Em ambientes industriais e de produção, os ICS (SistemasIndustrial ) são amplamente utilizados, mas estes sistemas foram concebidos a pensar na segurança, em resultados determinísticos e na disponibilidade — e não na exposição a ameaças cibernéticas. Os PLC, as IHM, os sistemas de registo de dados e os sistemas de controlo distribuído funcionam frequentemente de forma contínua e não podem tolerar interrupções.
Ao mesmo tempo, os fabricantes estão sob pressão para fornecer uma monitorização centralizada em todas as fábricas, integrando dados de OT com plataformas de TI e SOC para permitir a visibilidade remota, o diagnóstico e até mesmo o acesso a redes sensíveis. Esta convergência introduz riscos nas fronteiras entre as zonas.
Normas como a IEC 62443 partem do princípio de que falhas na segmentação conduzem diretamente a riscos operacionais, e não apenas à exposição de dados. Em ambientes de OT, os incidentes cibernéticos podem resultar em várias consequências catastróficas. As paragens de produção estão entre as mais comuns: o ataque de ransomware à Colonial Pipeline em 2021 forçou uma paragem de seis dias do maior oleoduto de combustível refinado dos Estados Unidos, provocando escassez de combustível em 17 estados e um estado de emergência presidencial, enquanto o ataque à Norsk Hydro LockerGoga, em 2019, interrompeu a produção automatizada de alumínio em 40 países, com um custo de 70 a 80 milhões de dólares.
Os danos ao equipamento são igualmente reais: os atacantes que invadiram uma siderurgia alemã em 2014 passaram da rede corporativa para os sistemas de controlo de produção e impediram que um alto-forno fosse desligado em segurança, causando uma destruição física em grande escala — o segundo ciberataque confirmado a causar danos físicos, depois do Stuxnet.
Os incidentes de segurança representam a categoria mais alarmante: o malware TRITON, utilizado contra a Petro Rabigh em 2017 — amplamente considerado como o primeiro malware concebido para causar vítimas humanas —, explorou uma firewall mal configurada para aceder a sistemas de segurança instrumentados e poderia ter provocado libertações de sulfureto de hidrogénio tóxico ou explosões, caso o ataque não tivesse falhado devido a um erro de codificação.
Os impactos ambientais e na segurança pública são também evidenciados por incidentes como o ciberataque ao setor energético da Polónia em 2025, em que os autores da ameaça destruíram dados de IHM, corromperam o firmware de OT e provocaram a perda de visibilidade e controlo entre as instalações e os operadores da rede. Mais importante ainda, certas regiões incorporaram a norma IEC 62443 na legislação: a Diretiva NIS2 da UE, para a qual a ISA/IEC 62443 é considerada a principal estrutura de conformidade para infraestruturas industriais, impõe multas de até 10 milhões de euros ou 2% da receita anual global para entidades essenciais, juntamente com responsabilidade pessoal para a gestão de topo — o que significa que qualquer condição de não conformidade pode desencadear consequências financeiras e legais significativas para as entidades essenciais, juntamente com responsabilidade pessoal para a gestão de topo — o que significa que qualquer condição de não conformidade pode desencadear consequências financeiras e legais significativas.
Embora as firewalls industriais e a segmentação baseada em VLAN sejam frequentemente utilizadas para mitigar este tipo de riscos, também criaram desafios significativos para os operadores. Estas soluções dependem estritamente de uma configuração correta ao longo de ciclos de vida prolongados dos sistemas, enquanto o suporte a protocolos OT legados nem sempre está disponível e, muitas vezes, carece de autenticação ou validação suficientes. A natureza das firewalls também permite a comunicação bidirecional, e o malware pode atravessar caminhos de retorno considerados seguros.
A segmentação lógica ajuda, mas não garante a separação. Quando as redes de TI ou redes externas podem iniciar comunicações com zonas de OT, surgem simultaneamente riscos significativos: o malware pode passar da TI para os sistemas de produção, onde as vias de monitorização podem ser utilizadas indevidamente para controlar o tráfego com credenciais comprometidas, contornando assim a segmentação.
A norma IEC 62443 é clara: as zonas devem ser protegidas por canais de comunicação unidirecionais. Um díodo de dados impõe uma comunicação unidirecional na camada física, o que constitui uma excelente opção, semelhante a um «passagem rápida», para cumprir esses requisitos: os dados podem sair de uma zona OT de nível inferior, mas não podem regressar, independentemente do estado do software ou de uma eventual violação de segurança. Isto está em total conformidade com os princípios da norma IEC 62443 relativos a limites de zona bem definidos, canais de comunicação determinísticos e à ausência de confiança implícita entre níveis de segurança.
Com um díodo de dados, os fabricantes podem exportar métricas de produção, replicar sistemas de registo histórico, transmitir alarmes e registos, e permitir a monitorização centralizada, tudo isto sem permitir a entrada de tráfego nas zonas de controlo. Isto facilita o processo de avaliação de riscos de segurança, tal como definido na Parte 3-2.
Ao aprofundar a leitura da Parte 3-3 relativa aos níveis de segurança, a utilização de um diodo na arquitetura de projeto está em estreita correspondência com a SR 5.2 — Proteção de limites de zonas e condutas, a SR 5.1 — Segmentação de rede, a SR 3.1 — Integridade da comunicação e a SR 7.6 — Segmentação de rede para disponibilidade. O díodo não só ajuda a reduzir as superfícies de ataque, restringindo o acesso físico e lógico a sistemas e redes, como também segmenta as redes e controla o tráfego entre elas de forma determinística. Isto permite aos fabricantes empregar um método de defesa em profundidade, inserindo novas camadas de proteção em alguns dos perímetros de rede mais críticos, mas imutáveis, sem a necessidade de uma reconstrução massiva.
A mudança passa da segmentação lógica para a aplicação física. A visibilidade é mantida, mas o controlo não é partilhado.
Isto monitoriza os dados de saída, mantendo os sistemas de controlo isolados e tornando impossível contornar os limites das zonas. Do ponto de vista da segurança, elimina as vias de ataque de entrada, reduz o risco de movimentação lateral e oferece uma proteção superior contra erros de configuração e abuso de protocolos.
Ao adotarem esta abordagem, os fabricantes podem garantir a continuidade operacional sem impacto no controlo em tempo real, sem dependência da segurança de protocolos legados, e manter operações estáveis e previsíveis. Além disso, abre caminho para o alinhamento com os requisitos de zonas e condutas da norma IEC 62443, simplifica a documentação e a validação e proporciona uma preparação substancial com uma arquitetura defensável e repetível.
Em ambientes industriais onde a separação de zonas deve ser imposta — e não apenas presumida —, as soluções de transferência de dados unidirecional implementadas por hardware estão a ser cada vez mais adotadas. MetaDefender Optical Diode impede fisicamente qualquer caminho de retorno para a rede protegida — não através de regras ou políticas, mas através da ausência de um caminho de luz capaz de transportar tráfego de entrada.
Soluções como o MetaDefender Optical Diode concebidas para proporcionar um isolamento de nível industrial, em conformidade com as normas, sem interromper as operações.
