, e durou semanas por falta de visibilidade na rede OT. As ações estruturais (acesso remoto controlado, segmentação e monitoramento de geração) eliminam o vetor e reduzem o tempo de detecção de semanas para minutos.
Desfecho com a Decripte
O parque retomou operação normal com o vetor de entrada fechado, o canal de acesso remoto do fornecedor auditado e controlado, a rede OT segmentada e um SOC 24x7 monitorando geração e despacho. A organização passou a ter trilha de auditoria para demonstrar maturidade cibernética perante ANEEL e ONS, e um plano de resposta a incidentes específico de OT com contenção em até 1 hora. A Decripte converteu um incidente de indisponibilidade e manipulação em uma postura de segurança estruturada e verificável.
Não espere o incidente acontecer. Comece a blindar geração renovável (solar e eólica) hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em geração renovável
A resposta a incidentes em ambientes OT de geração exige preservar a disponibilidade enquanto se expulsa o atacante. A Decripte segue um fluxo desenhado para conter sem derrubar a planta, com contenção em até 1 hora e foco em fechar o vetor de entrada de forma definitiva.
- Acionamento e triagem imediata: ativação do plano de resposta de OT, captura passiva do tráfego da rede de controle e identificação do vetor (acesso remoto, rede corporativa ou exposição externa) sem injetar tráfego que possa afetar a geração.
- Contenção em até 1 hora: corte do canal de acesso remoto comprometido, revogação de credenciais e isolamento da camada de controle da corporativa e da internet, preservando a operação dos ativos de geração.
- Preservação de evidências: coleta forense de logs do SCADA, historiador, HMIs e gateways, e registro da movimentação do atacante para suporte regulatório e investigação.
- Erradicação: remoção de persistência em servidores de engenharia e estações de operação, rotação de todas as credenciais de manutenção e validação de integridade de setpoints, configurações e firmware dos inversores e turbinas.
- Recuperação controlada: restauração dos parâmetros corretos, reconciliação de dados de geração e despacho e retorno gradual à operação normal sob acompanhamento do SOC.
- Reestruturação do vetor: substituição de VPNs persistentes por acesso intermediado com MFA, janela de tempo, credenciais individuais e gravação de sessão na DMZ industrial.
- Implantação de detecção contínua: ativação de monitoramento 24x7 com baseline comportamental de geração e tráfego de protocolo, para detectar o próximo desvio em minutos.
- Relatório executivo e regulatório: documentação do incidente, das ações e das evidências para demonstração de maturidade perante ANEEL e ONS e cumprimento de obrigações de notificação aplicáveis.
Como a Decripte estrutura a segurança de um parque renovável
A estruturação parte da premissa de que a rede OT é hostil por padrão e organiza a defesa em pilares que se reforçam: sem confiança implícita, todo acesso é autenticado e registrado, e todo comportamento é monitorado contra uma baseline. O objetivo é resiliência operacional e conformidade verificável.
Segmentação OT/ICS (modelo Purdue)
Isolamento das camadas de campo, controle, operação e corporativa, com uma DMZ industrial como único ponto controlado de troca. Nenhum tráfego de TI ou da internet toca o SCADA diretamente, reduzindo a superfície das quatro ameaças prioritárias de uma só vez.
Acesso remoto controlado de fornecedores
Substituição de VPNs persistentes por acesso intermediado em jump host: MFA obrigatório, aprovação por janela de tempo, credenciais individuais por técnico e gravação integral de sessão. Elimina o vetor de cadeia de suprimento que é a porta de entrada mais comum.
Visibilidade e monitoramento 24x7 de geração
Inventário completo de inversores, turbinas, PLCs e gateways, com SOC 24x7 correlacionando telemetria de geração, despacho e tráfego de protocolo. Baseline comportamental detecta manipulação de setpoint e curvas anômalas antes do impacto físico ou regulatório.
Gestão de vulnerabilidades e firmware
Identificação e priorização de vulnerabilidades em inversores, turbinas, gateways e sistemas de controle, com atualização controlada de firmware em janelas que respeitam a disponibilidade da planta.
Pentest periódico de SCADA e canal remoto
Testes adversariais de baixo impacto que demonstram, com evidência, o que um atacante conseguiria a partir do acesso remoto, da rede corporativa e da própria rede OT, alimentando a melhoria contínua.
Conformidade ANEEL/ONS e LGPD
Mapeamento dos requisitos de ciber do setor elétrico e da LGPD para controles concretos, com produção de evidências e trilha de auditoria para demonstrar maturidade perante reguladores.
Planos recomendados para Geração Renovável (Solar e Eólica)
SOC 24x7
Monitoramento contínuo da rede OT, telemetria de geração e despacho, com baseline comportamental que detecta manipulação de setpoint e curvas anômalas antes que virem indisponibilidade ou multa regulatória. É o pilar que reduz o tempo de detecção de semanas para minutos em parques solares e eólicos.
Ver plano →Resposta a Incidentes
Contenção em até 1 hora para incidentes em ambientes de geração, com fluxo desenhado para expulsar o atacante sem derrubar a planta, preservar evidências para ANEEL/ONS e fechar o vetor de acesso remoto de fornecedor de forma definitiva.
Ver plano →Pentest
Pentest específico de SCADA e do canal de acesso remoto do fabricante, com metodologia de baixo impacto que demonstra com evidência os caminhos de sabotagem de inversores e turbinas e valida a segmentação da rede OT.
Ver plano →Conformidade
Mapeamento dos requisitos de cibersegurança da ANEEL e do ONS e da LGPD para controles concretos, com produção de evidências e trilha de auditoria para demonstrar maturidade cibernética sobre os ativos críticos de geração.
Ver plano →Perguntas frequentes
Por que o acesso remoto do fabricante de inversores é tão perigoso?
Porque ele costuma ser uma VPN persistente, com credenciais compartilhadas, sem MFA e sem gravação de sessão, chegando direto ao SCADA. Se o fabricante for comprometido, o atacante herda acesso a todos os parques daquele fornecedor, ignorando todo o perímetro que você construiu. A Decripte substitui esse canal por acesso intermediado em jump host com MFA, janela de tempo e gravação. Você pode avaliar a postura do seu acesso remoto no diagnóstico gratuito em decripte.io/free.
Um pentest pode derrubar minha geração?
Um pentest de TI tradicional pode, porque equipamentos OT não toleram tráfego agressivo. Por isso a Decripte usa metodologia específica de OT/ICS: abordagem passiva e de baixo impacto na produção, técnicas ativas reservadas para janelas combinadas com a operação e, quando necessário, testes em réplica ou laboratório para os ativos mais sensíveis. O objetivo é demonstrar impacto, não causar indisponibilidade.
O ransomware pode parar minha usina mesmo sem tocar os inversores?
Sim. O ransomware geralmente cifra o historiador, as HMIs, os servidores de engenharia e as estações de despacho, não os inversores. O parque pode continuar gerando, mas a equipe opera às cegas, sem telemetria nem capacidade de despacho coordenado com o ONS. A indisponibilidade operacional e regulatória é o dano real, e por isso segmentação e SOC 24x7 são essenciais.
Como a segmentação Purdue se aplica a um parque solar ou eólico?
Ela separa quatro domínios: campo e controle (inversores, turbinas, PLCs), supervisão (SCADA, HMI), operações (historiador, despacho) e corporativo. Entre OT e TI fica uma DMZ industrial, o único ponto controlado de troca, onde também mora o jump host de acesso remoto. Assim, um phishing na rede corporativa não alcança o SCADA diretamente.
Quais protocolos industriais estão em risco e por quê?
Modbus TCP, DNP3, IEC 60870-5-104 e IEC 61850, entre outros. Eles foram projetados para disponibilidade e telemetria, não para autenticar quem emite comandos. Quem trafega na rede OT consegue ler e, em muitos casos, escrever setpoints. A defesa não está no protocolo, e sim na segmentação e no monitoramento do tráfego.
A Decripte ajuda com a conformidade exigida pela ANEEL e pelo ONS?
Sim. A Decripte mapeia os requisitos de cibersegurança aplicáveis a agentes de geração para controles concretos, produz evidências e trilha de auditoria e estrutura a capacidade de resposta a incidentes. Também trata os dados pessoais sob a LGPD, fiscalizada pela ANPD. O monitoramento contínuo é o que transforma conformidade em prática verificável.
Como começo a avaliar a segurança do meu parque?
Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free. Ele revela o que está exposto, qual a postura do seu acesso remoto e por onde um atacante começaria, sem custo e self-service. Quando quiser avançar para SOC 24x7, pentest, resposta a incidentes ou estruturação OT completa, os planos pagos estão em /planos.
Quanto tempo a Decripte leva para conter um incidente em geração?
O SLA de contenção é de até 1 hora. Em ambientes de geração, a contenção é desenhada para expulsar o atacante e cortar o vetor de entrada (tipicamente o acesso remoto comprometido) sem derrubar a planta, preservando a operação dos ativos enquanto a rede de controle é isolada e investigada.
Termos do setor
- SCADA
- Supervisory Control and Data Acquisition: sistema que supervisiona e controla os ativos de geração (inversores, turbinas, disjuntores) a partir de um centro de operação, coletando telemetria e emitindo comandos. É o coração da operação e um alvo central em ataques a parques renováveis.
- OT/ICS
- Operational Technology / Industrial Control Systems: a tecnologia e os sistemas de controle que operam o mundo físico (campo, controle e supervisão), em contraste com a TI corporativa. Exigem controles próprios porque priorizam disponibilidade e usam protocolos sem autenticação nativa.
- Modelo Purdue
- Modelo de referência que organiza redes industriais em níveis hierárquicos (do campo ao corporativo), com uma DMZ industrial entre OT e TI. Serve de base para segmentar a rede de um parque e impedir que um comprometimento de TI alcance o SCADA.
- Jump host (bastion)
- Ponto único e controlado pelo qual todo acesso remoto deve passar, com MFA, aprovação por janela de tempo, credenciais individuais e gravação de sessão. Substitui VPNs persistentes de fornecedor e elimina o vetor de cadeia de suprimento mais comum em geração.
- Baseline comportamental de geração
- Perfil do comportamento esperado da planta (curvas de potência, setpoints, relação irradiância/geração) usado para detectar desvios. Permite flagrar manipulação de despacho e comandos anômalos que protocolos e assinaturas tradicionais não identificam.
- DMZ industrial
- Zona desmilitarizada situada no nível 3.5 do modelo Purdue, entre a rede de operações (OT) e a corporativa (TI). É o único ponto autorizado de troca de dados e o local onde o acesso remoto de fornecedores é intermediado e auditado.
A Decripte protege e responde a incidentes no setor de geração renovável (solar e eólica).
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.