Segurança para Energia Eólica Offshore: protegendo SCADA remoto, enlaces e fornecedores

Parques eólicos offshore operam dezenas de quilômetros mar adentro, controlados por SCADA remoto sobre enlaces de satélite e mantidos por fornecedores estrangeiros. Cada um desses elos é uma porta. Veja como a Decripte audita o enlace, segmenta o SCADA e monitora a operação remota 24x7.

Resposta direta

Para proteger uma empresa de energia eólica offshore, comece tratando o acesso remoto como o perímetro real: todo enlace de fornecedor e toda sessão de manutenção remota ao SCADA precisam ser intermediados por um broker com autenticação forte, gravação de sessão e janelas de acesso just-in-time, nunca por VPNs permanentes ou credenciais compartilhadas. Em paralelo, segmente a rede OT/ICS das aerogeradoras e da subestação offshore em zonas Purdue bem definidas, isole o enlace de comunicação (satélite/micro-ondas/fibra submarina) com cifragem e detecção de anomalia, e implante monitoramento contínuo de protocolos industriais (Modbus, DNP3, IEC 60870-5-104, IEC 61850) capaz de enxergar comandos não autorizados em tempo real. Como o centro de operação (O&M onshore) concentra a visibilidade de todo o complexo, ele deve ter EDR, backup imutável e plano de resposta a ransomware testado, porque sua indisponibilidade significa cegueira sobre ativos no meio do oceano. A Decripte estrutura exatamente essa arquitetura — OT/ICS, enlaces remotos e supply chain — e monitora tudo com SOC 24x7. Faça primeiro o diagnóstico gratuito de exposição em decripte.com.br/intelligence-center para mapear o que já está visível na superfície da sua operação.

24/7

SOC monitorando OT e enlaces

<=1h

SLA de contenção de incidente

ISO 27001

Framework de gestão aplicado

IEC 62443

Referência de segurança OT/ICS

Em resumo

  • O acesso remoto de fornecedores estrangeiros é a maior superfície de ataque de um parque eólico offshore — VPNs permanentes e credenciais compartilhadas devem ser substituídas por acesso just-in-time com gravação de sessão.
  • A segmentação OT/ICS no modelo Purdue isola as aerogeradoras, a subestação offshore e o centro de operação, impedindo que um comprometimento no enlace alcance comandos de controle.
  • O enlace de comunicação remota (satélite, micro-ondas, fibra submarina) precisa ser cifrado, autenticado e monitorado por anomalia, porque é o único caminho até ativos inacessíveis fisicamente.
  • Ransomware no centro de O&M onshore cega a operação sobre dezenas de turbinas no mar; backup imutável e resposta testada são inegociáveis.
  • Conformidade com ANEEL, ONS (procedimentos de rede) e os requisitos de cibersegurança do setor elétrico exige monitoramento contínuo e trilha de auditoria — não basta política em papel.
  • A Decripte combina segurança OT/ICS, pentest de SCADA e acesso remoto, SOC 24x7 e resposta a incidentes com SLA de contenção, começando por um diagnóstico gratuito self-service.
Energia e Utilities

Cibersegurança para Energia Eólica Offshore

Parques eólicos offshore operam dezenas de quilômetros mar adentro, controlados por SCADA remoto sobre enlaces de satélite e mantidos por fornecedores estrangeiros. Cada um desses elos é uma porta. Veja como a Decripte audita o enlace, segmenta o SCADA e monitora a operação remota 24x7.

Por que a eólica offshore é um alvo de alto valor

Um parque eólico offshore não é uma usina; é uma rede industrial distribuída no oceano. Dezenas de aerogeradoras flutuantes ou fixas, espalhadas por dezenas de quilômetros quadrados de mar, são controladas remotamente por sistemas SCADA que recebem telemetria e enviam comandos de pitch, yaw, frenagem e desconexão. Entre a turbina e o operador há uma subestação offshore, um enlace de comunicação que cruza a água — satélite, micro-ondas ou fibra submarina — e, em terra, um centro de operação e manutenção (O&M) que concentra toda a visibilidade e o controle. Cada elo dessa cadeia foi projetado primeiro para disponibilidade e telemetria, não para resistir a um adversário com intenção.

O que torna o setor especialmente exposto é a combinação de três fatores que raramente coexistem com tanta intensidade: dependência total de acesso remoto (não há como mandar um técnico subir numa turbina a 40 km da costa por qualquer ajuste), presença permanente de fornecedores estrangeiros — os fabricantes de turbinas (OEMs) europeus e asiáticos mantêm acesso de manutenção contínuo aos seus equipamentos — e criticidade nacional, porque a energia gerada entra no Sistema Interligado Nacional e responde a despacho do ONS. Comprometer esse ambiente não exige roubar dados; basta induzir indisponibilidade ou comportamento errático para gerar impacto físico, financeiro e até sistêmico.

A superfície real de um parque offshore

  • SCADA remoto controlando pitch, yaw, frenagem e desconexão de cada turbina
  • Enlace de comunicação satélite/micro-ondas/fibra submarina como único caminho de controle
  • Acesso de manutenção remota dos OEMs (fabricantes de turbina) estrangeiros
  • Subestação offshore com IEDs e proteção sobre IEC 61850
  • Centro de O&M onshore que concentra visibilidade de todo o complexo
  • Integração com mercado de energia, ONS e medição comercial

A premissa de segurança aqui é incômoda: você não consegue tocar fisicamente na maior parte dos seus ativos. Se um adversário se posicionar entre o operador e a turbina, a resposta não pode depender de alguém ir até o equipamento. Isso muda completamente a forma como contenção, erradicação e recuperação precisam ser desenhadas — e é por isso que a arquitetura precisa estar certa antes do incidente, não depois.

As quatro ameaças que definem o risco do setor

1. Sabotagem do SCADA remoto offshore

O SCADA é o sistema nervoso do parque. Um atacante que alcança o nível de supervisão e controle pode enviar comandos legítimos do ponto de vista do protocolo, mas ilegítimos do ponto de vista operacional: desligar turbinas em cascata, forçar manobras de yaw que aumentam carga estrutural, desabilitar proteções ou manipular setpoints. Como os protocolos industriais clássicos (Modbus, DNP3, IEC 60870-5-104) nasceram sem autenticação nativa, quem chega ao barramento de controle frequentemente já tem o suficiente para agir. A defesa não é só impedir o acesso — é detectar o comando anômalo no instante em que ele aparece no fio.

2. Comprometimento do enlace de comunicação remota

O enlace que cruza o mar é o cordão umbilical do parque. Satélite, micro-ondas e fibra submarina têm modelos de ameaça distintos, mas compartilham um problema: muitas vezes são tratados como infraestrutura confiável por padrão. Um enlace sem cifragem ponta a ponta, sem autenticação mútua dos endpoints e sem monitoramento de integridade permite interceptação, injeção e man-in-the-middle. Pior: a degradação proposital do enlace já é, por si só, um ataque de indisponibilidade, porque corta a visibilidade do operador sobre ativos que ele não pode alcançar de outra forma.

O enlace confiável por padrão é a falha silenciosa

Em muitos projetos offshore, o enlace de comunicação é homologado pelo fornecedor de telecom e nunca passa por uma auditoria de segurança independente. Resultado: cifragem fraca ou ausente, endpoints sem autenticação mútua, e nenhum baseline de tráfego que permita distinguir uma falha de enlace de um ataque ao enlace. Quando a comunicação cai, ninguém sabe dizer se foi clima, equipamento ou adversário — e essa incerteza é exatamente o que um atacante explora.

3. Acesso inseguro de fornecedores (supply chain)

Os OEMs de turbina e os integradores de SCADA precisam de acesso remoto para manutenção, atualização de firmware e diagnóstico. Esse acesso, quando mal desenhado, vira a autoestrada do atacante: VPNs permanentes que ninguém revoga, contas de serviço com privilégio amplo, credenciais compartilhadas entre técnicos de outro país, jump hosts sem gravação de sessão. O comprometimento de um único fornecedor — por phishing, vazamento de credencial ou implante na cadeia de software — transfere diretamente para dentro da sua rede OT. É o vetor com maior assimetria: o atacante investe na ponta mais fraca e colhe acesso à mais crítica. O quarto vetor crítico — ransomware no centro de operação — explora o ponto mais 'TI' do complexo: e-mail, navegação, estações de engenharia e historians no centro de O&M onshore. Um ransomware que cifra esse centro não precisa tocar nas turbinas para causar dano: ao cegar o operador, força operação degradada ou parada por segurança de dezenas de ativos no mar.

Perguntas que separam quem está preparado de quem não está

  • Você consegue listar agora todos os acessos remotos ativos de fornecedores ao seu OT?
  • Toda sessão de manutenção remota é gravada e revisável?
  • O enlace de comunicação offshore é cifrado e autenticado ponta a ponta?
  • Existe segmentação real entre o centro de O&M e o barramento de controle das turbinas?
  • Você detectaria um comando Modbus/DNP3 anômalo em tempo hábil?
  • O historian e os servidores de SCADA têm backup imutável e restauração testada?
Gestão de Ameaças · Grátis

Os dados de energia eólica offshore já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Segmentação OT/ICS: o modelo Purdue aplicado ao mar

A primeira linha de defesa de qualquer ambiente industrial é a arquitetura de rede. No offshore, isso significa aplicar o modelo de zonas e conduítes — formalizado pela série IEC 62443 e ancorado no modelo de referência Purdue — a uma topologia que se estende fisicamente pelo oceano. Não basta um firewall entre TI e OT; é preciso decompor o ambiente em zonas com confiança bem definida e controlar rigorosamente cada conduíte entre elas.

Na prática, separamos: o nível corporativo e o centro de O&M (TI/IT), a zona de supervisão SCADA (nível 2/3 do Purdue), a zona de controle das aerogeradoras e da subestação offshore (níveis 0/1, com PLCs, IEDs e proteção IEC 61850), e a zona de comunicação que atravessa o enlace marítimo. Entre cada uma, conduítes explícitos: o que pode falar com o quê, em qual protocolo, em qual direção. Acesso de fornecedor jamais cai direto na zona de controle — passa por uma DMZ industrial intermediada, com inspeção e gravação.

Por que a DMZ industrial é inegociável no offshore

A DMZ OT é a zona-tampão onde o tráfego de fornecedores, historians replicados e estações de engenharia remotas vivem, sem contato direto com o barramento de controle. No offshore ela ganha um papel extra: é o ponto onde o enlace de comunicação termina e onde se aplica a inspeção de protocolo antes que qualquer comando alcance uma turbina. Quem dimensiona bem essa zona transforma um comprometimento de borda em um incidente contido, não em um comando enviado a um ativo no meio do mar.

A segmentação correta tem um efeito que vai além de bloquear movimento lateral: ela torna a detecção possível. Quando cada conduíte tem um conjunto restrito e conhecido de fluxos legítimos, qualquer desvio — um host novo conversando Modbus, um comando vindo de uma origem inesperada, um pico de tráfego no enlace fora da janela de manutenção — se torna um sinal claro, não ruído. Sem segmentação, o monitoramento afoga em falsos positivos; com ela, cada anomalia conta uma história.

Auditando o enlace de comunicação remota

O enlace é o ativo que mais frequentemente escapa da auditoria de segurança, justamente por ser entregue 'pronto' pelo fornecedor de telecomunicações. A Decripte trata o enlace como um sistema a ser testado, não como uma caixa-preta confiável. Isso significa verificar a cifragem real em trânsito (não a prometida na proposta comercial), a autenticação mútua dos endpoints, a resiliência a degradação proposital e a existência de um baseline de tráfego que permita distinguir falha de ataque.

O que auditamos no enlace offshore

  • Cifragem ponta a ponta e robustez dos algoritmos efetivamente em uso
  • Autenticação mútua dos endpoints (terra e plataforma offshore)
  • Exposição de interfaces de gerência do equipamento de enlace
  • Caminhos de fallback e o que acontece com a segurança quando o enlace degrada
  • Baseline de tráfego e capacidade de distinguir clima/falha de ataque
  • Segregação do tráfego de controle em relação a tráfego administrativo e de vídeo

Um ponto técnico frequentemente negligenciado: o comportamento de segurança durante a degradação. Muitos sistemas, ao perder o enlace primário, fazem failover para um canal secundário com postura de segurança mais fraca, ou colocam o controle em modo permissivo para 'não perder a operação'. Um adversário que entende isso pode forçar a degradação justamente para empurrar o sistema ao seu modo mais vulnerável. Por isso testamos não só o enlace funcionando, mas o que ele faz quando atacado.

Controle de acesso de fornecedores: o perímetro real

Se há um único conceito que define a segurança da eólica offshore, é este: o acesso remoto de fornecedores é o seu perímetro. E a maioria dos incidentes graves de OT no mundo começou exatamente aí. A Decripte reconstrói esse acesso sobre três princípios: intermediação obrigatória, privilégio mínimo just-in-time e auditabilidade total.

Intermediação obrigatória

Nenhum fornecedor recebe rota direta para a rede OT. Todo acesso passa por um broker de acesso privilegiado (PAM) que termina a sessão, aplica autenticação multifator forte, e só então estabelece a conexão de saída até o ativo permitido. O técnico do OEM nunca 'está na sua rede'; ele opera dentro de uma sessão controlada que você abre, observa e fecha.

Privilégio mínimo just-in-time

Acesso permanente é acesso esquecido. Substituímos VPNs sempre-ligadas por janelas de acesso solicitadas, aprovadas e temporárias: o fornecedor pede acesso a um ativo específico, por um tempo específico, para uma tarefa específica. Fora dessa janela, não há caminho. Isso reduz drasticamente a superfície e, quando há comprometimento do lado do fornecedor, limita o estrago à janela ativa em vez de dar acesso 24 horas por dia.

O risco assimétrico da cadeia de fornecimento

O atacante não precisa vencer a sua segurança; basta vencer a do seu fornecedor mais fraco — um integrador menor, um técnico com a mesma senha em vários clientes, um portal de suporte com credencial vazada. Como o acesso desse fornecedor desemboca no seu OT, o comprometimento dele vira o seu incidente. Tratar o acesso de terceiros como se fosse acesso interno confiável é a aposta mais perdedora do setor.

Auditabilidade total

Toda sessão de fornecedor é gravada em vídeo de tela e em registro de comandos. Não é vigilância por desconfiança; é a única forma de reconstruir o que aconteceu quando algo dá errado, de provar conformidade e de criar dissuasão real. Quando o técnico do OEM sabe que cada comando enviado a uma turbina fica registrado e atribuído a ele, o comportamento muda — e quando há incidente, você tem a trilha completa.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em energia eólica offshore? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

SOC 24x7 e detecção em ambiente OT

Monitoramento de TI tradicional não enxerga OT. Um SIEM corporativo não entende que um comando IEC 60870-5-104 de desconexão veio de uma origem inesperada, nem que o tráfego no enlace dobrou fora da janela de manutenção. A detecção offshore exige monitoramento passivo de protocolos industriais — sondas que escutam o tráfego OT sem interferir nele — combinado com correlação no centro de O&M e visibilidade sobre os acessos de fornecedores. É isso que o SOC 24x7 da Decripte entrega para esse ambiente.

O que o SOC monitora num parque eólico offshore

  • Comandos anômalos em Modbus, DNP3, IEC 60870-5-104 e IEC 61850
  • Acessos de fornecedores fora de janela ou de origem inesperada
  • Desvios de baseline no enlace de comunicação remota
  • Atividade suspeita no centro de O&M (precursores de ransomware)
  • Alterações de firmware e configuração em IEDs e PLCs
  • Tentativas de movimento lateral entre zonas Purdue

A vantagem do monitoramento contínuo no offshore é temporal. Como você não pode mandar alguém até a turbina, a janela entre detecção e impacto físico é o que separa um susto de um desastre. Um SOC que vê o comando anômalo no instante em que ele cruza a DMZ industrial pode acionar a contenção antes que a manobra se complete. Sem esse monitoramento, o primeiro sinal de ataque costuma ser a turbina já se comportando errado — tarde demais.

Detecção passiva: ver sem interferir

Em OT, a regra de ouro é não introduzir risco operacional em nome da segurança. Por isso a detecção é majoritariamente passiva: sondas escutam um espelho do tráfego e analisam protocolos industriais sem injetar pacotes nem latência. Isso permite monitoramento profundo de um ambiente que não tolera reinicializações, varreduras ativas agressivas ou agentes pesados nos controladores.

Conformidade ANEEL, ONS e o setor elétrico

A geração eólica offshore opera dentro de um arcabouço regulatório que está amadurecendo rápido em cibersegurança. A ANEEL, como reguladora, e o ONS, como operador do sistema, estabelecem requisitos operacionais e de segurança para agentes conectados ao Sistema Interligado Nacional, incluindo os Procedimentos de Rede que tratam de controle, supervisão e troca de informações. A tendência regulatória — alinhada ao que já ocorre em outros países com normas específicas para o setor elétrico — é de exigência crescente de gestão de risco cibernético, monitoramento e resposta a incidentes para infraestrutura crítica de energia.

Além do setorial, aplica-se a Lei Geral de Proteção de Dados (LGPD), fiscalizada pela ANPD, sempre que houver tratamento de dados pessoais — de colaboradores, de fornecedores, de contratos. E, como referência técnica internacional de segurança em automação industrial, a série IEC 62443 fornece o vocabulário e os controles (zonas, conduítes, níveis de maturidade) que a Decripte usa para estruturar o ambiente. Conformidade aqui não é checklist de papel: é a capacidade demonstrável, com trilha de auditoria, de prevenir, detectar e responder.

Pilares de conformidade que estruturamos

  • Mapeamento dos Procedimentos de Rede do ONS aplicáveis à operação
  • Gestão de risco cibernético documentada e revisada (alinhada a ISO 27001)
  • Arquitetura OT segundo zonas e conduítes da IEC 62443
  • Trilha de auditoria de acessos, comandos e alterações de configuração
  • Adequação à LGPD no tratamento de dados de pessoas físicas
  • Plano de resposta a incidentes testado e evidenciado

Um cuidado importante de quem fala com seriedade sobre regulação: o setor evolui e os números de instrumentos mudam. A Decripte trabalha mapeando os requisitos vigentes aplicáveis ao seu caso específico — agente de geração, ponto de conexão, criticidade — em vez de prometer aderência genérica a uma norma. O resultado é um programa que sustenta auditoria real, não uma declaração de conformidade vazia.

Pentest de SCADA e acesso remoto

Auditar documentação não revela o que um adversário consegue de fato. Por isso a Decripte realiza pentest direcionado ao ambiente offshore, com o cuidado metodológico que OT exige: testes conduzidos majoritariamente em ambiente de homologação ou em janelas controladas, com escopo, regras de engajamento e salvaguardas operacionais explícitas, para nunca colocar a operação em risco.

O foco do teste segue o caminho do adversário real: do acesso de fornecedor para dentro. Avaliamos se um técnico de OEM comprometido alcança o barramento de controle, se a DMZ industrial realmente contém, se a segmentação Purdue resiste a movimento lateral, se os endpoints do enlace podem ser falsificados, e se há credenciais padrão ou serviços expostos nos IEDs e PLCs. Onde o protocolo industrial não tem autenticação, demonstramos o impacto de forma controlada para justificar a compensação por segmentação e monitoramento.

Pentest com regras de engajamento de OT

Testar segurança industrial sem derrubar a operação é uma disciplina própria. A Decripte alinha previamente escopo, janelas, ativos fora de limite e procedimentos de abort, prioriza ambientes de teste e laboratório, e usa técnicas passivas e de baixo impacto onde o ativo é sensível. O objetivo é provar o caminho do atacante sem se tornar o incidente — algo que separa um pentest de OT competente de um exercício perigoso.

Comece pelo diagnóstico gratuito

Antes de qualquer projeto, é possível entender o que já está exposto. O plano gratuito de Gestão de Ameaças da Decripte faz um diagnóstico self-service da sua superfície externa — domínios, ativos expostos, credenciais vazadas e sinais de exposição que um adversário também consegue ver. É a forma mais rápida e sem compromisso de medir o ponto de partida da sua operação offshore.

Dois caminhos, ambos self-service

  • Comece grátis agora em decripte.com.br/intelligence-center — diagnóstico de Gestão de Ameaças sem custo e sem formulário
  • Ver planos pagos em /planos — SOC 24x7, Resposta a Incidentes, Pentest, Conformidade e Segurança de Borda quando você quiser avançar

A segurança de um parque eólico offshore não se resolve com um produto; resolve-se com arquitetura certa, monitoramento contínuo e capacidade de resposta. Mas tudo começa enxergando o problema. O diagnóstico gratuito é esse primeiro passo, e ele não custa nada além de alguns minutos.

Exemplo real descaracterizado: acesso de fornecedor comprometido em parque offshore

Exemplo real descaracterizado

Este é um exemplo real descaracterizado, sem identificar o cliente, construído para mostrar a anatomia típica de um incidente no setor e como a Decripte atua. Um parque eólico offshore com dezenas de aerogeradoras é mantido remotamente por um OEM estrangeiro, que possui uma VPN permanente para diagnóstico e atualização de firmware. As credenciais de um técnico do OEM são comprometidas por phishing direcionado. Como a VPN dá rota ampla para a rede OT e não há intermediação por broker, o atacante chega à zona de supervisão do SCADA e começa a reconhecer o ambiente, preparando comandos de desconexão em cascata e mirando o centro de O&M para extorsão.

  1. Detecção

    O SOC 24x7 da Decripte identifica uma sessão de fornecedor iniciada fora da janela de manutenção aprovada, vinda de uma geolocalização e horário incomuns, seguida de varredura de hosts na zona de supervisão SCADA. O monitoramento passivo de protocolo sinaliza enumeração atípica de dispositivos Modbus/IEC 60870-5-104. O alerta é correlacionado e escalado em minutos.

  2. Contenção

    Dentro do SLA de contenção de até 1 hora, a sessão do fornecedor comprometido é encerrada e a credencial revogada. O conduíte entre a DMZ industrial e a zona de controle é fechado para tráfego do OEM, isolando o atacante da capacidade de enviar comandos às turbinas. O centro de O&M é colocado sob monitoramento reforçado para impedir o pivô para ransomware.

  3. Erradicação

    A equipe remove o acesso persistente do atacante, rota as credenciais de serviço do OEM, e elimina os caminhos de VPN permanente que permitiram o ingresso. Verifica-se a integridade de configurações de PLCs e IEDs, e confirma-se que nenhum comando malicioso foi efetivamente executado nas aerogeradoras graças à contenção dentro da DMZ.

  4. Recuperação

    O acesso de fornecedores é restabelecido apenas através do novo broker de acesso privilegiado, com MFA, janelas just-in-time e gravação de sessão. A operação volta ao normal com visibilidade total restaurada no centro de O&M, e os baselines de tráfego do enlace e do SCADA são reafirmados pelo SOC.

  5. Endurecimento

    A Decripte implementa segmentação Purdue reforçada, substitui definitivamente a VPN permanente por acesso intermediado, e estende o monitoramento de protocolo industrial a todos os conduítes críticos. Um pentest de validação confirma que o caminho do fornecedor para o barramento de controle foi efetivamente cortado.

  6. Lições aprendidas

    O incidente expõe a lição central do setor: o acesso de fornecedor era o perímetro real e estava tratado como confiável. Documenta-se a importância da intermediação obrigatória, do privilégio just-in-time e da detecção passiva de OT como tríade de defesa. A trilha de auditoria completa sustenta a comunicação com o regulador e os procedimentos do operador do sistema.

Desfecho com a Decripte

Porque havia detecção contínua e uma DMZ industrial bem dimensionada, o comprometimento de uma credencial de fornecedor terminou como um incidente contido, sem nenhum comando malicioso alcançar as turbinas e sem ransomware no centro de operação. A Decripte conteve dentro do SLA, erradicou o acesso, reconstruiu o modelo de acesso de terceiros e endureceu a arquitetura — transformando o que poderia ter sido indisponibilidade de dezenas de ativos no mar em um exercício de melhoria. O ponto de partida para chegar a essa maturidade é o diagnóstico gratuito em decripte.com.br/intelligence-center.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar energia eólica offshore hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Como a Decripte responde a incidentes na eólica offshore

A resposta a um incidente em ambiente OT offshore segue um método disciplinado, com o agravante de que os ativos não podem ser tocados fisicamente. Por isso a velocidade de detecção e a precisão da contenção lógica são decisivas. Estes são os passos:

  1. Detectar e triar: o SOC 24x7 correlaciona alertas de protocolo industrial, acessos de fornecedores e desvios no enlace, classificando severidade e impacto operacional potencial em minutos.
  2. Conter dentro do SLA de até 1 hora: encerrar sessões suspeitas, revogar credenciais e fechar conduítes entre zonas para isolar o atacante do barramento de controle sem desligar a operação inteira.
  3. Preservar evidências: capturar registros de sessão, tráfego OT e estado de configuração de PLCs e IEDs para investigação e para a trilha de auditoria exigida pelo setor.
  4. Erradicar o acesso: remover persistência, rotacionar credenciais de serviço dos fornecedores e eliminar os caminhos de acesso permanente que permitiram o ingresso.
  5. Validar integridade dos ativos: confirmar que firmware, configurações e setpoints das aerogeradoras e da subestação offshore não foram alterados, restaurando de backup imutável quando necessário.
  6. Recuperar com acesso reconstruído: religar fornecedores apenas via broker intermediado, com MFA e janelas just-in-time, e reafirmar os baselines de tráfego no SOC.
  7. Endurecer a arquitetura: reforçar segmentação Purdue, ampliar o monitoramento de protocolo e fechar as lacunas que o incidente revelou.
  8. Reportar e aprender: produzir o relatório com linha do tempo e lições, sustentar a comunicação com regulador e operador do sistema, e validar as correções com pentest direcionado.

Como a Decripte estrutura a segurança offshore

Responder a incidentes é necessário, mas a meta é que eles não escalem. A Decripte estrutura a segurança do parque eólico offshore sobre pilares que tornam o ambiente defensável por desenho:

Segmentação OT/ICS em zonas e conduítes

Aplicação do modelo Purdue e da série IEC 62443 para isolar aerogeradoras, subestação offshore, supervisão SCADA e centro de O&M, com uma DMZ industrial que intermedia todo acesso ao barramento de controle.

Acesso de fornecedores intermediado

Substituição de VPNs permanentes por um broker de acesso privilegiado com MFA forte, janelas just-in-time e gravação de sessão, tratando o acesso de terceiros como o perímetro real do parque.

Enlace remoto auditado e cifrado

Verificação independente da cifragem, autenticação mútua dos endpoints e comportamento sob degradação do enlace satélite/micro-ondas/fibra, com baseline que distingue falha de ataque.

Monitoramento contínuo de OT (SOC 24x7)

Detecção passiva de Modbus, DNP3, IEC 60870-5-104 e IEC 61850, correlacionada a acessos de fornecedores e ao centro de operação, com o SOC operando ininterruptamente.

Resiliência do centro de O&M

EDR, backup imutável, segregação de estações de engenharia e plano de resposta a ransomware testado, garantindo que a indisponibilidade do centro não cegue a operação sobre os ativos no mar.

Conformidade demonstrável

Programa alinhado a ANEEL, aos Procedimentos de Rede do ONS, à LGPD e a frameworks como ISO 27001 e IEC 62443, com trilha de auditoria que sustenta fiscalização real.

Planos recomendados para Energia Eólica Offshore

Perguntas frequentes

Por que o acesso remoto de fornecedores é o maior risco de um parque eólico offshore?

Porque os fabricantes de turbina e integradores de SCADA precisam de acesso remoto contínuo para manutenção, e esse acesso normalmente desemboca direto na rede OT. Quando é feito por VPN permanente ou credencial compartilhada, o comprometimento de um único fornecedor — muitas vezes a ponta mais fraca da cadeia — transfere acesso à sua infraestrutura mais crítica. Por isso a Decripte intermedia todo acesso de terceiros por um broker com MFA, janelas just-in-time e gravação de sessão.

Como monitorar SCADA de turbinas que estão a dezenas de quilômetros no mar?

Com detecção passiva de protocolo industrial. Sondas escutam um espelho do tráfego OT — Modbus, DNP3, IEC 60870-5-104, IEC 61850 — sem interferir na operação, e o SOC 24x7 correlaciona comandos anômalos, acessos fora de janela e desvios no enlace. Como você não pode ir fisicamente até a turbina, ver o comando malicioso no instante em que ele cruza a DMZ industrial é o que permite conter antes do impacto.

O enlace de comunicação por satélite já não é seguro por padrão?

Não necessariamente. Enlaces entregues por fornecedores de telecom muitas vezes nunca passam por auditoria de segurança independente, e podem ter cifragem fraca, endpoints sem autenticação mútua ou comportamento permissivo durante degradação. A Decripte audita o enlace como um sistema a ser testado: cifragem real em uso, autenticação dos endpoints, e o que acontece com a segurança quando o enlace é atacado ou degradado.

Um ransomware no centro de operação afeta as turbinas?

Mesmo sem tocar diretamente nas turbinas, um ransomware que cifra o centro de O&M cega o operador sobre dezenas de ativos no mar, forçando operação degradada ou parada por segurança. Por isso a Decripte estrutura o centro com EDR, backup imutável, segregação de estações de engenharia e plano de resposta a ransomware testado, e monitora precursores de ataque com o SOC 24x7.

Como fazer pentest de SCADA sem derrubar a operação?

Com regras de engajamento próprias de OT. A Decripte prioriza ambientes de homologação e laboratório, define escopo, janelas e ativos fora de limite, usa técnicas passivas e de baixo impacto onde o ativo é sensível, e mantém procedimentos de abort. O objetivo é provar o caminho do atacante — por exemplo, do acesso de fornecedor até o barramento de controle — sem se tornar o incidente.

Quais exigências regulatórias de cibersegurança se aplicam à eólica offshore no Brasil?

A operação está sujeita à regulação da ANEEL e aos Procedimentos de Rede do ONS para agentes conectados ao Sistema Interligado Nacional, com exigência crescente de gestão de risco e resposta a incidentes para infraestrutura crítica. Aplica-se ainda a LGPD, fiscalizada pela ANPD, quando há tratamento de dados pessoais. Tecnicamente, a Decripte estrutura o ambiente segundo a série IEC 62443 e a ISO 27001, mapeando os requisitos vigentes aplicáveis ao seu caso.

Quanto tempo a Decripte leva para conter um incidente?

O plano de Resposta a Incidentes opera com SLA de contenção de até 1 hora. No offshore, onde os ativos são fisicamente inacessíveis, essa velocidade é decisiva: encerrar sessões suspeitas, revogar credenciais e fechar conduítes entre zonas isola o atacante do barramento de controle antes que uma manobra maliciosa se complete.

Por onde começar se ainda não temos um programa de segurança OT?

Pelo diagnóstico gratuito. O plano gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center faz uma avaliação self-service da sua superfície externa — ativos expostos, credenciais vazadas e sinais de exposição que um adversário também enxerga. É sem custo e sem formulário. Quando quiser avançar para SOC 24x7, Pentest, Resposta a Incidentes ou Conformidade, os planos pagos estão em /planos.

Termos do setor

SCADA
Supervisory Control and Data Acquisition. Conjunto de sistemas que supervisiona e controla remotamente processos industriais — no offshore, recebe telemetria e envia comandos de pitch, yaw, frenagem e desconexão às aerogeradoras.
Modelo Purdue / IEC 62443
Modelo de referência que organiza ambientes industriais em níveis e zonas de confiança, formalizado pela série de normas IEC 62443 com o conceito de zonas e conduítes, base para segmentar a rede OT de forma defensável.
DMZ industrial
Zona-tampão entre a rede corporativa/de fornecedores e o barramento de controle, onde o tráfego é inspecionado e intermediado antes de qualquer comando alcançar um ativo físico como uma turbina.
Acesso just-in-time (JIT)
Modelo em que o acesso a um ativo é concedido sob demanda, por tempo e escopo limitados e mediante aprovação, substituindo VPNs permanentes e reduzindo a janela de exposição a comprometimentos de fornecedores.
IEC 60870-5-104 / DNP3 / Modbus
Protocolos de comunicação industrial usados em sistemas de energia e automação. Por terem nascido sem autenticação nativa, exigem compensação por segmentação e monitoramento passivo de anomalias.
ONS / ANEEL
O ONS (Operador Nacional do Sistema Elétrico) opera o Sistema Interligado Nacional e edita os Procedimentos de Rede; a ANEEL é a agência reguladora do setor elétrico. Ambos impõem requisitos operacionais e de segurança aos agentes de geração.

A Decripte protege e responde a incidentes no setor de energia eólica offshore.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.