Sistemas legados: como tomar decisões para garantir resiliência em setores críticos

por Eduardo Honorato

Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro da área de cibersegurança, tornando ainda mais evidentes as divergências em relação à realidade da TI tradicional.

Muitos setores, como energia, manufatura, óleo e gás e saneamento, operam com sistemas que foram projetados décadas atrás, em um contexto em que os padrões atuais de cibersegurança não estavam disponíveis ou amplamente adotados. Esses sistemas legados, muitas vezes críticos para operações industriais, foram projetados com foco na confiabilidade e no desempenho, com pouca ou nenhuma consideração para a segurança cibernética. São ativos que sustentam processos essenciais e cuja substituição envolve riscos operacionais, altos custos e, muitas vezes, longos períodos de indisponibilidade.

Ignorar essa realidade e tentar impor uma modernização abrupta é um erro crítico na gestão de cibersegurança em ambientes de tecnologia operacional.

Entender os desafios é o primeiro passo

A integração de normas de cibersegurança em sistemas legados esbarra em limitações técnicas e operacionais que não podem ser ignoradas.

O primeiro desafio é a própria tecnologia. Muitos sistemas ainda operam com plataformas obsoletas ou incompatíveis com padrões atuais. Um exemplo clássico são ambientes industriais que ainda dependem de sistemas como Windows XP, sem suporte e sem atualizações de segurança, mas que não podem ser migrados porque o hardware não suporta versões mais recentes.

Outro ponto crítico está nas limitações de recursos. Controladores industriais, como PLCs, muitas vezes não têm capacidade de processamento suficiente para suportar mecanismos modernos, como criptografia ou sistemas de detecção de intrusão. Isso torna inviável aplicar camadas adicionais de proteção sem comprometer o desempenho.

O impacto operacional também precisa ser considerado. Parar uma linha de produção para atualizar um sistema pode gerar perdas financeiras relevantes, além de riscos à segurança e à qualidade do produto. Em ambientes críticos, downtime não é apenas um inconveniente, mas um risco operacional.

Há ainda o desafio de compatibilidade. Sistemas legados não operam isoladamente.

Atualizar um sistema SCADA para suportar criptografia, por exemplo, pode exigir a atualização de todos os dispositivos de campo conectados, o que aumenta significativamente a complexidade e o custo do projeto.

E, por fim, a questão financeira. A substituição de sistemas legados pode exigir investimentos elevados em hardware, software, reprogramação e treinamento. Em muitos casos, o retorno não é imediato, o que dificulta a tomada de decisão, especialmente em contextos de orçamento restrito.

Leia mais: Com IA nas mãos de atacantes e defensores, vantagem está no tempo de reação, diz Cisco

Segurança precisa acompanhar a realidade operacional

A pergunta que deveria orientar qualquer estratégia não é “como modernizar tudo”, mas sim “qual risco precisa ser mitigado agora”.

Esse ponto muda completamente a forma de atuar.

Uma abordagem eficaz começa pela avaliação de risco, com a identificação de ativos críticos, o entendimento das vulnerabilidades e, principalmente, a avaliação do impacto de uma possível indisponibilidade. Nem todo ativo é uma “joia da coroa”, e tratar todos da mesma forma gera desperdício de recursos e baixa efetividade.

Esse debate ganha ainda mais relevância quando observamos o impacto financeiro dos incidentes. Um levantamento da Dragos e do Marsh McLennan Cyber Risk Intelligence Center mostra que violações em ambientes OT podem gerar até US$ 330 bilhões em perdas anuais, sendo mais da metade vinculada à interrupção de negócios.

A priorização, nesse contexto, deixa de ser apenas uma escolha técnica e passa a ser uma decisão estratégica de proteção da continuidade operacional.

Quando substituir não é viável, é preciso ser pragmático

Em um projeto em uma hidrelétrica, me deparei com um ativo crítico operando em Windows NT Workstation, sem antivírus, sem suporte e sem possibilidade de atualização. A substituição até seria tecnicamente possível, mas o custo do software dedicado ultrapassava milhões de dólares, inviável naquele momento.

Cada falha exigia a reinstalação completa do sistema, gerando cerca de nove horas de inatividade. Considerando que cada hora representava aproximadamente R$ 1 milhão em energia não registrada, o impacto financeiro era direto e significativo.

Sem a possibilidade de substituir o ativo, a estratégia foi estruturar controles compensatórios e um plano robusto de resposta e continuidade.

Foi criada uma máquina paralela pronta para assumir a operação, com testes de compatibilidade já validados. Implementamos rotinas de backup contínuo, procedimentos claros de troca entre sistemas e treinamento intensivo da equipe.

O resultado foi uma redução inicial do tempo de indisponibilidade de nove para duas horas.

Com a maturidade operacional e o treinamento contínuo, esse tempo foi reduzido para cerca de quarenta minutos. Sem substituir o sistema.

Esse tipo de cenário ilustra como, em OT, a solução nem sempre está na tecnologia mais moderna, mas na capacidade de estruturar respostas eficazes com os recursos disponíveis.

Evolução gradual é mais eficaz do que transformação abrupta

Em ambientes industriais, a evolução precisa ser estruturada e progressiva.

O primeiro passo é uma avaliação de riscos consistente, com identificação de ativos, ameaças, vulnerabilidades e impacto. Isso permite definir prioridades reais, baseadas no que pode interromper a operação.

A partir disso, a integração de normas e controles deve seguir uma abordagem gradual.

Começa pelos sistemas mais críticos, com reforço imediato de controles de segurança. Em seguida, avança para a segmentação de redes, isolando ambientes legados de redes corporativas e externas.

Na sequência, evolui para a atualização de dispositivos de campo, sempre que viável, combinada com a implementação de monitoramento contínuo, com ferramentas capazes de detectar comportamentos anômalos e responder rapidamente.

Esse ciclo não se encerra. Ele exige revisão contínua, com ajustes baseados em novas ameaças e mudanças no ambiente.

Quando a atualização direta não é possível, entram os controles compensatórios, como firewalls específicos para protocolos industriais, monitoramento de atividades e até isolamento físico de sistemas críticos.

Em alguns casos, a substituição será inevitável. Mas ela precisa ser planejada, com definição clara de requisitos, escolha de soluções adequadas, testes controlados e preparação da equipe.

E nenhum desses movimentos se sustenta sem treinamento. Operadores e técnicos precisam estar preparados para aplicar as medidas na prática e responder a incidentes com agilidade.

Na prática, esse processo funciona como um ciclo contínuo de evolução. Avalia-se o risco, prioriza-se o que é crítico, implementam-se controles, monitora-se o ambiente, revisa-se a estratégia e capacita-se a equipe. E então o ciclo recomeça.

Resiliência é o objetivo final

A discussão sobre sistemas legados revela um ponto mais amplo.

Cibersegurança em OT não é sobre eliminar completamente o risco, mas sobre garantir que a operação continue funcionando mesmo diante de incidentes. Isso exige decisões pragmáticas, alinhadas à realidade operacional e orientadas por impacto.

Modernizar quando possível faz sentido. Mas, enquanto isso não acontece, proteger o que já existe é uma responsabilidade estratégica. Ignorar o sistema legado não o torna menos vulnerável. Torna apenas a organização menos preparada para lidar com ele.