Segurança para Siderurgia e Metalurgia: blindando o ICS do alto-forno contra sabotagem e ransomware destrutivo

Por que a siderurgia e a metalurgia são alvos de altíssimo valor

Uma siderúrgica integrada é, do ponto de vista cibernético, uma das infraestruturas mais perigosas que existem quando comprometida. Não porque guarde dados especialmente sensíveis — embora guarde propriedade intelectual valiosa, como ligas, parâmetros de processo e contratos — mas porque seus sistemas de controle governam energia física massiva. Um alto-forno opera a mais de 1.500 graus Celsius com toneladas de gusa líquido; um laminador a quente movimenta tarugos incandescentes a dezenas de quilômetros por hora; o lingotamento contínuo coordena vazamento, refrigeração e corte em sincronia milimétrica. Cada um desses processos é orquestrado por PLCs, SDCDs (Sistemas Digitais de Controle Distribuído) e SCADA. Quando um atacante alcança esse nível, ele não rouba: ele pode sabotar.

Esse é o ponto que diferencia a indústria pesada de praticamente qualquer outro setor. Em um banco ou e-commerce, o pior cenário razoável é vazamento, fraude e indisponibilidade. Em uma planta siderúrgica, o pior cenário é dano físico: descontrole térmico, ruptura de equipamento, projeção de material, risco à integridade de trabalhadores e destruição de ativos que levam meses e milhões para repor. É por isso que esse setor atrai dois perfis de adversário simultaneamente — grupos de ransomware com motivação financeira, que sabem que a parada de planta cria pressão extrema para pagar, e atores avançados persistentes (APT) com motivação geopolítica ou de espionagem industrial, interessados em pré-posicionamento ou em roubar décadas de know-how metalúrgico.

Há ainda um agravante histórico. Boa parte do parque industrial siderúrgico brasileiro convive com equipamentos de controle de longuíssimo ciclo de vida — PLCs e SDCDs que rodam há 15, 20 ou 30 anos, com sistemas operacionais sem suporte, protocolos sem autenticação nativa e, muitas vezes, sem possibilidade de patch sem parar a linha. Não se troca o controlador de um alto-forno como se troca um servidor. Isso significa que a segurança não pode depender de 'atualizar tudo': ela precisa ser construída em camadas ao redor desses ativos legados — segmentação, monitoramento e controle de acesso — exatamente o que a Decripte estrutura.

A anatomia técnica do ambiente: TI, OT e a fronteira que todos atravessam

Para defender uma planta é preciso entender como ela é construída em camadas. O modelo de referência usado mundialmente é o Purdue Enterprise Reference Architecture, incorporado à norma IEC 62443, que organiza o ambiente em níveis: o Nível 0 são os sensores e atuadores físicos (termopares, válvulas, motores); o Nível 1 são os controladores (PLCs, SDCDs); o Nível 2 é a supervisão local (SCADA, estações de operação, IHMs); o Nível 3 é a operação da planta (MES, historiadores de processo, engenharia); e os Níveis 4 e 5 são a TI corporativa e a internet. Entre o Nível 3 e o Nível 4 deve existir uma DMZ industrial — a fronteira mais crítica de toda a arquitetura.

O problema fundamental é que esses protocolos foram projetados em uma era em que a rede industrial era fisicamente isolada. Eles confiam em quem está na rede. Um comando Modbus para escrever um setpoint de temperatura não carrega autenticação — se o pacote chega ao PLC, ele é executado. Isso significa que toda a segurança real depende de quem consegue colocar pacotes naquela rede. E é exatamente aí que a fronteira TI/OT se torna o campo de batalha: a esmagadora maioria dos ataques bem-sucedidos a plantas não começa na OT. Começa em um e-mail de phishing na TI corporativa, escala privilégios, captura credenciais do Active Directory e então procura o caminho — a 'ponte' — para o chão de fábrica.

O acesso remoto de fornecedores merece destaque próprio. Fabricantes de equipamentos (OEMs) frequentemente exigem acesso remoto para manutenção e suporte. Quando esse acesso não é mediado — sem jump host, sem autenticação multifator, sem gravação de sessão, sem janela de tempo controlada — ele se torna a porta de entrada preferida tanto de APTs quanto de operadores de ransomware, que sabem que essas contas existem e são pouco monitoradas.

O cenário de ameaça concreto: quem ataca e o que busca

Ransomware destrutivo e parada de planta

O ransomware moderno contra a indústria evoluiu de uma simples criptografia oportunista para uma operação dirigida. Os grupos mais avançados praticam dupla e tripla extorsão: criptografam sistemas, exfiltram dados antes de criptografar (para chantagear com vazamento) e, no caso industrial, miram deliberadamente os ativos cuja indisponibilidade força a parada da produção. Eles não precisam alcançar o PLC para causar dano massivo — basta criptografar as estações de engenharia, os historiadores de processo, os servidores MES e as IHMs de supervisão. Sem supervisão e sem engenharia, a operação segura da planta fica comprometida e a decisão prudente é parar. Para uma siderúrgica, cada dia de parada não programada se mede em milhões de reais e, dependendo do equipamento, em risco de dano permanente — um alto-forno parado abruptamente é uma operação delicada e cara.

Sabotagem direta de OT

O cenário mais grave é a manipulação direta do processo: alterar setpoints de temperatura, pressão ou velocidade; desabilitar intertravamentos de segurança; falsificar leituras enviadas à IHM para esconder a manipulação real do operador. Esse é o território dos atores mais sofisticados, geralmente patrocinados por Estado, com objetivos de sabotagem ou pré-posicionamento. A defesa contra isso não é apenas tecnológica: ela depende de uma camada que muitas plantas esquecem — os Sistemas Instrumentados de Segurança (SIS), que devem permanecer independentes do sistema de controle de processo justamente para que um comprometimento do controle não anule as proteções físicas.

Espionagem industrial e APT

Nem todo ataque quer fazer barulho. A propriedade intelectual de uma metalúrgica — composição de ligas, parâmetros de tratamento térmico, receitas de processo, projetos — vale décadas de pesquisa. Atores de espionagem buscam persistência silenciosa: comprometer, mapear, exfiltrar lentamente e permanecer indetectados por meses. Esse perfil exige uma defesa diferente do ransomware barulhento: exige threat hunting proativo, que não espera o alarme tocar e sim caça hipóteses de comprometimento ativamente.

Visibilidade primeiro: você não defende o que não enxerga

O erro mais comum em segurança industrial é começar comprando ferramentas de bloqueio sem antes resolver o problema da visibilidade. Em quase toda planta que avaliamos, ninguém tem um inventário completo e atualizado dos ativos de OT — quantos PLCs existem, de que fabricante, com qual firmware, conversando com quem, por qual protocolo. Sem esse mapa, qualquer estratégia de defesa é cega. A primeira entrega de valor da Decripte é justamente iluminar esse ambiente.

A partir dessa visibilidade passiva, é possível estabelecer uma linha de base do comportamento normal da planta: quais estações falam com quais controladores, quais comandos são esperados, quais faixas de valores são plausíveis. Com a linha de base, qualquer desvio se torna detectável — uma estação que nunca escreveu em um PLC de repente escrevendo, um comando de escrita em um registrador crítico fora de janela de manutenção, um novo dispositivo aparecendo na rede industrial. Esse é o tipo de sinal que distingue um ataque a OT, e que nenhum antivírus de TI jamais capturaria.

Você pode começar a construir essa visibilidade hoje, sem custo. O diagnóstico de Gestão de Ameaças da Decripte, disponível em decripte.io/free, identifica a exposição da sua organização a partir de inteligência de ameaças e da sua superfície externa — o primeiro retrato honesto de por onde um atacante começaria.

Segmentação: a defesa estrutural que muda o jogo

Se há uma única intervenção que mais reduz o risco em uma planta siderúrgica, é a segmentação correta entre TI e OT, e dentro da própria OT. A lógica é direta: se o atacante quase sempre entra pela TI e precisa atravessar para a OT, então tornar essa travessia difícil, monitorada e improvável é a defesa mais alta em retorno sobre investimento que existe. A segmentação não impede que a TI seja comprometida — isso vai acontecer eventualmente — mas garante que o comprometimento da TI não signifique automaticamente o comprometimento do chão de fábrica.

A microssegmentação interna é especialmente importante na siderurgia porque a planta é, na verdade, várias plantas. Não faz sentido que a rede de controle do alto-forno seja diretamente alcançável a partir da rede de uma laminadora ou da estação de tratamento de água. Cada zona crítica deve ser uma ilha defensável, de modo que mesmo se um atacante comprometer a supervisão de uma área, ele não herde acesso às demais. Isso transforma um possível incidente catastrófico de planta inteira em um incidente contido a um setor.

Sobre a base de segmentação, entra o controle de borda. A Decripte aplica seu serviço de Segurança de Borda para proteger os pontos onde a planta toca a internet — portais corporativos, VPNs, serviços de acesso remoto, OPC voltado a integrações externas — com WAF, proteção contra DDoS e endurecimento de configuração, reduzindo a superfície que o atacante pode tocar de fora antes mesmo de tentar a travessia interna.

Detecção e caça: SOC 24x7 e threat hunting sobre TI e OT

Segmentação reduz a probabilidade de travessia, mas nenhuma defesa é absoluta. A segunda linha é a detecção — e aqui a operação precisa ser contínua, porque o adversário não respeita horário comercial. Ataques a indústrias são frequentemente desencadeados de madrugada, em feriados e em janelas de troca de turno, justamente quando a vigilância humana é menor. Por isso o SOC da Decripte opera 24 horas por dia, 7 dias por semana, correlacionando sinais de três frentes ao mesmo tempo: a borda e a internet, o Active Directory e a TI corporativa, e o tráfego industrial da OT.

O diferencial não está em coletar logs — qualquer ferramenta coleta. Está na correlação que conecta os pontos antes do desastre. Um login incomum em uma estação de engenharia, isoladamente, é ruído. O mesmo login seguido de uma tentativa de alcançar a rede de OT, seguido de uma consulta a um historiador de processo, é uma cadeia de ataque em formação — e é exatamente isso que distingue um SOC que entende OT de um que apenas observa TI.

Threat hunting: não esperar o alarme tocar

Contra adversários de espionagem e APTs, que se especializam em permanecer silenciosos, a detecção reativa não basta. É preciso caçar. O threat hunting da Decripte parte de hipóteses concretas — 'se um atacante quisesse pré-posicionar acesso à OT, onde ele estaria escondido?' — e investiga ativamente o ambiente em busca de evidências, mesmo na ausência de alertas. Essa postura proativa é o que encontra o intruso que já está dentro há semanas, antes que ele decida agir.

Conformidade e governança do risco cyber-físico

A segurança de uma siderúrgica não vive só na técnica — ela precisa de governança que sobreviva a auditorias, a exigências de clientes, de seguradoras e, cada vez mais, do regulador. A referência técnica internacional para segurança de sistemas de automação industrial é a família IEC 62443, que estrutura zonas, conduítes, níveis de segurança (SL) e requisitos por papel (operador, integrador, fabricante). A Decripte usa a IEC 62443 como espinha dorsal da estruturação de OT, traduzindo seus conceitos em decisões concretas de arquitetura e de processo.

Vale corrigir um mal-entendido comum: a LGPD não se aplica a 'aço', mas se aplica plenamente a uma siderúrgica. A empresa processa dados pessoais de milhares de colaboradores, terceirizados, fornecedores e clientes corporativos. Um ransomware que exfiltra dados — e quase todos hoje exfiltram — cria um incidente com dados pessoais sob a LGPD, com obrigações de avaliação de risco e potencial comunicação à ANPD e aos titulares. A governança de incidentes precisa contemplar essa dimensão jurídica desde o primeiro minuto, e a Decripte estrutura o playbook de resposta já considerando esses deveres.

O serviço de Conformidade da Decripte amarra tudo isso: avalia a maturidade contra IEC 62443 e ISO 27001, identifica lacunas, prioriza por risco real (não por checklist cego) e produz a trilha de evidências necessária para auditorias, due diligence de clientes e renovação de seguro. Conformidade aqui não é burocracia — é a tradução da segurança técnica em linguagem que conselho, cliente e regulador entendem.

Por que a Decripte para este setor

Defender uma planta siderúrgica exige uma combinação rara: entender de ataque (para saber como o adversário pensa), entender de TI (onde o ataque começa) e respeitar profundamente a OT (onde o dano acontece e onde um erro de defesa pode ser pior que o ataque). A Decripte reúne essas três competências em uma operação integrada — Red Team e segurança ofensiva, SOC 24x7 e threat hunting, e resposta a incidentes com SLA de contenção de até 1 hora — sob uma única coordenação, sem o ruído de fornecedores que não conversam entre si durante uma crise.

E o caminho de entrada é desenhado para não ter atrito. Você não precisa de uma reunião comercial para começar a se proteger. O plano gratuito de Gestão de Ameaças em decripte.io/free dá o primeiro retrato da sua exposição hoje mesmo; quando fizer sentido aprofundar, os planos pagos em decripte.io/planos cobrem desde monitoramento contínuo até pentest de OT e resposta a incidentes — tudo contratável de forma self-service, no seu ritmo e na sua ordem de prioridade.

Cenário ilustrativo: movimento lateral rumo ao ICS do alto-forno

Como a Decripte responde a um incidente em ambiente siderúrgico

A resposta a incidentes em OT não é um reboot de servidor — é uma operação que combina rapidez cibernética com respeito absoluto à segurança física. Cada passo é coordenado com a operação da planta, sob a premissa de que a contenção jamais pode criar um risco de processo maior que o ataque. O SLA de contenção é de até 1 hora.

1. Detecção e validação: o SOC 24x7 correlaciona sinais de borda, TI e OT, identifica a cadeia de ataque (especialmente movimento lateral rumo à OT) e escala para incidente crítico, eliminando falsos positivos antes de mobilizar a planta.
2. Acionamento do playbook cyber-físico e ponte com a operação: estabelece-se comunicação imediata com a equipe de processo para que toda decisão de contenção respeite a segurança física e a continuidade segura da produção.
3. Contenção dentro do SLA de até 1 hora: isolamento dos ativos comprometidos, invalidação de credenciais abusadas, corte do acesso remoto explorado e endurecimento da fronteira TI/OT — sem interromper o controle de processo crítico.
4. Threat hunting e erradicação: varredura ativa por persistência (contas, tarefas, implantes) e confirmação, via análise passiva do tráfego industrial, de que nenhum PLC ou SDCD recebeu comando malicioso.
5. Recuperação controlada: restauração a partir de backups validados, reintegração faseada dos sistemas e monitoramento reforçado sobre os ativos tocados e a fronteira TI/OT por período estendido.
6. Tratamento de obrigações legais: avaliação do incidente sob a LGPD (exfiltração de dados pessoais), com suporte à comunicação à ANPD e a titulares quando aplicável, e à comunicação com seguradora.
7. Estruturação pós-incidente: remediação das causas-raiz (segmentação, MFA, visibilidade de OT) para que o mesmo vetor não se repita, transformando o incidente em hardening permanente.
8. Lições aprendidas e exercício de mesa: documentação do ocorrido, atualização do playbook e treinamento da equipe para o próximo cenário, fechando o ciclo de melhoria contínua.

Como a Decripte estrutura a segurança de uma planta siderúrgica

A defesa de uma siderúrgica é construída em camadas, partindo da visibilidade e avançando até a governança auditável. Cada pilar reduz risco de forma mensurável e respeita a realidade de uma planta que opera 24 horas e convive com ativos legados que não se substituem da noite para o dia.

Planos recomendados para Siderurgia e Metalurgia

Perguntas frequentes

Termos do setor

OT (Tecnologia Operacional)

Conjunto de sistemas que monitoram e controlam processos físicos industriais — PLCs, SDCDs, SCADA, IHMs. Diferente da TI, um incidente em OT pode causar dano físico, e por isso a defesa prioriza disponibilidade e segurança física antes de confidencialidade.

ICS / SDCD

Industrial Control Systems (Sistemas de Controle Industrial) e SDCD (Sistema Digital de Controle Distribuído) são os sistemas que orquestram o processo produtivo — no caso siderúrgico, o controle de alto-forno, aciaria e laminação.

Modelo Purdue / IEC 62443

Arquitetura de referência que organiza o ambiente industrial em níveis (do sensor físico à TI corporativa) e a norma técnica internacional que estrutura zonas, conduítes e níveis de segurança para sistemas de automação. Base da segmentação OT bem feita.

Movimento lateral

Técnica em que o atacante, após comprometer um ponto inicial (geralmente na TI), se desloca pela rede em busca de alvos de maior valor — em siderurgia, o caminho até o controle de processo da OT. Detectá-lo cedo é a janela crítica de defesa.

Ransomware destrutivo

Ataque que criptografa sistemas para extorsão e, na indústria, mira deliberadamente engenharia, historiadores e supervisão para forçar a parada de planta — frequentemente combinado com exfiltração de dados para chantagem adicional (dupla extorsão).

SIS (Sistema Instrumentado de Segurança)

Camada de proteção física independente do sistema de controle de processo, projetada para levar a planta a um estado seguro mesmo se o controle for comprometido. Sua independência é o que impede que um ataque ao controle anule as proteções de safety.