Decripte — Cibersegurança Enterprise
Indústria e Manufatura · Case de Cibersegurança

Segurança cibernética para a indústria química e petroquímica: protegendo ICS/SCADA contra incidentes cyber-físicos

Plantas químicas e petroquímicas operam processos onde um comando malicioso no SCADA pode virar liberação tóxica, explosão ou desastre ambiental. A Decripte estrutura segurança OT/ICS, conduz Red Team industrial e implanta detecção de processo para que o ataque digital nunca alcance o mundo físico.

Resposta direta

Para proteger uma planta química ou petroquímica, comece tratando a rede industrial (ICS/SCADA, PLCs, DCS, SIS) como um domínio crítico separado da TI corporativa: implemente segmentação por níveis do Modelo Purdue com zonas e condutos no espírito da IEC 62443, monitore o tráfego OT de forma passiva (sem injetar pacotes que perturbem o controle de processo), proteja explicitamente o sistema instrumentado de segurança (SIS) com isolamento e detecção dedicada, e mantenha um plano de resposta a incidentes que considere consequências físicas e ambientais — não apenas perda de dados. A Decripte entrega isso com Red Team industrial, threat hunting em OT, SOC 24x7 e SLA de contenção de 1 hora. O primeiro passo é entender sua exposição real: comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.

Comece grátis agora Ver planos pagos

24/7

SOC monitorando OT e TI

≤1h

SLA de contenção de incidentes

IEC 62443

Referência de segurança industrial

ISO 27001

Gestão de segurança da informação

Em resumo

  • Plantas químicas convergem TI e OT: um e-mail de phishing na rede corporativa pode escalar até o SCADA que controla reatores, válvulas e fornos, transformando um incidente digital em risco físico e ambiental.
  • A defesa central é a segmentação por níveis do Modelo Purdue com zonas e condutos (IEC 62443), isolando o sistema instrumentado de segurança (SIS) e impedindo o movimento lateral entre TI corporativa e o chão de fábrica.
  • Detecção em OT precisa ser passiva: a Decripte usa monitoramento de protocolos industriais (Modbus, DNP3, OPC, PROFINET, EtherNet/IP) sem injetar tráfego que possa perturbar o processo.
  • Ransomware na química raramente precisa cifrar o PLC para parar a planta — basta derrubar a engenharia, os históricos e os HMIs na camada de supervisão para forçar shutdown.
  • A resposta a incidentes cyber-físicos exige decisão conjunta de segurança e operação de processo: às vezes a contenção certa é uma parada segura, não manter a planta rodando.
  • O diagnóstico gratuito em decripte.io/free mapeia a superfície exposta antes de qualquer compromisso; planos pagos em /planos cobrem SOC 24x7, Red Team e resposta a incidentes.
Indústria e Manufatura

Cibersegurança para Química e Petroquímica

Plantas químicas e petroquímicas operam processos onde um comando malicioso no SCADA pode virar liberação tóxica, explosão ou desastre ambiental. A Decripte estrutura segurança OT/ICS, conduz Red Team industrial e implanta detecção de processo para que o ataque digital nunca alcance o mundo físico.

Comece grátis agora Ver planos pagos

Por que a indústria química e petroquímica é um alvo de alto valor

Poucos setores concentram tanto risco em um único comando de controle quanto a química e a petroquímica. Uma refinaria, um cracker de etileno, uma unidade de cloro-soda ou uma planta de fertilizantes operam reações exotérmicas, gases inflamáveis, substâncias tóxicas e pressões elevadas que só permanecem dentro de envelopes seguros porque sistemas de controle industrial (ICS) — DCS, SCADA, PLCs e sistemas instrumentados de segurança (SIS) — mantêm temperatura, pressão, vazão e nível em faixas estreitas, segundo após segundo. Quando esses sistemas são manipulados por um adversário, a consequência não é uma planilha vazada: é a possibilidade de liberação tóxica, incêndio, explosão ou contaminação ambiental.

O que torna o setor especialmente atrativo para ameaças avançadas é a combinação de três fatores. Primeiro, o impacto: sabotar uma planta química pode causar dano físico real, paralisação de cadeias de suprimento inteiras e mortes — um nível de coerção que interessa a atores patrocinados por Estado. Segundo, a propriedade intelectual: receitas de catalisadores, parâmetros de processo, curvas de operação e know-how de engenharia valem fortunas e são alvo de espionagem industrial. Terceiro, a pressão por disponibilidade: parar uma planta petroquímica custa milhões por dia, o que torna a indústria especialmente vulnerável à extorsão por ransomware.

O risco não é só dado — é físico e ambiental

Em ambientes de TI, o pior caso costuma ser vazamento ou indisponibilidade. Em OT química, o pior caso é a manipulação de um setpoint de reator ou a inibição de um intertravamento de segurança. Por isso a defesa de plantas químicas não pode ser uma extensão direta do antivírus corporativo — ela precisa entender o processo físico que está sendo protegido.

Historicamente, esses ambientes eram considerados seguros por isolamento (o famoso air gap). Esse pressuposto ruiu. Manutenção remota de fornecedores, dashboards de produção conectados ao ERP, engenheiros acessando o DCS de notebooks corporativos, pendrives circulando entre estações, e a própria modernização Indústria 4.0 criaram dezenas de pontes entre a rede corporativa e o chão de fábrica. Hoje, na prática, quase nenhuma planta tem um air gap verdadeiro — tem caminhos de acesso que a operação desconhece.

O modelo de ameaças: de phishing corporativo à sabotagem de processo

Entender quem ataca e como ajuda a priorizar a defesa. Na química e na petroquímica, quatro classes de ameaça dominam o modelo de risco, e elas frequentemente se encadeiam: um acesso inicial barato na TI vira um movimento lateral caro e perigoso na OT.

1. Sabotagem de processo via ICS/SCADA

O cenário mais grave. Um adversário que alcança a camada de supervisão e controle pode alterar setpoints, forçar saídas de PLC, manipular HMIs para enganar operadores (mostrando valores normais enquanto o processo deriva) ou tentar inibir intertravamentos. O caso emblemático na literatura de segurança industrial é o malware que tinha como alvo um sistema instrumentado de segurança em uma planta petroquímica — demonstrando que adversários sofisticados miram justamente a última camada de proteção contra acidentes. A defesa exige isolar e monitorar o SIS de forma independente do controle básico de processo (BPCS).

2. Ransomware com parada de planta

O grupo de ransomware raramente precisa tocar o PLC. Basta cifrar servidores de engenharia, históricos de processo (historians), estações de supervisão e o domínio Windows que sustenta a camada 2/3 do Purdue. Sem HMIs e sem históricos confiáveis, a operação é forçada a uma parada segura. Em uma planta de processo contínuo, uma parada não programada não é apenas perda de receita: partidas e paradas são os momentos de maior risco operacional, e cada ciclo desgasta equipamentos e consome margens.

Por que ransomware é tão eficaz contra processo contínuo

  • Plantas de fluxo contínuo não toleram paradas abruptas sem risco de processo
  • HMIs e historians vivem em Windows, alvo natural de ransomware
  • A pressão por retomar produção encurta a janela de decisão e favorece o pagamento
  • Backups de OT muitas vezes não são testados para recuperação real do ambiente de controle

3. Espionagem de propriedade intelectual de processo

Catalisadores proprietários, parâmetros de polimerização, curvas de craqueamento, formulações e otimizações de rendimento são o coração competitivo de uma empresa química. APTs e concorrentes patrocinados buscam exfiltrar esses dados de servidores de engenharia, sistemas PIMS/MES e e-mails de P&D. Diferente da sabotagem, a espionagem é silenciosa e pode durar meses sem deixar sinal óbvio — o que torna o threat hunting proativo essencial.

4. APT patrocinada por Estado em OT

Infraestrutura química e petroquímica é considerada infraestrutura crítica. Atores estatais desenvolvem capacidades específicas contra ICS — frameworks de ataque que entendem protocolos industriais e sabem manipular controladores. Esses adversários são pacientes, vivem da furtividade e pré-posicionam acessos para uso futuro. Contra eles, a detecção comportamental em OT e a caça a anomalias de protocolo industrial são mais relevantes do que assinaturas tradicionais.

O elo TI→OT é o caminho real de ataque

Na grande maioria dos incidentes industriais conhecidos, o adversário não entrou pela OT — entrou pela TI corporativa (phishing, VPN, fornecedor, credencial vazada) e se moveu lateralmente até alcançar a rede de controle. Por isso a segmentação entre TI e OT, e dentro da própria OT, é a defesa de maior retorno.

Gestão de Ameaças · Grátis

Os dados de química e petroquímica já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

A arquitetura de defesa: Modelo Purdue, zonas e condutos

A espinha dorsal da segurança industrial é arquitetural. O Modelo Purdue organiza o ambiente em níveis: do Nível 0 (sensores e atuadores no campo) e Nível 1 (controladores: PLCs, DCS, SIS), passando pelo Nível 2 (supervisão: SCADA, HMIs), Nível 3 (operações de manufatura: MES, historians, engenharia), até a DMZ industrial e os Níveis 4/5 (TI corporativa e empresa). A segurança nasce de controlar rigorosamente o que pode atravessar cada fronteira.

A norma de referência internacional para esse trabalho é a família IEC 62443, que estrutura a segurança em zonas e condutos: você agrupa ativos com requisitos de segurança semelhantes em zonas e define explicitamente os condutos (caminhos de comunicação permitidos) entre elas, cada um com controles e monitoramento próprios. A IEC 62443 também define níveis de segurança (SL) que permitem dimensionar a proteção ao risco de cada zona — o SIS e o controle de reator exigem o nível mais alto.

Pilares da arquitetura segura em planta química

  • DMZ industrial obrigatória entre TI e OT, sem rotas diretas TI→controle
  • Segmentação por níveis Purdue, com firewalls industriais nos condutos
  • SIS isolado do BPCS, com detecção dedicada e mudanças sob controle estrito
  • Acesso remoto de fornecedor via jump host monitorado, MFA e janelas controladas
  • Inventário vivo de ativos OT (PLCs, firmware, protocolos) como base de tudo
  • Monitoramento passivo de protocolos industriais sem injeção de tráfego

Um princípio não negociável em OT: o monitoramento deve ser passivo. Em TI, ferramentas varrem ativamente a rede; em OT, um scan agressivo pode travar um PLC antigo e parar a planta. A Decripte trabalha com captura passiva (TAP/SPAN), análise de tráfego industrial e baselining de comunicação — aprendendo o que é normal entre cada controlador e supervisório — para detectar desvios sem nunca perturbar o processo.

Inventário primeiro, sempre

Não se protege o que não se conhece. A maioria das plantas não tem um inventário confiável de seus ativos OT: quantos PLCs, qual firmware, quais protocolos, quais caminhos de comunicação reais existem. O primeiro entregável da Decripte em OT costuma ser um inventário passivo completo e um mapa de fluxos — que quase sempre revela conexões TI↔OT que ninguém sabia que existiam.

Red Team industrial: encontrar o caminho antes do adversário

Um teste de invasão de TI tradicional para numa planta química. Ele encontra a falha na borda corporativa, mas não entende o que está em jogo do outro lado do firewall industrial nem como um atacante real escalaria com segurança até o controle de processo. O Red Team industrial da Decripte é desenhado para esse contexto: simula a cadeia completa de um adversário sofisticado — do acesso inicial na TI ao alcance teórico da OT — com regras de engajamento que protegem a operação.

Como conduzimos sem colocar a planta em risco

A premissa é simples: jamais sacrificamos a segurança de processo para provar um ponto. O Red Team industrial opera com escopo acordado, janelas definidas, e uma linha vermelha clara — não emitimos comandos que alterem o estado físico do processo em ambiente produtivo. Validamos o alcance até a fronteira da OT, testamos a segmentação, demonstramos o movimento lateral possível, e — quando o cliente possui ambiente de testes, réplica de bancada ou janela de parada — exercitamos cenários de manipulação de controlador em condições seguras e controladas.

O que um Red Team industrial costuma revelar

  • Rotas diretas TI→OT que contornam a DMZ industrial (acesso de fornecedor, dashboards, manutenção remota)
  • Credenciais de engenharia reutilizadas entre o domínio corporativo e a rede de controle
  • PLCs e HMIs com firmware desatualizado e protocolos sem autenticação
  • Estações de engenharia com acesso à internet e a pendrives
  • Falta de detecção: o tráfego anômalo até o SCADA passaria despercebido

O valor do exercício não é a lista de falhas — é a narrativa de ataque encadeada que mostra à diretoria, em linguagem de risco de negócio e risco de processo, exatamente como um incidente físico poderia acontecer e onde investir para quebrar essa cadeia. Cada achado vira uma recomendação priorizada por impacto cyber-físico, não por CVSS isolado.

Detecção e SOC 24x7 para ambientes OT

Segmentar reduz o risco, mas não elimina a necessidade de enxergar o que acontece. A detecção em OT é diferente da TI: o tráfego é mais previsível (a comunicação entre um PLC e seu supervisório é repetitiva e determinística), o que é uma vantagem — desvios do baseline saltam aos olhos quando há monitoramento adequado. A Decripte implanta sensores passivos que entendem protocolos industriais (Modbus, DNP3, OPC UA, PROFINET, EtherNet/IP, S7) e correlacionam eventos de OT e TI num SOC unificado, operando 24 horas por dia, 7 dias por semana.

O que o SOC observa em uma planta química

  • Novos fluxos de comunicação até PLCs ou ao SIS que não existiam no baseline
  • Comandos de escrita (write) em controladores fora de janelas de manutenção
  • Tentativas de download de lógica/firmware para um controlador
  • Acesso remoto de fornecedor fora de janela ou sem MFA
  • Movimento lateral na camada de engenharia/historian (precursor de ransomware)
  • Exfiltração de dados de processo e propriedade intelectual

Threat hunting proativo complementa o monitoramento. Em vez de esperar o alarme, analistas caçam ativamente sinais de pré-posicionamento — o tipo de presença furtiva que APTs deixam ao se preparar. Em química, isso significa procurar por reconhecimento silencioso da rede OT, contas de serviço usadas de forma anômala e persistência em servidores de engenharia. Encontrar o adversário na fase de preparação é a diferença entre um relatório de incidente evitado e uma notificação de desastre.

Convergência TI/OT no mesmo painel

Como o ataque atravessa a fronteira TI→OT, a detecção também precisa atravessá-la. O SOC da Decripte correlaciona o phishing na TI, o movimento lateral, o salto pela DMZ industrial e o comando anômalo na OT como uma única narrativa de ataque — em vez de quatro alertas desconexos em quatro ferramentas que ninguém junta a tempo.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em química e petroquímica? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Conformidade e gestão de risco cyber-físico

A segurança de uma planta química também é uma exigência de conformidade e de governança de risco. No Brasil, a LGPD se aplica aos dados pessoais que a empresa trata (colaboradores, terceiros, clientes corporativos), com a ANPD como autoridade fiscalizadora e o dever de comunicar incidentes que possam gerar risco ou dano relevante aos titulares. No mundo industrial, a referência técnica de segurança de automação é a família IEC 62443, e a gestão de segurança da informação se estrutura sob a ISO 27001. Empresas que processam dados de cartão em algum fluxo (e-commerce de produtos, por exemplo) também precisam observar o PCI-DSS.

O ponto central na química, porém, é integrar segurança cibernética com segurança de processo (process safety). Análises de risco como HAZOP e LOPA tradicionalmente assumiam falhas aleatórias de equipamento; hoje precisam considerar o cenário de causa cibernética — um intertravamento que não falha por acaso, mas porque foi inibido por um adversário. A Decripte estrutura a gestão de risco unindo as duas disciplinas, para que a análise de segurança de processo reconheça a ameaça digital como um vetor legítimo de iniciação de cenário.

Frente de conformidade e governança

  • Mapeamento de tratamento de dados pessoais e prontidão para notificação à ANPD (LGPD)
  • Programa de segurança industrial referenciado na IEC 62443 (zonas, condutos, níveis de segurança)
  • Sistema de gestão de segurança da informação alinhado à ISO 27001
  • Integração de cyber risk às análises de process safety (HAZOP/LOPA)
  • Plano de resposta a incidentes com consequência física e ambiental considerada
  • Gestão de risco de terceiros e fornecedores de automação

Notificação não é só multa

Sob a LGPD, incidentes com risco relevante a titulares exigem comunicação à ANPD e aos afetados em prazo razoável. Em um incidente OT que também atinge dados, a empresa precisa decidir rapidamente sobre notificação enquanto ainda combate o ataque na planta. Ter o plano e o jurídico-cyber prontos antes evita decisões ruins sob pressão.

Resposta a incidentes quando o digital encontra o físico

Responder a um incidente em planta química é uma decisão de engenharia tanto quanto de segurança. Em TI, isolar uma máquina infectada é quase sempre seguro. Em OT, desconectar abruptamente um controlador pode ser pior que o ataque — pode tirar visibilidade do operador ou interromper uma malha de controle no momento errado. Por isso a resposta a incidentes da Decripte em ambientes industriais é conduzida em conjunto com a operação de processo, com a premissa de que a parada segura, e não a continuidade a qualquer custo, é frequentemente a contenção correta.

A Decripte mantém SLA de contenção de até 1 hora e uma equipe de resposta que entende protocolos industriais e o impacto físico das ações de contenção. O objetivo é triplo: estancar o adversário, preservar a segurança das pessoas e do meio ambiente, e manter ou restaurar a observabilidade do processo para que decisões de operação sejam tomadas com dados confiáveis.

≤1h de SLA de contenção, com operação na sala

A contenção em OT não é executada pela segurança sozinha. Cada ação — isolar um segmento, derrubar um acesso de fornecedor, segregar a TI da OT — é decidida com a engenharia de processo na mesa, para que a defesa cibernética nunca crie um risco de segurança física maior do que o que está combatendo.

Comece pelo diagnóstico e evolua para proteção contínua

A jornada de segurança de uma planta química não começa com um contrato grande — começa com clareza sobre a exposição real. A Decripte adota um modelo 100% self-service: você inicia gratuitamente, entende seu risco e evolui para proteção contínua no seu ritmo.

Como começar agora

  • Comece grátis: ative o plano gratuito de Gestão de Ameaças em decripte.io/free para mapear sua superfície exposta
  • Veja os planos pagos em /planos quando quiser SOC 24x7, Red Team industrial e resposta a incidentes
  • Tudo self-service, sem formulário e sem espera: você contrata e ativa dentro da plataforma

Para um setor onde o pior caso é um incidente físico e ambiental, o custo de não enxergar a própria exposição é alto demais. O diagnóstico gratuito em decripte.io/free é o primeiro passo, sem compromisso, para transformar incerteza em um plano de ação priorizado por risco cyber-físico.

Cenário ilustrativo: acesso anômalo ao SCADA em uma petroquímica

Cenário ilustrativo

Este é um cenário ILUSTRATIVO, não um cliente real, construído para mostrar como a Decripte atua. Uma planta petroquímica de processo contínuo opera um DCS para o controle básico e um SIS independente para os intertravamentos críticos de segurança. A equipe de segurança identifica, por meio do SOC, um padrão de acesso anômalo em direção à camada de supervisão (SCADA): uma estação na rede corporativa estabeleceu comunicação, fora de qualquer janela de manutenção, com um servidor que faz ponte para a rede de controle. Nada havia parado ainda — mas o tráfego não correspondia a nenhum baseline conhecido.

  1. Detecção

    O monitoramento passivo de OT do SOC 24x7 dispara um alerta de novo fluxo de comunicação: uma máquina da TI corporativa conversando com o gateway que conecta à camada SCADA, em horário noturno, fora de janela de manutenção. A correlação com a TI revela que essa estação havia recebido um anexo malicioso por phishing dias antes. O hunting confirma reconhecimento silencioso da rede OT a partir dela.

  2. Contenção

    Com a engenharia de processo na sala, a Decripte aciona o SLA de contenção (≤1h): isola o segmento comprometido, derruba a sessão anômala em direção ao SCADA e segrega temporariamente a TI da OT no conduto da DMZ industrial — sem nunca emitir comandos que alterem o estado físico do processo. A operação mantém a planta em condição segura e observável durante toda a ação.

  3. Erradicação

    A equipe identifica o ponto de entrada (a estação de phishing), as credenciais de engenharia reutilizadas que permitiriam o salto para a OT e a persistência deixada pelo adversário no servidor de ponte. Tudo é removido, as credenciais são rotacionadas e o caminho TI→OT que contornava a DMZ é fechado. O SIS é verificado de forma independente para garantir que nenhum intertravamento foi tocado.

  4. Recuperação

    A camada de supervisão e os servidores de engenharia são restaurados a partir de imagens validadas e reconectados de forma controlada. O baseline de comunicação OT é reconstruído e o SOC passa a monitorar especificamente os fluxos que o incidente expôs. A produção é normalizada apenas após a engenharia de processo confirmar a integridade do controle.

  5. Estruturação

    A Decripte conduz um Red Team industrial para validar que a cadeia de ataque foi efetivamente quebrada e revisa a arquitetura: reforça a segmentação por níveis Purdue, formaliza zonas e condutos no espírito da IEC 62443, isola o SIS com detecção dedicada e implanta acesso remoto de fornecedor via jump host com MFA e janelas controladas.

  6. Lições aprendidas

    O incidente é documentado integrando o cyber risk à análise de process safety: o cenário de inibição de intertravamento por causa cibernética passa a ser reconhecido nas revisões HAZOP/LOPA. A diretoria recebe a narrativa de ataque em linguagem de risco de negócio e de processo, com um plano priorizado por impacto cyber-físico.

Desfecho com a Decripte

O acesso anômalo foi contido antes de qualquer manipulação de processo: nenhum incidente físico, nenhuma liberação, nenhum dano ambiental. A planta saiu do episódio com segmentação reforçada, detecção OT permanente sob SOC 24x7 e um SIS isolado e monitorado. O que poderia ter escalado para sabotagem física foi neutralizado na fase de reconhecimento — o resultado de detecção passiva, contenção decidida junto à engenharia e estruturação posterior conduzida pela Decripte.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar química e petroquímica hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a incidentes em plantas químicas e petroquímicas

A resposta a incidentes em OT química equilibra três prioridades simultâneas: segurança das pessoas e do ambiente, contenção do adversário e preservação da observabilidade do processo. Toda ação é decidida junto à engenharia de processo, sob SLA de contenção de até 1 hora.

  1. Detecção e triagem: o SOC 24x7 correlaciona sinais de TI e OT (phishing, movimento lateral, fluxo anômalo até o SCADA, comandos fora de janela) numa única narrativa de ataque, classificando o potencial impacto físico.
  2. Acionamento conjunto: a equipe de resposta entra com a engenharia de processo na sala, definindo se a contenção segura é isolar segmentos, derrubar acessos ou conduzir uma parada segura — nunca criando risco físico maior que o do ataque.
  3. Contenção (≤1h): isolamento de ativos comprometidos, segregação TI↔OT nos condutos da DMZ industrial e bloqueio do movimento lateral, sem emitir comandos que alterem o estado físico do processo em produção.
  4. Erradicação: identificação e remoção do ponto de entrada, das credenciais comprometidas e da persistência; verificação independente do SIS para garantir que nenhum intertravamento de segurança foi manipulado.
  5. Recuperação: restauração de HMIs, historians e estações de engenharia a partir de imagens validadas, reconexão controlada e reconstrução do baseline de comunicação OT antes de normalizar a produção.
  6. Forense e atribuição: análise de causa-raiz, linha do tempo do ataque e indicadores de comprometimento, com avaliação de exfiltração de propriedade intelectual de processo e de dados pessoais.
  7. Conformidade: suporte à decisão de notificação à ANPD e aos titulares quando o incidente envolve dados pessoais com risco relevante, conduzida em paralelo à contenção técnica.
  8. Estruturação pós-incidente: Red Team industrial para validar a quebra da cadeia de ataque, reforço de segmentação Purdue e zonas/condutos IEC 62443, e detecção OT permanente sob SOC 24x7.

Como a Decripte estrutura a segurança da planta

Para a química e a petroquímica, a Decripte estrutura a segurança em pilares que partem do conhecimento do ambiente físico e digital e culminam em detecção e resposta contínuas, sempre respeitando a primazia da segurança de processo.

Visibilidade e inventário de OT

Inventário passivo completo de PLCs, DCS, SIS, HMIs e historians, com mapa de fluxos de comunicação reais — revelando as pontes TI↔OT que a operação desconhece. Sem conhecer o ambiente, nenhum outro controle é confiável.

Segmentação Purdue e zonas/condutos

Arquitetura segmentada por níveis do Modelo Purdue, com DMZ industrial obrigatória e zonas e condutos no espírito da IEC 62443, dimensionando o nível de segurança ao risco de cada zona — o mais alto para SIS e controle de reator.

Isolamento e proteção do SIS

O sistema instrumentado de segurança é tratado como a última linha contra acidentes: isolado do controle básico de processo, com mudanças sob controle estrito e detecção dedicada para qualquer tentativa de alteração ou inibição de intertravamentos.

Detecção passiva e SOC 24x7

Monitoramento passivo de protocolos industriais (Modbus, DNP3, OPC UA, PROFINET, EtherNet/IP) com baselining de comunicação, correlacionado com a TI num SOC unificado 24/7, e threat hunting proativo contra pré-posicionamento de APT.

Validação por Red Team industrial

Exercícios ofensivos que simulam a cadeia completa de um adversário, do acesso inicial na TI ao alcance da OT, com regras de engajamento que jamais sacrificam a segurança de processo, traduzindo achados em recomendações priorizadas por impacto cyber-físico.

Governança e risco cyber-físico

Integração da segurança cibernética à segurança de processo (HAZOP/LOPA reconhecendo causa cibernética), gestão de risco de fornecedores de automação, alinhamento à ISO 27001 e prontidão de conformidade LGPD/ANPD.

Planos recomendados para Química e Petroquímica

SOC 24x7

Monitoramento contínuo e correlacionado de TI e OT, com detecção passiva de protocolos industriais e threat hunting para pegar reconhecimento e movimento lateral em direção ao SCADA antes que vire sabotagem de processo.

Ver plano →

Pentest

Red Team industrial que simula a cadeia de ataque do phishing corporativo ao alcance da OT, validando a segmentação Purdue e o isolamento do SIS sem nunca colocar o processo físico em risco.

Ver plano →

Resposta a Incidentes

Contenção em até 1 hora decidida junto à engenharia de processo, com equipe que entende protocolos industriais e o impacto físico das ações — priorizando a parada segura e a integridade ambiental.

Ver plano →

Conformidade

Estruturação de risco cyber-físico alinhada à IEC 62443 e ISO 27001, integração às análises de process safety e prontidão para notificação à ANPD sob a LGPD em incidentes que envolvam dados pessoais.

Ver plano →

Perguntas frequentes

Air gap não é suficiente para proteger minha planta?

Na prática, quase nenhuma planta tem um air gap verdadeiro. Manutenção remota de fornecedores, dashboards conectados ao ERP, engenheiros acessando o DCS de notebooks corporativos e pendrives circulando criam pontes TI↔OT que a operação muitas vezes desconhece. O primeiro trabalho da Decripte costuma ser justamente um inventário passivo que revela essas conexões ocultas. Comece o mapeamento grátis em decripte.io/free.

A análise de segurança da Decripte pode parar ou perturbar minha planta?

Não. Em OT, todo monitoramento é passivo (TAP/SPAN, sem injeção de tráfego) porque um scan agressivo poderia travar um PLC antigo. No Red Team industrial, jamais emitimos comandos que alterem o estado físico do processo em produção — cenários de manipulação de controlador só ocorrem em bancada, réplica ou janela de parada, sob regras de engajamento acordadas.

Ransomware consegue parar uma planta sem invadir o PLC?

Sim, e é o cenário mais comum. O ransomware não precisa tocar o controlador: basta cifrar servidores de engenharia, historians e HMIs na camada de supervisão para forçar uma parada segura. Em processo contínuo, uma parada não programada é cara e arriscada. Por isso protegemos a camada 2/3 do Purdue e mantemos backups de OT testados para recuperação real.

O que é o SIS e por que ele recebe tratamento especial?

O sistema instrumentado de segurança (SIS) é a camada independente que dispara intertravamentos para evitar acidentes — é a última proteção contra liberação tóxica, incêndio ou explosão. Adversários sofisticados já miraram o SIS de plantas petroquímicas. A Decripte isola o SIS do controle básico de processo, restringe mudanças e implanta detecção dedicada para qualquer tentativa de alteração ou inibição.

Como a IEC 62443 se relaciona com o Modelo Purdue?

O Modelo Purdue organiza o ambiente em níveis (do campo à empresa) e a IEC 62443 é a família de normas que estrutura a segurança em zonas e condutos com níveis de segurança ajustados ao risco. Na prática, a Decripte usa o Purdue como mapa do ambiente e a IEC 62443 como referência para definir e proteger as fronteiras entre as zonas.

Um incidente cibernético na planta pode gerar obrigação de notificar a ANPD?

Pode. Sob a LGPD, incidentes que envolvam dados pessoais com risco relevante aos titulares exigem comunicação à ANPD e aos afetados em prazo razoável. Em um incidente OT que também atinge dados (de colaboradores, terceiros ou clientes), a empresa precisa decidir sobre notificação enquanto ainda combate o ataque. A Decripte apoia essa decisão em paralelo à contenção técnica.

Quanto tempo a Decripte leva para conter um incidente?

Mantemos SLA de contenção de até 1 hora. Em OT química, porém, cada ação de contenção é decidida com a engenharia de processo na sala, porque às vezes a contenção correta é uma parada segura, não manter a planta rodando. O objetivo é estancar o adversário sem criar um risco físico maior do que o que estamos combatendo.

Por onde devo começar se ainda não sei minha exposição?

Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia sua superfície exposta sem compromisso. Quando quiser proteção contínua — SOC 24x7, Red Team industrial e resposta a incidentes — os planos pagos estão disponíveis de forma self-service em /planos, sem formulário e sem espera.

Termos do setor

ICS/SCADA
Sistemas de controle industrial (Industrial Control Systems) e o subconjunto de supervisão e aquisição de dados (SCADA) que monitora e comanda processos físicos como temperatura, pressão e vazão em uma planta química.
Modelo Purdue
Arquitetura de referência que organiza ambientes industriais em níveis hierárquicos — do campo (sensores e atuadores) ao controle, supervisão, operações e TI corporativa — usada para estruturar a segmentação de rede em OT.
IEC 62443
Família de normas internacionais para segurança de sistemas de automação e controle industrial, baseada no conceito de zonas e condutos e em níveis de segurança ajustados ao risco de cada parte do ambiente.
SIS (Sistema Instrumentado de Segurança)
Camada de controle independente cuja função é levar o processo a um estado seguro via intertravamentos, evitando acidentes como liberação tóxica, incêndio ou explosão — alvo crítico em ataques de sabotagem.
OT (Tecnologia Operacional)
Conjunto de hardware e software que monitora e controla processos físicos industriais (PLCs, DCS, SCADA, SIS), em contraste com a TI corporativa que trata de dados e aplicações de negócio.
HAZOP/LOPA
Técnicas de análise de risco de segurança de processo (Hazard and Operability Study e Layer of Protection Analysis) que, na química moderna, passam a considerar também causas cibernéticas para falhas de proteção.

A Decripte protege e responde a incidentes no setor de química e petroquímica.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos