Quando a interligação entre sistemas operacionais e tecnológicos promete eficiência e produtividade, a negligência em matéria de cibersegurança está a revelar-se uma fatura pesada. Um novo inquérito da VDC Research e da Kaspersky lança um alerta preocupante: 7% das organizações industriais apenas enfrentam vulnerabilidades quando estas se tornam inadiáveis – geralmente depois de um incidente.
O estudo, intitulado Securing OT with Purpose-built Solutions, inquiriu mais de 250 decisores de setores críticos como energia, serviços públicos, indústria transformadora e transportes. As conclusões traçam um retrato inquietante: práticas reativas, ausência de avaliação contínua de risco e uma abordagem errática à gestão de patches estão a deixar muitas organizações perigosamente expostas a ataques cibernéticos, com impacto direto na produção, na reputação e na saúde financeira.
Uma estratégia de cibersegurança eficaz começa com o óbvio: saber o que se tem. No entanto, mesmo esta premissa básica parece não estar garantida. A convergência entre sistemas de IT e OT (tecnologia operacional) trouxe consigo novos desafios, exigindo visibilidade total sobre os ativos, desde sensores industriais a câmaras e sistemas de controlo climático. Sem essa visão integrada, não é possível avaliar riscos nem proteger infraestruturas críticas.
“Uma avaliação de risco significativa precisa de uma base de ativos clara e alinhada com a realidade operacional da organização”, defende o relatório. Mas a realidade mostra um comportamento fragmentado: quase metade das organizações (48,4%) só realiza testes de penetração ou avaliações de vulnerabilidade esporadicamente, enquanto 16,7% o fazem uma ou duas vezes por ano. Os 7,4% que apenas atuam quando estritamente necessário estão, de facto, a jogar à roleta russa com os seus sistemas.
A gestão de patches — atualizações de segurança que corrigem vulnerabilidades — é outro campo minado. Embora 31,4% das organizações industriais o façam mensalmente, quase metade (46,9%) admite atualizações com menor frequência, e 12,4% apenas uma ou duas vezes por ano. O resultado? Janelas prolongadas de vulnerabilidade em sistemas muitas vezes críticos.
No contexto OT, o problema agrava-se. As dificuldades vão desde a falta de tempo para paragens operacionais até à escassez de especialistas e à dependência de fornecedores que nem sempre disponibilizam atualizações atempadas. Acresce ainda o labirinto da conformidade regulatória.
A proliferação de dispositivos IoT em ambientes industriais — de sensores inteligentes a plataformas de monitorização remota — está a expandir a superfície de ataque de forma exponencial. O entusiasmo tecnológico esbarra, frequentemente, numa realidade pouco preparada para lidar com os riscos associados.
É neste contexto que a Kaspersky defende uma mudança de paradigma: construir segurança de raiz, não como um remendo, mas como uma fundação arquitetónica. A sua plataforma KICS (Kaspersky Industrial Cybersecurity) propõe-se como resposta integrada a esta nova complexidade, com inventário centralizado de ativos, gestão de riscos e auditoria num ecossistema concebido para ambientes OT.
“Criar produtos resilientes por design, que resistam mesmo a vulnerabilidades desconhecidas, é o cerne da nossa abordagem de ciberimunidade”, afirma Dmitry Lukiyan, diretor da unidade de negócios KasperskyOS. “Isto reduz a dependência de correções constantes e garante uma proteção mais robusta com menor custo total.”
À medida que os sistemas industriais se tornam mais conectados, a urgência de uma cibersegurança proativa é mais evidente do que nunca. Mas os números indicam que muitas organizações ainda estão num modo reativo — à espera que algo corra mal para agir.
Num mundo onde a interrupção de uma linha de produção pode representar perdas milionárias e danos reputacionais irrecuperáveis, a cibersegurança deixou de ser uma questão técnica para se tornar numa prioridade de gestão estratégica. Porque, no final, lidar com vulnerabilidades “apenas quando inevitável” pode sair demasiado caro.