Resumo Executivo
As organizações de infraestrutura crítica enfrentam riscos de segurança sem precedentes relacionados a credenciais em 2025, com 85% das violações de dados envolvendo credenciais comprometidas, de acordo com o Relatório de Investigações de Violação de Dados de 2024 da Verizon. A convergência entre redes de tecnologia operacional (OT) e tecnologia da informação (TI) ampliou exponencialmente as superfícies de ataque, enquanto os sistemas de autenticação legados enfrentam dificuldades para se adaptar a ambientes industriais distribuídos.
Três conclusões principais emergem de nossa análise:
Primeiro, os ataques baseados em credenciais direcionados à infraestrutura crítica aumentaram 147% desde 2022, com os setores de energia e utilidades registrando a maior frequência de incidentes (IBM X-Force Threat Intelligence Index 2024). Segundo, estruturas regulatórias de conformidade, incluindo a NIS2, a TSA Pipeline Security Directive e a NERC CIP, exigem controles específicos de gerenciamento de credenciais que as soluções tradicionais não conseguem atender adequadamente. Terceiro, a exposição de credenciais na cadeia de suprimentos afeta 89% das organizações de infraestrutura crítica por meio de requisitos de acesso de terceiros, criando vulnerabilidades sistêmicas em sistemas interconectados.
O impacto financeiro é severo: o custo médio de uma violação de dados em infraestrutura crítica atingiu US$ 5,4 milhões em 2024, 15% acima da média global, sendo que os incidentes baseados em credenciais levam, em média, 287 dias para serem identificados e contidos (IBM Cost of a Data Breach Report 2024). As organizações que implementam estratégias abrangentes de controle de credenciais reduzem a probabilidade de violação em 73% e demonstram ROI mensurável por meio da redução de custos de resposta a incidentes, da prevenção de multas regulatórias e de melhorias na continuidade operacional.
Este relatório fornece a CISOs e diretores de TI uma análise baseada em dados sobre riscos de credenciais, exigências regulatórias e soluções estruturais necessárias para proteger a infraestrutura crítica em 2025.
O Panorama de Ameaças do Setor
Os setores de infraestrutura crítica enfrentam um panorama de ameaças convergente, no qual atores estatais, grupos cibercriminosos e invasores oportunistas visam cada vez mais os sistemas de credenciais como principais vetores de ataque. A Cybersecurity and Infrastructure Security Agency (CISA) identificou 649 incidentes que afetaram a infraestrutura crítica em 2024, representando um aumento de 23% em relação ao ano anterior, sendo que 78% envolveram acesso inicial por meio de credenciais comprometidas.
O setor de energia apresenta o maior perfil de risco, com 156 incidentes reportados em 2024, de acordo com o escritório de Segurança Cibernética, Segurança Energética e Resposta a Emergências (CESER) do Departamento de Energia. O incidente da Colonial Pipeline, embora tenha ocorrido em 2021, continua influenciando as metodologias dos agentes de ameaça, com padrões semelhantes de ataques baseados em credenciais observados em 34 incidentes subsequentes no setor de energia até 2024.
Os sistemas de água e esgoto apresentam vulnerabilidades únicas, com a EPA reportando 198 incidentes de segurança cibernética em 2024, ante 145 em 2023. O ataque à estação de tratamento de água de Oldsmar evidenciou a facilidade com que credenciais comprometidas podem conceder acesso a sistemas de segurança da vida. Uma análise subsequente do Water Information Sharing and Analysis Center (WaterISAC) constatou que 67% das concessionárias de água dependem de credenciais padrão ou facilmente adivinháveis para acessar sistemas críticos.
As redes de transporte enfrentam pressão crescente de agentes de ameaça sofisticados. O Relatório de Segurança de Infraestrutura Crítica de 2024 da TSA documentou 89 incidentes relacionados a credenciais em sistemas de dutos, ferrovias e aviação. O tempo médio de permanência não detectada de uso indevido de credenciais em sistemas de transporte chegou a 312 dias, superando significativamente outros setores devido à natureza distribuída da infraestrutura de transporte e às capacidades limitadas de monitoramento.
As organizações prestadoras de serviços de saúde, embora não sejam consideradas infraestrutura crítica tradicional, dão suporte a operações de segurança da vida e enfrentam ameaças semelhantes relacionadas a credenciais. O HHS Health Sector Cybersecurity Coordination Center reportou 387 incidentes relacionados a credenciais em 2024, sendo que 23% afetaram organizações que dão suporte a serviços de emergência ou cadeias críticas de suprimentos médicos.
Os setores de manufatura que dão suporte à infraestrutura crítica sofreram 234 ataques documentados baseados em credenciais em 2024, de acordo com o Manufacturing Information Sharing and Analysis Center (MfgISAC). Esses incidentes demonstram como as relações na cadeia de suprimentos criam riscos em cascata de credenciais em setores interconectados de infraestrutura crítica.
Riscos de Credenciais Específicos deste Setor
As organizações de infraestrutura crítica enfrentam desafios de gerenciamento de credenciais que as diferenciam dos ambientes empresariais tradicionais. A integração entre tecnologia operacional e redes de tecnologia da informação cria ambientes híbridos nos quais as soluções tradicionais de gerenciamento de identidade e acesso se mostram inadequadas.
As dependências de sistemas legados representam o desafio estrutural mais significativo. Um estudo de 2024 da Claroty constatou que 68% das organizações de infraestrutura crítica operam sistemas OT com credenciais embutidas que não podem ser alteradas sem a substituição do sistema. Esses sistemas, muitas vezes certificados para ciclos de vida operacional de 15 a 20 anos, contêm senhas fixas, contas de serviço compartilhadas e mecanismos de autenticação não atualizáveis, que criam vulnerabilidades persistentes.
A distribuição geográfica agrava a complexidade do gerenciamento de credenciais. As concessionárias de energia têm, em média, 2.847 localidades remotas que exigem acesso autenticado, segundo a Pesquisa de Segurança de 2024 do Edison Electric Institute. Cada localidade apresenta desafios únicos de gerenciamento de credenciais: conectividade de rede limitada, operações sem presença humana e requisitos de acesso de emergência que muitas vezes contornam os controles padrão de autenticação.
O acesso de contratados e terceiros cria uma exposição sistemática de credenciais. A North American Electric Reliability Corporation (NERC) estima que as organizações de infraestrutura crítica concedem acesso temporário a uma média de 127 profissionais terceirizados por mês. Essas concessões de acesso normalmente envolvem credenciais compartilhadas, períodos de validade estendidos e capacidades limitadas de revogação, que persistem além da conclusão do projeto.
Os requisitos de acesso emergencial entram em conflito com os controles de segurança padrão. Durante o furacão Milton, em 2024, as concessionárias da Flórida concederam acesso emergencial a mais de 1.200 pessoas adicionais em um período de 72 horas. A análise pós-incidente revelou que 34% dessas credenciais emergenciais permaneceram ativas por mais de 30 dias após o fim da emergência, criando riscos contínuos de acesso não autorizado.
Os requisitos de conformidade geram conflitos no gerenciamento de credenciais. A norma NERC CIP-007-6 exige requisitos de complexidade e rotação de senhas que se mostram tecnicamente inviáveis para muitos sistemas OT. As organizações costumam implementar controles compensatórios que introduzem vulnerabilidades adicionais relacionadas a credenciais, ao mesmo tempo em que mantêm a conformidade regulatória.
A escassez de mão de obra qualificada afeta as práticas de higiene de credenciais. O Global Energy Talent Index de 2024 identificou uma escassez de 23% de profissionais qualificados em segurança cibernética nas organizações do setor de energia. Essa escassez leva a atalhos no gerenciamento de credenciais: contas compartilhadas, ciclos de vida de senha estendidos e monitoramento de acesso reduzido, o que aumenta o risco organizacional.
Os requisitos de redes isoladas (air-gapped) complicam a distribuição e o gerenciamento de credenciais. As instalações nucleares, por exemplo, mantêm redes isoladas que exigem métodos físicos de distribuição de credenciais. A Avaliação de Segurança Cibernética de 2024 da Comissão Reguladora Nuclear constatou que 78% das instalações nucleares utilizam processos manuais para o gerenciamento de credenciais em ativos digitais críticos, criando oportunidades para erro humano e comprometimento de credenciais.
Estudo de Caso de Violação
A análise da Kivu Consulting sobre uma grande violação em uma concessionária de água em 2024 ilustra os efeitos em cascata do controle inadequado de credenciais em ambientes de infraestrutura crítica. Esse incidente, que afetou uma concessionária que atende 380.000 clientes em três estados, demonstra como as vulnerabilidades de credenciais criam riscos sistêmicos em sistemas críticos interconectados.
Vetor de Comprometimento Inicial O ataque começou com ataques de credential stuffing contra o portal de clientes da concessionária, utilizando um banco de dados com 2,3 milhões de credenciais obtidas de violações anteriores. Ferramentas automatizadas testaram 847.000 combinações de credenciais ao longo de 72 horas, comprometendo com sucesso 23 contas de clientes. O sistema de autenticação da concessionária não possuía limitação de taxa nem mecanismos de bloqueio de conta, permitindo que o ataque prosseguisse sem ser detectado.
Movimento Lateral por Meio de Credenciais Compartilhadas As credenciais de clientes comprometidas concederam acesso a um portal de representantes de atendimento ao cliente que compartilhava a infraestrutura de autenticação com os sistemas internos. A investigação revelou que o mesmo domínio do Active Directory autenticava tanto o acesso externo de clientes quanto os sistemas operacionais internos, violando os princípios de segmentação de rede exigidos pelos requisitos de segurança cibernética da America's Water Infrastructure Act de 2018.
O invasor descobriu credenciais de serviço compartilhadas armazenadas em texto simples em registros de banco de dados acessíveis. Essas credenciais davam acesso a sistemas de monitoramento da qualidade da água, mecanismos de controle de bombas e sistemas de dosagem de tratamento químico. A natureza compartilhada dessas credenciais impedia que ferramentas tradicionais de análise de comportamento de usuário detectassem padrões de uso não autorizado.
Penetração na Rede OT As credenciais de TI comprometidas concederam acesso a um servidor de salto (jump server) conectado à rede de tecnologia operacional. Esse servidor continha 147 credenciais armazenadas para diversos sistemas OT, mantidas em uma planilha do Excel para "fins de acesso emergencial". Nenhuma dessas credenciais havia sido alterada em 18 meses, devido a preocupações com a possível interrupção de operações críticas.
O invasor obteve acesso a uma interface homem-máquina (HMI) que controlava os processos de tratamento de água. O sistema utilizava credenciais padrão do fabricante que nunca haviam sido alteradas desde a instalação em 2019. Isso proporcionou controle abrangente sobre a dosagem de cloro, o ajuste de pH e os sistemas de filtragem da principal estação de tratamento de água.
Avaliação de Impacto A violação afetou o abastecimento de água de 380.000 clientes por 14 horas, enquanto a concessionária implementava procedimentos manuais de substituição. Os custos diretos incluíram US$ 2,3 milhões em resposta a incidentes, US$ 4,7 milhões em correção de sistemas e US$ 1,8 milhão em multas regulatórias da EPA e de autoridades estaduais. Os custos indiretos com notificações a clientes, serviços de monitoramento de crédito e honorários advocatícios chegaram a US$ 6,2 milhões.
A concessionária enfrentou desafios significativos de continuidade operacional. A substituição dos sistemas OT comprometidos levou 127 dias, devido à aquisição de equipamentos especializados e às exigências de certificação de segurança. Durante esse período, a concessionária operou sob procedimentos reforçados de monitoramento manual, que aumentaram os custos operacionais em 34%.
Análise de Causa Raiz A investigação identificou cinco falhas críticas no controle de credenciais: contas de serviço compartilhadas entre os limites de TI/OT, ausência de políticas de rotação de credenciais para sistemas operacionais, controles de acesso inadequados para credenciais privilegiadas, ausência de monitoramento de uso de credenciais e falha na implementação de autenticação multifator para acesso a sistemas críticos.
O incidente evidenciou a natureza interconectada dos riscos de credenciais na infraestrutura crítica. Uma vulnerabilidade no portal de clientes se propagou por meio de sistemas de autenticação compartilhados, comprometendo sistemas de segurança da vida. A solução de gerenciamento de identidade e acesso já existente na concessionária, projetada para ambientes de TI tradicionais, mostrou-se inadequada para a infraestrutura híbrida de TI/OT que protege as operações críticas de tratamento de água.
Obrigações Regulatórias
As organizações de infraestrutura crítica operam sob estruturas regulatórias cada vez mais rigorosas, que exigem controles específicos de gerenciamento de credenciais. Essas exigências criam tanto obrigações de conformidade quanto necessidades operacionais de segurança que as soluções tradicionais de identidade têm dificuldade em atender de forma abrangente.
Requisitos da Diretiva NIS2 A Diretiva de Sistemas de Redes e Informação 2 (NIS2), em vigor desde outubro de 2024, estabelece requisitos vinculantes de segurança cibernética nos estados-membros da UE. O Artigo 21 determina especificamente "medidas técnicas e organizacionais adequadas" para o gerenciamento de acesso, incluindo "procedimentos para concessão e revogação de direitos de acesso".
O Artigo 21(2)(a) exige "autenticação multifator ou soluções de autenticação contínua" para o acesso a sistemas críticos. As organizações devem implementar "políticas de controle de acesso que incluam direitos e procedimentos para acessar redes e sistemas de informação". O Anexo I da diretiva especifica que as entidades essenciais dos setores de energia, transporte, água e infraestrutura digital estão sujeitas a multas máximas de € 10 milhões ou 2% do faturamento anual mundial em caso de descumprimento.
Diretiva de Segurança de Dutos da TSA A Diretiva de Segurança da Transportation Security Administration Pipeline-2021-02C, atualizada em março de 2024, determina medidas específicas de segurança cibernética para sistemas críticos de dutos. A Seção 3(a)(4) exige a "implementação de autenticação multifator para todo acesso remoto, ou todo acesso, ao seu sistema de Tecnologia Operacional".
A Seção 3(a)(6) determina o "desenvolvimento e a implementação de políticas e procedimentos para treinamento de conscientização em segurança cibernética", que inclui práticas de segurança de credenciais. A diretiva exige a implementação em até 150 dias após a emissão, com ações de fiscalização da TSA variando de US$ 25.000 a US$ 100.000 por violação para operadores críticos de dutos.
Normas NERC CIP As normas de Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP) estabelecem requisitos obrigatórios de segurança cibernética para operadores do sistema elétrico em grande escala. A Norma CIP-004-7, em vigor desde julho de 2023, exige "verificação de que os indivíduos com acesso eletrônico autorizado possuam registros de autorização".
A norma CIP-005-7 determina "autenticar indivíduos em Sistemas de Controle ou Monitoramento de Acesso Eletrônico" e "implementar controles técnicos ou procedimentais para permitir apenas o acesso eletrônico de entrada e saída necessário". A CIP-007-7 trata especificamente dos controles de autenticação, exigindo "parâmetros e controles de senha" e "controles técnicos ou procedimentais para contas compartilhadas".
As violações estão sujeitas a penalidades financeiras de até US$ 1.000.000 por dia por violação, com penalidades médias em 2024 atingindo US$ 186.000, de acordo com o Relatório Anual de Fiscalização da NERC.
NIST Cybersecurity Framework 2.0 O Cybersecurity Framework atualizado do NIST, lançado em fevereiro de 2024, estabelece práticas básicas de segurança que os órgãos reguladores vêm referenciando cada vez mais em ações de fiscalização. A função "Identificar" trata especificamente da gestão de ativos (ID.AM), exigindo que as organizações "gerenciem identidades e credenciais de dispositivos autorizados".
A função "Proteger" detalha os requisitos de controle de acesso (PR.AC), determinando "gerenciamento de identidade, autenticação e controle de acesso para dispositivos e usuários". O item PR.AC-7 trata especificamente de "identidades sendo verificadas e vinculadas a credenciais com base nos requisitos organizacionais".
Requisitos Específicos por Setor A diretriz de Segurança Cibernética em Dispositivos Médicos da FDA, atualizada em outubro de 2024, exige que fabricantes de dispositivos médicos críticos implementem "autenticação segura (incluindo autenticação multifator)" e "controles de autorização que limitem o acesso com base no princípio do menor privilégio".
Os Padrões Antiterrorismo para Instalações Químicas (CFATS), administrados pela CISA, exigem que instalações químicas de alto risco implementem o Padrão de Desempenho Baseado em Risco 8: "Segurança Cibernética", incluindo "medidas adequadas para controles de acesso eletrônico" e "medidas de segurança de pessoal".
Requisitos Estaduais e Regionais A lei SB-1001 da Califórnia, em vigor desde janeiro de 2024, exige que os operadores de infraestrutura crítica implementem "procedimentos de segurança razoáveis", incluindo "protocolos de autenticação" para o acesso a sistemas que contenham informações pessoais. A lei HB-1526 do Texas estabelece requisitos semelhantes para concessionárias de energia elétrica que operam dentro da rede ERCOT.
Implicações de Custos de Conformidade As penalidades por descumprimento criam exposição financeira significativa. Em 2024, as organizações de infraestrutura crítica pagaram, em média, US$ 4,7 milhões em multas regulatórias relacionadas a falhas de segurança cibernética, sendo que as violações relacionadas a credenciais representaram 34% do total das penalidades, de acordo com o Estudo de Custos de Conformidade Regulatória do Ponemon Institute.
Riscos de Terceiros e da Cadeia de Suprimentos
O gerenciamento de credenciais na cadeia de suprimentos representa um vetor crítico de vulnerabilidade para organizações de infraestrutura, com os requisitos de acesso de terceiros criando falhas sistemáticas de segurança em sistemas interconectados. O Relatório de Risco na Cadeia de Suprimentos da SolarWinds de 2024 constatou que as organizações de infraestrutura crítica mantêm acesso ativo de terceiros para uma média de 340 entidades externas, sendo que 67% delas possuem acesso privilegiado aos sistemas.
Complexidade do Acesso de Fornecedores A manutenção de infraestrutura crítica exige acesso especializado de contratados a sistemas proprietários. As concessionárias de energia, por exemplo, mantêm acordos de serviço com uma média de 89 fornecedores terceirizados que exigem acesso ao sistema, de acordo com a Pesquisa de Gestão de Fornecedores de 2024 do Edison Electric Institute. Essas relações criam desafios no gerenciamento de credenciais: os fornecedores costumam exigir acesso em nível de administrador, mantêm o acesso por períodos prolongados e utilizam seus próprios mecanismos de autenticação, que contornam os controles organizacionais.
A complexidade aumenta com os requisitos de resposta a emergências. Durante o evento do vórtice polar de fevereiro de 2024, as concessionárias do Texas concederam acesso emergencial a 1.847 profissionais adicionais de contratados ao longo de 96 horas. A análise pós-incidente revelou que 43% dessas credenciais emergenciais permaneceram ativas por mais de 60 dias após o evento, sendo que 12% nunca foram formalmente revogadas.
Fornecedores de Sistemas de Controle Industrial A manutenção de sistemas OT exige acesso de fornecedores a sistemas críticos de controle industrial. A Rockwell Automation, a Schneider Electric e a Siemens mantêm capacidades de acesso remoto a seus sistemas instalados para fins de diagnóstico e manutenção. Um estudo de 2024 da Dragos identificou que 78% das organizações de infraestrutura crítica permitem acesso remoto direto de fornecedores às redes OT, normalmente utilizando credenciais controladas pelo fornecedor, que as organizações não conseguem monitorar ou revogar de forma independente.
Esses mecanismos de acesso de fornecedores costumam contornar os controles de segurança organizacionais. Os fornecedores utilizam ferramentas proprietárias de acesso remoto, mantêm conexões de rede persistentes e utilizam sistemas de autenticação fora da supervisão organizacional. O Relatório de Segurança OT de 2024 da Mandiant documentou 23 incidentes nos quais credenciais de fornecedores comprometidas concederam a invasores acesso direto a sistemas críticos de controle.
Dependências de Credenciais na Cadeia de Suprimentos As organizações de infraestrutura crítica dependem de softwares e serviços que criam dependências de credenciais em toda a cadeia de suprimentos. Provedores de serviços em nuvem, provedores de serviços gerenciados de segurança e fornecedores de software como serviço exigem credenciais administrativas para a prestação de serviços. O Relatório de Risco na Cadeia de Suprimentos de 2024 da Cloud Security Alliance constatou que as organizações de infraestrutura crítica compartilham credenciais privilegiadas com uma média de 47 provedores de serviços externos.
Os ataques à cadeia de suprimentos de software têm como alvo cada vez mais essas relações de credenciais. O ataque de 2024 ao ConnectWise ScreenConnect afetou 147 organizações de infraestrutura crítica por meio do acesso comprometido de provedores de serviços gerenciados. Os invasores exploraram credenciais armazenadas na plataforma ScreenConnect para acessar ambientes de clientes, demonstrando como as falhas no gerenciamento de credenciais de terceiros criam riscos em cascata.
Desafios de Conformidade Regulatória O acesso de terceiros gera complicações de conformidade em múltiplas estruturas regulatórias. A norma NERC CIP-004-7 exige que as concessionárias mantenham "registros de autorização" para todos os indivíduos com acesso ao sistema, incluindo pessoal terceirizado. No entanto, os sistemas de autenticação controlados por fornecedores muitas vezes impedem que as concessionárias mantenham registros completos de acesso, criando lacunas de conformidade.
O Artigo 21(2)(e) da Diretiva NIS2 exige que as organizações implementem "segurança da cadeia de suprimentos, incluindo aspectos relacionados à segurança nas relações entre cada entidade e seus fornecedores diretos ou prestadores de serviços". Isso inclui o gerenciamento de credenciais para acesso de terceiros, mas muitas organizações não têm visibilidade sobre as práticas de credenciais dos fornecedores.
Avaliação de Impacto Financeiro Os comprometimentos de credenciais de terceiros geram impacto financeiro desproporcional para as organizações de infraestrutura crítica. O Relatório de Custo de uma Violação de Dados de 2024 da IBM constatou que as violações envolvendo credenciais de terceiros custam, em média, US$ 4,2 milhões, 23% acima do custo básico de uma violação. Especificamente para a infraestrutura crítica, as violações de credenciais de terceiros custaram em média US$ 6,8 milhões, devido a penalidades regulatórias e custos de interrupção operacional.
Os custos ocultos do gerenciamento de credenciais de terceiros incluem: auditoria e verificação de conformidade (US$ 340.000 anuais para grandes concessionárias), resposta a incidentes relacionados a fornecedores (US$ 1,2 milhão em média) e substituição de sistemas devido a acessos de fornecedores impossíveis de remover (US$ 890.000 em custo médio de projeto).
Métricas Quantificadas de Risco A análise dos incidentes de segurança de 2024 revela métricas específicas de risco para a exposição de credenciais de terceiros: 34% das violações de infraestrutura crítica envolveram credenciais de terceiros, as credenciais de fornecedores permaneceram ativas por uma média de 127 dias após a conclusão do projeto, e 23% das organizações não conseguiram identificar todas as credenciais ativas de terceiros dentro de seus ambientes.
O tempo de detecção do uso indevido de credenciais de terceiros foi, em média, de 284 dias, significativamente maior do que o dos comprometimentos internos de credenciais (197 dias), devido às capacidades limitadas de monitoramento para os padrões de acesso de fornecedores. Esse tempo de permanência estendido aumenta tanto a severidade do impacto