Segurança para Saneamento e Água: protegendo o SCADA do tratamento ao abastecimento
Saneamento é infraestrutura crítica de saúde pública. A Decripte contém acessos indevidos ao SCADA antes da manipulação de processo, e blinda a operação com segmentação de rede, MFA em acesso OT e monitoramento 24x7.
Resposta direta
Para proteger uma operadora de saneamento, separe o mundo corporativo (TI) do mundo de automação (OT/SCADA) com segmentação de rede e um perímetro definido entre as zonas; exija MFA e acesso remoto controlado (jump host, gravação de sessão, just-in-time) para qualquer conexão à rede de automação; monitore continuamente o tráfego industrial e as ações de operador com um SOC 24x7 capaz de detectar comandos anômalos no SCADA; e tenha um time de Resposta a Incidentes de prontidão para conter um acesso indevido antes que ele vire manipulação de processo químico ou parada de abastecimento. Na prática, é a combinação de Pentest periódico do ambiente OT, Conformidade (LGPD e boas práticas de segurança industrial como IEC 62443), SOC 24x7 e Resposta a Incidentes com SLA de contenção de até 1 hora que mantém a água potável e o abastecimento de pé.
24/7
SOC monitorando OT e SCADA
<=1h
SLA de contenção de incidente
IEC 62443
Referência de segurança industrial
LGPD
Dados de consumidores e operação
Em resumo
- ›O risco real do saneamento não é só vazamento de dados: é a manipulação de processo físico (dosagem química, pressão, bombeamento) que pode comprometer a qualidade da água e o abastecimento de uma cidade inteira.
- ›Acesso remoto inseguro a OT é o vetor mais comum: VPNs com senha única, ferramentas de suporte de fornecedor sempre ligadas e estações de engenharia expostas abrem caminho direto ao SCADA.
- ›Segmentação entre TI e OT, MFA obrigatório no acesso à automação e monitoramento contínuo do tráfego industrial são as três barreiras que mais reduzem o risco.
- ›A janela entre o acesso indevido e a manipulação de processo é curta: detecção e contenção em minutos, não em dias, é o que diferencia um susto de um desastre sanitário.
- ›Ransomware em operadoras paralisa faturamento, telemetria e supervisão ao mesmo tempo, por isso a resiliência operacional (backup, modo manual, planos de contingência) é tão importante quanto a prevenção.
Cibersegurança para Saneamento e Água
Saneamento é infraestrutura crítica de saúde pública. A Decripte contém acessos indevidos ao SCADA antes da manipulação de processo, e blinda a operação com segmentação de rede, MFA em acesso OT e monitoramento 24x7.
Por que saneamento é um alvo de alto valor e baixa tolerância a falha
Saneamento básico é, ao mesmo tempo, um serviço essencial de saúde pública e uma operação industrial complexa. Uma operadora de água e esgoto não administra apenas tubulações: ela opera estações de tratamento (ETA e ETE), elevatórias, reservatórios, redes de distribuição e quilômetros de telemetria que vigiam pressão, vazão, nível de reservatório e parâmetros de qualidade. Todo esse processo físico é comandado por sistemas de automação industrial, genericamente chamados de OT (Operational Technology), com SCADA, CLPs (controladores lógicos programáveis) e IHMs (interfaces homem-máquina) no centro da operação.
O que torna o setor um alvo de alto valor é justamente o impacto: ao contrário de uma empresa puramente digital, em saneamento um comprometimento bem-sucedido não termina em uma tela bloqueada, termina em consequência física. Um atacante que ganhe controle sobre a dosagem de produtos químicos no tratamento, sobre o acionamento de bombas ou sobre as válvulas de distribuição passa a deter um poder desproporcional sobre a qualidade da água e sobre o abastecimento de uma região. Essa é a diferença entre um incidente de TI e um incidente de infraestrutura crítica.
O risco que define o setor
Em saneamento, a pergunta não é apenas 'meus dados podem vazar?', mas 'alguém pode alterar o processo físico de tratamento ou interromper o abastecimento?'. A segurança precisa ser desenhada para evitar consequência física, não só perda de informação.
A baixa tolerância a falha vem da natureza do serviço. Não existe 'modo degradado aceitável' para água potável: ou ela está dentro dos parâmetros sanitários, ou ela representa risco à população. Isso eleva o custo de qualquer interrupção e de qualquer dúvida sobre a integridade do processo. Uma única suspeita fundamentada de que a dosagem foi manipulada pode obrigar a operadora a interromper a distribuição, emitir alertas à população e acionar a vigilância sanitária, com impacto reputacional e regulatório imediato.
A herança técnica que amplia a exposição
Boa parte do parque de automação do saneamento brasileiro foi construído ao longo de décadas, com equipamentos de ciclo de vida longo, protocolos industriais legados (como Modbus e DNP3, que nasceram sem autenticação ou criptografia) e estações de engenharia rodando sistemas operacionais antigos que não podem ser simplesmente atualizados sem risco de parar a operação. Some-se a isso a convergência crescente entre TI e OT — telemetria que sobe para a nuvem, dashboards corporativos que leem dados de processo, fornecedores que acessam remotamente para manutenção — e o resultado é uma superfície de ataque que cresceu mais rápido do que a maturidade de segurança da maioria das operadoras.
As cinco ameaças que mais pesam no saneamento
A Decripte trabalha o setor a partir de um mapa de ameaças concreto, derivado da forma como esses ambientes realmente operam. Não se trata de uma lista genérica de ciberataques, mas dos vetores que, no saneamento, levam de um acesso indevido a uma consequência física ou a uma interrupção de serviço.
Vetores prioritários no saneamento
- ✓Ataques ao SCADA de tratamento de água — comprometimento da supervisão e do comando das estações, permitindo leitura e alteração de set-points de processo.
- ✓Manipulação de processos químicos — alteração da dosagem de coagulantes, cloro, flúor ou correção de pH, com impacto direto na potabilidade.
- ✓Ransomware em operadoras — criptografia de servidores de supervisão, telemetria, faturamento e ERP, paralisando operação e receita simultaneamente.
- ✓Acesso remoto inseguro a OT — VPNs com credencial única, ferramentas de suporte de fornecedor permanentemente conectadas e estações de engenharia acessíveis pela rede corporativa.
- ✓Indisponibilidade de abastecimento — parada de bombeamento, manipulação de válvulas ou perda da supervisão obrigando operação às cegas ou paralisação preventiva.
Por que o acesso remoto é o calcanhar de Aquiles
De todos esses vetores, o acesso remoto inseguro a OT é o que mais aparece como ponto de entrada inicial. Operadoras de saneamento dependem de fornecedores de automação e integradores que precisam acessar o ambiente para configurar CLPs, ajustar telas de SCADA e resolver falhas. Quando esse acesso é feito por uma VPN com senha compartilhada, sem segundo fator, sem registro de sessão e com rota direta para a rede de automação, basta o vazamento de uma única credencial — por phishing, por reuso de senha, por um notebook de fornecedor comprometido — para que um terceiro chegue ao coração do processo.
O perigo invisível das ferramentas 'sempre ligadas'
Soluções de acesso remoto deixadas permanentemente conectadas para 'agilizar o suporte' são uma porta dos fundos contínua. Elas devem ser substituídas por acesso just-in-time, autenticado com MFA, mediado por jump host e com a sessão inteira gravada e auditável.
A boa notícia é que esse mesmo vetor é altamente endereçável. Não é preciso reconstruir o parque de automação para reduzir drasticamente o risco: controlar como, por quem e a partir de onde se acessa o SCADA já elimina a maior parte do caminho que um atacante percorreria.
Os dados de saneamento e água já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Anatomia de um acesso remoto indevido ao SCADA (cenário ilustrativo)
Para tornar o risco tangível, descrevemos a seguir a anatomia típica de um acesso remoto indevido ao SCADA de uma estação de tratamento. Trata-se de um cenário ILUSTRATIVO, construído a partir de padrões reais do setor, e não de um cliente específico. Ele serve para mostrar onde a defesa precisa atuar e em que ordem.
Como o atacante entra
O ponto de partida é quase sempre uma credencial. Um técnico de um fornecedor de automação tem acesso remoto à rede de OT para manutenção. Sua máquina pessoal é comprometida por um malware de roubo de credenciais, ou ele cai em um phishing que captura o usuário e senha da VPN de manutenção. Como essa VPN não exige segundo fator e desemboca diretamente em um segmento que enxerga a estação de engenharia do SCADA, o atacante de posse da credencial já está, em poucos saltos, dentro do ambiente que comanda o tratamento.
O momento decisivo
Existe uma janela entre o atacante obter acesso e ele entender o processo o suficiente para manipulá-lo com segurança para si. Reconhecer o ambiente, mapear set-points, descobrir qual tela controla a dosagem — tudo isso leva tempo. É exatamente nessa janela que o monitoramento e a contenção precisam agir. Contém-se o acesso ANTES da manipulação de processo.
O que estava em jogo
Com presença na estação de engenharia, um atacante mal-intencionado teria, em tese, caminho para alterar os set-points de dosagem química, manipular o comando de bombas e válvulas ou simplesmente derrubar a supervisão, forçando a operação manual às cegas. Qualquer uma dessas ações teria potencial de afetar a qualidade da água ou a continuidade do abastecimento. A diferença entre um susto contido e um incidente sanitário está inteiramente na velocidade e na qualidade da detecção e da resposta.
A tese de defesa da Decripte para esse cenário
Detectar o comportamento anômalo de acesso e de comando enquanto o atacante ainda reconhece o ambiente; isolar imediatamente o segmento e a credencial comprometida; e impedir que qualquer comando de processo manipulado chegue ao campo. Contenção antes da consequência física.
Como a Decripte detecta o que parece normal mas não é
O grande desafio de defender um ambiente OT é que muitas ações maliciosas usam comandos legítimos. Alterar um set-point de dosagem é uma operação normal — o que muda é quem fez, de onde, quando e em que contexto. Por isso o monitoramento de saneamento não pode se limitar a assinaturas de malware: ele precisa entender o comportamento de processo e de acesso.
As camadas de detecção
A Decripte combina visibilidade de rede industrial (inspeção passiva de protocolos como Modbus, DNP3 e OPC para entender comandos e fluxos sem interferir na operação), telemetria de identidade e acesso (quem autenticou, de onde, com qual fator, em qual horário) e correlação com o ambiente de TI (a estação de engenharia que de repente fala com um IP externo, a conta de fornecedor que loga fora da janela de manutenção contratada). O SOC 24x7 cruza esses sinais para distinguir a operação normal de uma ação anômala.
Sinais que disparam investigação no SOC
Acesso de fornecedor fora da janela acordada; autenticação sem MFA onde MFA deveria existir; estação de engenharia iniciando conexões de saída para a internet; comandos de escrita em CLP a partir de uma origem incomum; varredura de rede dentro do segmento de OT; e alteração de set-point de processo sem a ordem de serviço correspondente.
A inspeção passiva é um ponto importante para o setor: em OT, não se pode introduzir latência ou instabilidade na rede que comanda o processo. Por isso a coleta de visibilidade é feita por espelhamento de tráfego e sensores que apenas observam, sem se interpor no caminho dos comandos. Segurança que coloca em risco a disponibilidade do processo não é segurança aceitável em saneamento.
O que o monitoramento contínuo entrega à operadora
- ✓Inventário vivo dos ativos de OT (CLPs, IHMs, estações de engenharia, gateways de telemetria) e suas comunicações esperadas.
- ✓Detecção de comandos e conexões fora do padrão de processo, com contexto suficiente para o operador decidir.
- ✓Trilha de auditoria de quem acessou o SCADA, quando e o que fez — essencial para investigação e para conformidade.
- ✓Alertas priorizados que separam ruído de risco real, evitando fadiga de alarme na equipe de operação.
Contenção antes da manipulação: a Resposta a Incidentes no saneamento
Quando o SOC identifica um acesso indevido em curso, a prioridade número um no saneamento é impedir que ele evolua para manipulação de processo. A Resposta a Incidentes da Decripte opera com SLA de contenção de até 1 hora, mas em ambientes OT a contenção precisa ser cirúrgica: derrubar a coisa errada pode causar exatamente a indisponibilidade que se quer evitar.
Conter sem derrubar a operação
A contenção em saneamento é guiada pelo princípio de preservar a operação segura do processo físico enquanto se corta o acesso do atacante. Isso significa isolar o segmento ou a credencial comprometida, bloquear a rota de acesso remoto usada, e, quando necessário, colocar a estação em um modo de operação manual controlado e seguro — sempre em coordenação com a equipe de operação da planta, que conhece os limites do processo. A decisão de qualquer ação que toque o campo é tomada em conjunto, nunca de forma unilateral pelo time de cibersegurança.
O erro clássico que a Decripte evita
Em um ambiente OT, 'desligar tudo' para conter um ataque pode ser tão perigoso quanto o próprio ataque. A contenção precisa entender o processo: isolar a ameaça sem interromper o tratamento nem o abastecimento, salvo quando a parada controlada for comprovadamente a opção mais segura.
Em paralelo à contenção, o time de IR inicia a coleta de evidências forenses — logs de acesso, sessões remotas, histórico de comandos, imagens das estações comprometidas — para entender o escopo real do incidente, identificar até onde o atacante chegou e garantir que a erradicação seja completa. Em saneamento, essa investigação responde a uma pergunta crítica para a saúde pública: houve ou não alteração de processo? A resposta a essa pergunta orienta tudo o que vem depois, inclusive a comunicação à vigilância sanitária e à população, se for o caso.
Quanto custaria um incidente em saneamento e água? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Blindagem: segmentação, MFA em OT e monitoramento
Conter um incidente é necessário, mas o objetivo de longo prazo é tornar o acesso indevido difícil de acontecer e fácil de detectar. A blindagem que a Decripte estrutura no saneamento se apoia em três frentes que, juntas, atacam o vetor mais comum do setor: o acesso remoto inseguro a OT.
Segmentação entre TI e OT
A primeira barreira é separar o mundo corporativo do mundo de automação. Em vez de uma rede plana onde um notebook comprometido no escritório enxerga o CLP da estação, cria-se uma arquitetura em zonas e condutos, no espírito da norma IEC 62443: a rede de OT fica em zonas isoladas, com um perímetro definido onde todo o tráfego entre TI e OT passa por inspeção e controle. A telemetria sobe para a TI por caminhos controlados e unidirecionais sempre que possível, de modo que dados de processo possam ser lidos sem abrir um caminho de comando de volta para o campo.
O modelo de zonas e condutos (IEC 62443)
Dividir o ambiente em zonas de segurança, definir explicitamente quais comunicações são permitidas entre elas (os condutos) e bloquear todo o resto. Assim, um comprometimento na TI não se propaga automaticamente para a automação, e qualquer tentativa de cruzar a fronteira é visível e controlável.
MFA e acesso remoto controlado em OT
A segunda barreira ataca diretamente o vetor do cenário ilustrativo. Todo acesso à rede de automação — de funcionário ou de fornecedor — passa a exigir autenticação multifator e a ser mediado por um jump host com gravação de sessão. O acesso de fornecedor deixa de ser permanente e passa a ser just-in-time: liberado apenas durante a janela de manutenção contratada, com aprovação, e revogado automaticamente ao fim. Com isso, uma credencial vazada sozinha deixa de ser suficiente para chegar ao SCADA.
Controles de acesso remoto a OT que a Decripte implanta
- ✓MFA obrigatório para qualquer conexão à rede de automação, sem exceção para fornecedores.
- ✓Jump host (bastion) como único ponto de entrada ao ambiente OT, com toda a sessão gravada e auditável.
- ✓Acesso just-in-time e por menor privilégio: o fornecedor só enxerga o que precisa, só quando precisa.
- ✓Eliminação de ferramentas de acesso remoto 'sempre ligadas' e de VPNs com credencial compartilhada.
- ✓Revogação automática e revisão periódica de todos os acessos privilegiados ao SCADA.
Monitoramento contínuo como rede de segurança
A terceira barreira é o SOC 24x7 já descrito, que assume que nenhuma prevenção é perfeita e garante que, se um acesso indevido ainda acontecer, ele seja visto e contido na janela em que o atacante ainda está reconhecendo o ambiente. Segmentação, MFA e monitoramento não são alternativas entre si: são camadas que se reforçam. A segmentação reduz o caminho, o MFA fecha a porta mais comum, e o monitoramento garante a detecção quando algo escapa das duas primeiras.
Validação ofensiva: Pentest do ambiente OT
A única forma de saber se as barreiras realmente funcionam é testá-las como um atacante faria. O Pentest da Decripte para saneamento valida, de forma controlada e segura, se a segmentação entre TI e OT resiste, se o acesso remoto pode ser burlado, se as credenciais de fornecedor estão protegidas e se um movimento lateral a partir da rede corporativa conseguiria alcançar a estação de engenharia do SCADA.
Pentest em OT é diferente de pentest em TI
Testar um ambiente de automação que comanda processo físico exige cuidado redobrado: nada de varreduras agressivas que possam derrubar um CLP. A Decripte usa abordagens seguras para OT — reconhecimento passivo, validação em ambientes de teste ou janelas acordadas e técnicas que não comprometem a disponibilidade do processo.
O resultado do Pentest é um retrato realista do caminho que um atacante percorreria e da eficácia das defesas existentes, traduzido em recomendações priorizadas por risco. Para uma operadora, esse exercício é também um instrumento de governança: demonstra à diretoria, aos órgãos reguladores e às agências de saneamento que a segurança da infraestrutura crítica foi verificada de forma independente, e não apenas presumida.
O que um Pentest OT da Decripte costuma revelar
Rotas de rede que cruzam a fronteira TI-OT sem controle; acessos remotos de fornecedor mais amplos do que o necessário; credenciais reutilizadas entre corporativo e automação; estações de engenharia com software desatualizado e exposto; e ausência de registro de sessão nos acessos privilegiados ao SCADA.
Conformidade, LGPD e resiliência operacional
Saneamento lida com duas dimensões de conformidade ao mesmo tempo. A primeira é a proteção de dados: operadoras tratam dados pessoais de milhões de consumidores (cadastro, consumo, faturamento, cobrança), o que as coloca plenamente sob a Lei Geral de Proteção de Dados (LGPD) e sob a fiscalização da ANPD. Um vazamento desses dados ou um incidente que afete dados pessoais aciona obrigações de comunicação ao titular e à ANPD, além do risco de sanções administrativas.
A segunda dimensão é a segurança da infraestrutura crítica e do processo industrial, onde a referência técnica é a família de normas IEC 62443, voltada à segurança de sistemas de automação e controle industrial. A Decripte estrutura a operadora para evidenciar, com políticas, controles e trilhas de auditoria, que o ambiente de OT é gerido segundo boas práticas reconhecidas — algo cada vez mais cobrado por agências reguladoras de saneamento, por contratos de concessão e por processos de due diligence.
Conformidade que conversa com a operação
A Decripte não trata conformidade como papelada desconectada. As políticas de acesso a OT, a segmentação de rede e o monitoramento que reduzem risco real são os mesmos que sustentam a evidência de LGPD e de IEC 62443. Segurança e conformidade caminham juntas.
Resiliência: sobreviver ao ransomware sem parar a cidade
O ransomware em operadoras merece atenção própria porque ataca a continuidade do serviço de forma transversal: ele pode criptografar servidores de supervisão, telemetria, faturamento e ERP ao mesmo tempo. A resiliência operacional que a Decripte ajuda a construir inclui backups isolados e testados, segregação que impede a propagação do corporativo para a automação, e planos de contingência que permitam à planta operar em modo manual seguro caso a supervisão seja perdida. A pergunta-chave de resiliência no saneamento é simples e dura: se tudo na TI cair agora, a operadora consegue manter a água potável e o abastecimento de pé? A segurança existe para que a resposta seja sim.
Por onde começar: diagnóstico e construção em camadas
A jornada de segurança de uma operadora de saneamento não começa com um grande projeto de uma vez. Começa com visibilidade. A maioria das operadoras subestima quantos caminhos existem hoje entre o mundo corporativo e o SCADA, quantos acessos remotos de fornecedor estão ativos e quais ativos de OT sequer estão inventariados. O primeiro passo é enxergar a realidade.
Comece com um diagnóstico gratuito
A Decripte oferece um plano gratuito de Gestão de Ameaças em decripte.io/free, que dá à operadora uma primeira visão da sua exposição. Para avançar, decripte.io/start estrutura o programa completo, e o /contato conecta sua equipe diretamente a um especialista em segurança de infraestrutura crítica.
A partir do diagnóstico, a construção é em camadas e priorizada por risco: primeiro fecham-se as portas mais óbvias (acesso remoto inseguro, segmentação ausente, MFA faltante), depois instala-se a visibilidade contínua via SOC 24x7, valida-se tudo com Pentest e, em paralelo, organiza-se a conformidade e a resiliência. Cada camada já reduz risco por si só, o que permite à operadora demonstrar progresso desde o início, sem precisar esperar o programa inteiro estar pronto para colher benefício.
Roteiro inicial recomendado para operadoras
- ✓Inventariar ativos de OT e mapear todos os caminhos entre TI e a rede de automação.
- ✓Eliminar acesso remoto inseguro: MFA, jump host, just-in-time e fim das ferramentas sempre ligadas.
- ✓Segmentar a rede em zonas e condutos, isolando o SCADA do ambiente corporativo.
- ✓Ligar o SOC 24x7 para monitoramento contínuo de acesso e de processo.
- ✓Validar com Pentest seguro de OT e organizar a evidência de LGPD e IEC 62443.
- ✓Construir resiliência: backups isolados, modo manual seguro e plano de resposta testado.
Anatomia de um acesso remoto indevido ao SCADA de uma ETA (cenário ilustrativo)
Cenário ilustrativo
Cenário ILUSTRATIVO, não baseado em cliente real. Uma operadora de saneamento de porte médio opera uma estação de tratamento de água (ETA) cujo SCADA controla dosagem de coagulante, cloro e correção de pH, além do bombeamento para os reservatórios. Um fornecedor de automação possui acesso remoto à rede de OT para manutenção, feito por uma VPN com credencial compartilhada e sem segundo fator. A telemetria e a supervisão sobem para um servidor que também é alcançável pela rede corporativa. A Decripte havia iniciado o monitoramento da operadora poucas semanas antes, com sensores passivos na rede industrial e correlação de identidade no SOC 24x7.
Comprometimento inicial
O notebook do técnico do fornecedor é infectado por um malware de roubo de credenciais após um phishing. A credencial da VPN de manutenção, sem MFA, é exfiltrada. De posse dela, um terceiro estabelece uma conexão à rede de OT da operadora a partir de um IP residencial, fora da janela de manutenção contratada e de madrugada.
Detecção (SOC 24x7)
Em minutos, o SOC da Decripte gera um alerta de alta prioridade: um acesso à rede de automação ocorreu sem MFA, fora da janela acordada do fornecedor e a partir de uma geolocalização incomum. Pouco depois, os sensores passivos observam a estação de engenharia do SCADA iniciando varredura interna e consultando telas de processo que ela normalmente não consultaria naquele horário — comportamento de reconhecimento, não de operação.
Contenção (SLA <=1h)
O time de Resposta a Incidentes aciona a contenção em coordenação imediata com a equipe de operação da planta. A credencial comprometida é revogada, a rota da VPN de manutenção é bloqueada e o segmento de OT é isolado do acesso externo. Crucialmente, nenhum comando de processo foi alterado: o acesso é cortado enquanto o atacante ainda estava na fase de reconhecimento, ANTES de qualquer manipulação de dosagem ou bombeamento. A operação da ETA continua normal, sem parada de abastecimento.
Erradicação
A investigação forense reconstrói toda a sessão a partir dos logs e do tráfego capturado, confirmando o escopo: o atacante chegou à estação de engenharia, mas não executou nenhum comando de escrita em CLP nem alterou set-points. O notebook do fornecedor é identificado como origem e tratado, todas as credenciais de acesso remoto da operadora são rotacionadas e a ferramenta de acesso 'sempre ligada' é desativada.
Recuperação
O acesso de fornecedor é reconstruído sobre uma base segura: jump host único, MFA obrigatório, sessões gravadas e liberação just-in-time apenas durante janelas aprovadas. A supervisão e a telemetria são validadas para confirmar integridade. A operadora retoma a rotina sem ter precisado interromper o tratamento ou o abastecimento em nenhum momento.
Blindagem e lições
A Decripte implementa a segmentação em zonas e condutos (IEC 62443) separando TI de OT, mantém o SOC 24x7 monitorando, e agenda um Pentest seguro de OT para validar as novas barreiras. A principal lição registrada: o incidente foi contido não pela sorte, mas pela combinação de detecção comportamental (acesso anômalo + reconhecimento no SCADA) e contenção cirúrgica que cortou o atacante sem derrubar o processo.
Desfecho com a Decripte
Porque a detecção ocorreu na janela em que o atacante ainda reconhecia o ambiente, a Decripte conteve o acesso indevido antes de qualquer manipulação de processo químico ou interrupção de abastecimento. A operadora saiu do incidente com o vetor de entrada eliminado (acesso remoto agora com MFA, jump host e just-in-time), com segmentação real entre TI e OT, com monitoramento contínuo no SOC 24x7 e com evidência documentada para conformidade. O que poderia ter sido um incidente sanitário de repercussão pública tornou-se um susto contido e uma operação substancialmente mais resiliente.
Não espere o incidente acontecer. Comece a blindar saneamento e água hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em uma operadora de saneamento
A Resposta a Incidentes da Decripte no saneamento é desenhada em torno de uma prioridade inegociável: impedir que um acesso indevido vire consequência física antes de qualquer outra coisa. Opera com SLA de contenção de até 1 hora e sempre em coordenação com a equipe de operação da planta.
- Detecção e triagem: o SOC 24x7 identifica o sinal anômalo (acesso sem MFA, fora de janela, comando incomum no SCADA, reconhecimento na rede de OT) e classifica a severidade considerando o risco ao processo físico, não apenas a TI.
- Acionamento e coordenação: o time de IR é mobilizado e se conecta imediatamente à equipe de operação da estação, porque nenhuma ação que toque o processo é tomada unilateralmente pela cibersegurança.
- Contenção cirúrgica: isolar a credencial e o segmento comprometidos, bloquear a rota de acesso remoto usada e, se necessário, levar a planta a um modo manual seguro — sempre preservando a operação segura do tratamento e do abastecimento.
- Preservação de evidências: coletar logs de acesso, sessões remotas, histórico de comandos e imagens das estações, garantindo trilha forense íntegra para responder à pergunta crítica: houve ou não alteração de processo?
- Investigação e escopo: reconstruir o caminho do atacante, confirmar até onde ele chegou e se algum set-point, dosagem ou comando de campo foi tocado, orientando a comunicação à vigilância sanitária se for o caso.
- Erradicação: remover o acesso do atacante de forma definitiva, tratar a origem (ex.: máquina de fornecedor comprometida), rotacionar credenciais e desativar acessos remotos inseguros.
- Recuperação segura: restabelecer acesso remoto sobre base blindada (MFA, jump host, just-in-time, sessões gravadas) e validar a integridade de supervisão, telemetria e processo antes do retorno à rotina.
- Lições e blindagem: consolidar o aprendizado, fechar as lacunas que permitiram o incidente (segmentação, MFA, monitoramento) e agendar validação por Pentest seguro de OT.
Como a Decripte estrutura a segurança de uma operadora de saneamento
A estrutura de segurança que a Decripte constrói no saneamento se apoia em pilares que, juntos, reduzem o caminho do atacante, fecham a porta mais usada, garantem a detecção do que escapa e mantêm a operação resiliente e em conformidade.
Segmentação TI/OT em zonas e condutos
Isolar a rede de automação do ambiente corporativo segundo o modelo IEC 62443, com um perímetro controlado onde só passam as comunicações explicitamente permitidas, de modo que um comprometimento na TI não alcance o SCADA.
Acesso seguro a OT (MFA + just-in-time)
Substituir VPNs com senha compartilhada e ferramentas 'sempre ligadas' por MFA obrigatório, jump host com gravação de sessão e liberação de fornecedor apenas durante janelas aprovadas, com menor privilégio.
Monitoramento contínuo (SOC 24x7)
Visibilidade passiva da rede industrial e correlação de identidade para detectar acesso anômalo e comandos de processo fora do padrão na janela em que o atacante ainda reconhece o ambiente.
Validação ofensiva (Pentest OT)
Testar de forma segura se a segmentação, o acesso remoto e as credenciais resistem a um atacante real, traduzindo o resultado em correções priorizadas por risco e em evidência para governança.
Conformidade e proteção de dados
Sustentar com políticas e trilhas de auditoria as obrigações de LGPD/ANPD sobre dados de consumidores e as boas práticas de IEC 62443 sobre o ambiente industrial, cobradas por reguladores e concessões.
Resiliência operacional
Backups isolados e testados, segregação anti-propagação de ransomware e planos de contingência para operar em modo manual seguro, garantindo que a água potável e o abastecimento continuem mesmo sob ataque.
Planos recomendados para Saneamento e Água
SOC 24x7
Em saneamento, a janela entre o acesso indevido e a manipulação de processo é curta. Só o monitoramento contínuo de OT e SCADA detecta comandos e acessos anômalos a tempo de conter antes da consequência física.
Ver plano →Resposta a Incidentes
Quando o incidente acontece, a contenção precisa ser cirúrgica e em até 1 hora, isolando a ameaça sem interromper o tratamento nem o abastecimento. Resposta especializada em OT evita que conter o ataque cause a própria indisponibilidade.
Ver plano →Pentest
A segmentação TI/OT e o acesso remoto a fornecedores só são confiáveis depois de testados como um atacante faria — com técnicas seguras que não derrubam CLPs nem o processo de uma ETA.
Ver plano →Conformidade
Operadoras respondem à LGPD/ANPD pelos dados de milhões de consumidores e a boas práticas de segurança industrial (IEC 62443) cobradas por reguladores e contratos de concessão. A conformidade organiza a evidência e reduz risco regulatório.
Ver plano →Perguntas frequentes
Qual é o maior risco cibernético para uma operadora de saneamento?
O risco que define o setor é a manipulação de processo físico: alterar a dosagem química do tratamento, comandar bombas e válvulas ou derrubar a supervisão, afetando a qualidade da água ou o abastecimento. Diferente de uma empresa só digital, aqui o incidente termina em consequência física, e o vetor de entrada mais comum é o acesso remoto inseguro à rede de OT.
Como proteger o acesso remoto de fornecedores ao SCADA?
Eliminando VPNs com senha compartilhada e ferramentas de suporte 'sempre ligadas'. No lugar, exige-se MFA obrigatório, um jump host único como porta de entrada com toda a sessão gravada, e liberação just-in-time: o fornecedor só acessa durante a janela de manutenção aprovada, com o mínimo de privilégio, e o acesso é revogado automaticamente ao fim.
O monitoramento de segurança pode atrapalhar a operação da planta?
Não, quando feito corretamente. Em OT a Decripte usa coleta passiva por espelhamento de tráfego e sensores que apenas observam, sem se interpor no caminho dos comandos. Assim há visibilidade e detecção sem introduzir latência ou risco de instabilidade na rede que comanda o processo.
O que é segmentação TI/OT e por que ela importa no saneamento?
É separar a rede corporativa da rede de automação em zonas isoladas, com um perímetro onde só passam comunicações explicitamente permitidas (o modelo de zonas e condutos da IEC 62443). Importa porque, sem ela, um notebook comprometido no escritório pode enxergar e alcançar o CLP da estação. Com ela, um ataque na TI não se propaga para o SCADA.
Operadoras de saneamento precisam se preocupar com a LGPD?
Sim. Operadoras tratam dados pessoais de milhões de consumidores (cadastro, consumo, faturamento), o que as coloca sob a LGPD e a fiscalização da ANPD. Um incidente que afete esses dados aciona obrigações de comunicação ao titular e à ANPD, além de risco de sanções. Por isso segurança e proteção de dados andam juntas no setor.
O que acontece se um ransomware atingir a operadora?
O ransomware pode criptografar supervisão, telemetria, faturamento e ERP ao mesmo tempo, paralisando operação e receita. A defesa combina prevenção, segregação que impede a propagação do corporativo para a automação, backups isolados e testados, e planos de contingência para operar em modo manual seguro, mantendo água potável e abastecimento mesmo durante o incidente.
Como é feito um Pentest sem colocar o processo em risco?
Pentest em OT é diferente de TI. A Decripte usa reconhecimento passivo, validação em ambientes de teste ou em janelas acordadas e técnicas que não derrubam CLPs nem afetam a disponibilidade do processo. O objetivo é descobrir se a segmentação e o acesso remoto resistem a um atacante real, sem nunca arriscar a operação.
Por onde uma operadora deve começar?
Por visibilidade. Comece com o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free para ter uma primeira visão da exposição. Depois, a construção é em camadas e priorizada por risco: fechar acesso remoto inseguro, segmentar TI/OT, ligar o SOC 24x7, validar com Pentest e organizar conformidade. Para estruturar o programa, use decripte.io/start ou fale pelo /contato.
Termos do setor
- SCADA
- Sistema de Supervisão e Aquisição de Dados (Supervisory Control and Data Acquisition). É o conjunto de software e telas que permite operar e monitorar remotamente o processo industrial — em saneamento, a dosagem química, o bombeamento e a distribuição da água.
- OT (Operational Technology)
- Tecnologia operacional: os sistemas que controlam o mundo físico de uma planta industrial (CLPs, IHMs, sensores, atuadores), em contraste com a TI, que cuida de dados e sistemas administrativos. Em saneamento, o OT comanda o tratamento e a distribuição.
- CLP
- Controlador Lógico Programável: o dispositivo que executa a lógica de controle do processo no campo, acionando bombas, válvulas e dosadores conforme os comandos do SCADA. É um dos ativos mais sensíveis a proteger em OT.
- IEC 62443
- Família de normas internacionais de segurança para sistemas de automação e controle industrial. Define conceitos como zonas e condutos e níveis de segurança, servindo de referência para estruturar e evidenciar a proteção de ambientes OT.
- Segmentação (zonas e condutos)
- Prática de dividir a rede em zonas isoladas e permitir entre elas apenas as comunicações explicitamente autorizadas (os condutos). Impede que um comprometimento na rede corporativa alcance automaticamente a rede de automação industrial.
- Acesso just-in-time
- Modelo em que o acesso privilegiado — por exemplo, de um fornecedor à rede de OT — é concedido apenas durante o tempo necessário e mediante aprovação, sendo revogado automaticamente depois, em vez de permanecer sempre ativo.
A Decripte protege e responde a incidentes no setor de saneamento e água.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.