Uma credencial roubada não apenas invade um banco de dados. Na indústria de manufatura, ela interrompe a linha de produção.

A manufatura é o setor mais atacado do mundo pelo quarto ano consecutivo. Todos os grandes incidentes têm origem no mesmo ponto de entrada — uma credencial nas mãos de um usuário que atravessou a fronteira entre TI e TO (Tecnologia Operacional). A MyCena fecha esse ponto de entrada antes que o invasor alcance o chão de fábrica.
0
Receita perdida — a MKS Instruments sofreu um ataque de ransomware em sistemas de produção. O cliente Applied Materials perdeu mais US$ 250 milhões.
0
Setor mais atacado globalmente — pelo quarto ano consecutivo. IBM X-Force 2025. 26% de todos os incidentes críticos documentados em setores essenciais.
0
Danos econômicos no Reino Unido — o ataque cibernético à JLR em 2025 foi declarado o mais prejudicial da história britânica. Cinco semanas de produção interrompida.
0
Preço de uma única credencial de acesso industrial em mercados da dark web. A credencial é o alvo.
O padrão

Três incidentes. Produção interrompida nos três. Mesmo ponto de entrada.

Todo grande ataque ao setor manufatureiro segue a mesma sequência: uma credencial entra na rede de TI, se move lateralmente para OT, e a produção para. O custo não é medido em registros — é medido em dias de produção perdida.

MKS Instruments — Fevereiro de 2023
$200M
Um ransomware criptografou os sistemas de produção do fabricante de equipamentos para semicondutores. Instalações suspensas. Mais de um mês para restaurar todas as operações.
A MKS Instruments — um grande fornecedor da cadeia global de semicondutores — perdeu a capacidade de processar pedidos, enviar produtos ou prestar serviços. O ataque se espalhou imediatamente: a fabricante de chips Applied Materials reportou $250M em perdas adicionais por disrupção na cadeia de fornecimento. A MKS confirmou após o incidente que não havia mantido controles de TI suficientes para impedir ou detectar acesso não autorizado — citando especificamente falhas na autenticação de acesso e na detecção de intrusões. Um ex-funcionário entrou com ação coletiva alegando práticas negligentes de cibersegurança. A Moody’s classificou o incidente como negativo para o crédito.
Ponto de entrada: credenciais de acesso comprometidas, sistemas de produção
Varta & ThyssenKrupp — Fevereiro de 2024
5 instalações
Um ransomware interrompeu simultaneamente as cinco instalações globais de produção de baterias da Varta. A unidade Automotive Body Solutions da ThyssenKrupp foi tirada de operação uma semana depois.
A Varta — um dos maiores fabricantes de baterias da Europa — encerrou toda a produção globalmente como medida de precaução e se desconectou da internet. Os sistemas foram proativamente desligados em todas as cinco instalações. A ThyssenKrupp, gigante alemã de aço e engenharia, sofreu um ataque separado em sua divisão Automotive Body Solutions dias depois, interrompendo a produção. Ambos os incidentes demonstraram que o acesso baseado em credenciais a sistemas de TI pode resultar no desligamento completo de OT, mesmo quando os sistemas OT não são o alvo principal — o desligamento “por precaução” é em si um evento de perda de produção.
Ponto de entrada: acesso por credenciais à rede de TI, cascata OT
Jaguar Land Rover — Setembro de 2025
£1,9B
Cinco semanas de produção interrompida em Solihull, Halewood e Wolverhampton. As vendas por atacado caíram 43% no trimestre seguinte. Declarado o ataque cibernético mais danoso da história britânica.
Os atacantes usaram engenharia social para se passar por funcionários internos e extrair credenciais de colaboradores. Com logins válidos em mãos, eles percorreram os fluxos normais de autenticação até a infraestrutura central antes de implantar o ransomware. A JLR havia investido £800 milhões em um contrato de cibersegurança e suporte de TI com a Tata Consultancy Services. O Comitê de Negócios e Comércio do Reino Unido abriu uma investigação para verificar se a infraestrutura da TCS foi o meio de acesso — foi o terceiro grande ataque afetando clientes da TCS em 2025, após M&S e Co-op. A JLR não tinha seguro cibernético. Cada libra de produção perdida saiu diretamente das contas da empresa. A Moody’s rebaixou a perspectiva da Tata Motors para negativa.
Ponto de entrada: credenciais de funcionários extraídas via engenharia social — fornecedor externo de TI também sob investigação

Em todos os casos, o atacante se autenticou como um usuário legítimo. O sistema de produção viu uma credencial válida. Na JLR, essa credencial foi extraída via engenharia social — um funcionário foi enganado e a entregou. Na MKS, foi a própria camada de credenciais que não possuía controles suficientes. Em ambos os casos, a falha não estava dentro do sistema de produção. Estava na camada de autenticação acima dele — o ponto onde um humano detinha algo que poderia ser tomado.

Panorama de riscos

Seis riscos de credenciais específicos do setor manufatureiro

O setor manufatureiro carrega a lacuna padrão de credenciais empresariais — amplificada por um fator que não existe em nenhum outro lugar com a mesma intensidade: a consequência física direta de uma linha de produção parada.

01 — Custo de produção
Cada hora de inatividade tem um valor
Os custos de inatividade no setor manufatureiro são imediatos e específicos — não são perdas seguráveis em uma planilha, mas horas reais de produção que não podem ser recuperadas. Na MKS Instruments, $200M em receita perdida foi a consequência direta de credenciais de acesso comprometidas nos sistemas de produção.
Um fabricante operando em plena capacidade não tem janela de recuperação para dias de produção perdidos. Horas extras não recuperam uma entrega perdida em uma programação cheia. Uma fábrica de semicondutores que perde um dia de produção perde essa produção permanentemente. O custo de uma violação de credenciais no setor manufatureiro não é o custo da violação — é o custo da linha de produção parada, multiplicado pelo tempo antes da restauração.
02 — Fronteira TI/OT
A credencial que cruza de TI para OT
Três quartos das interrupções por ransomware em manufatura são indiretas — credenciais de TI cruzam a fronteira TI/OT e desencadeiam desligamentos preventivos de OT. A credencial não precisa chegar ao PLC. Ela só precisa alcançar a rede da qual o PLC depende.
O Relatório de Ameaças Waterfall 2024 constatou que 75% das interrupções por ransomware em manufatura foram indiretas — os sistemas OT foram desligados não porque foram atacados diretamente, mas porque a rede de TI da qual dependiam foi comprometida. A segmentação de rede é a resposta padrão, mas a segmentação não governa a credencial que cruza a fronteira no ponto de uso humano. Um técnico com credenciais válidas para sistemas de TI e OT é um ponto de cruzamento independentemente da arquitetura de segmentação.
03 — Cadeia de fornecimento
Credenciais de fornecedores e prestadores de serviços para sistemas de produção
O setor manufatureiro depende de dezenas de fornecedores OEM, prestadores de manutenção e integradores de sistemas que detêm credenciais para sistemas de produção. A violação da MKS se propagou para a Applied Materials. A lacuna de credenciais de um fornecedor resultou em $450M em perdas combinadas entre duas empresas.
Os ataques à cadeia de fornecimento de fabricantes quase dobraram, passando de 154 incidentes em 2024 para 297 em 2025. Todo fornecedor com acesso remoto a um ambiente de produção detém uma credencial que alcança esse ambiente. Quando o fornecedor é comprometido, o chão de fábrica do fabricante é o raio de impacto. A MyCena governa as credenciais de fornecedores pelo lado do fabricante — o fornecedor nunca detém uma credencial que o fabricante não gerou e não pode revogar instantaneamente.

“No setor manufatureiro, uma violação de credenciais não é medida em registros. É medida em dias que a linha ficou parada.”

Onde a MyCena opera

Os pontos de entrada de credenciais em manufatura que a MyCena fecha

A MyCena não substitui as ferramentas de segurança OT — Dragos, Claroty e Nozomi governam a camada de rede OT. A MyCena governa a camada de credenciais acima dela: a camada de acesso remoto, as estações de trabalho de engenharia, as interfaces de ERP e MES, e as conexões de fornecedores que todo grande ataque ao setor manufatureiro usou como ponto de entrada.

Onde o controle de credenciais se aplica em um ambiente manufatureiro
MyCena governa
Acesso remoto de fornecedores e prestadores de serviços
Engenheiros OEM, prestadores de manutenção, integradores de sistemas acessando sistemas de produção
Todo fornecedor e prestador de serviços acessa os sistemas de produção por meio de credenciais geradas e controladas pelo fabricante — o fornecedor nunca as detém. Quando um relacionamento termina ou um incidente é detectado, todo acesso é revogado em segundos em todos os sistemas simultaneamente. A cascata na cadeia de fornecimento da MKS — a credencial de um fornecedor alcançando o ambiente de produção de um cliente — é fechada quando o fabricante possui todas as credenciais que tocam sua rede.
✓ Ponto de entrada de credenciais na cadeia de fornecimento — fechado estruturalmente
MyCena governa
Interfaces de ERP e MES
Autenticação de engenheiros e operadores em SAP, Oracle e sistemas de execução de manufatura
Os sistemas ERP e MES são o principal ponto de entrada para violações na camada de TI em manufatura — o sistema SAP da JLR foi um dos primeiros sistemas comprometidos. A MyCena governa a autenticação nesses sistemas: credenciais geradas centralmente, injetadas de forma invisível, nunca visíveis nas mãos de humanos. Nada para um ataque de engenharia social extrair.
✓ Padrão de ponto de entrada ERP da JLR — fechado estruturalmente
MyCena governa
Estações de trabalho SCADA e HMI
Operadores de chão de fábrica, engenheiros de processo, técnicos de controle de qualidade
Cada operador tem credenciais geradas individualmente. Sem logins compartilhados nas estações de trabalho do chão de fábrica. Cada evento de acesso é atribuído a um indivíduo nomeado, com registro de horário até o segundo. O rastro de auditoria para NIS2 e ISO 27001 é gerado automaticamente como subproduto da operação normal. Quando um operador sai, o acesso é revogado com um único comando.
✓ Credencial compartilhada e risco interno — removidos arquiteturalmente
MyCena governa
Agentes de IA e automação
IA de controle de qualidade, sistemas de manutenção preditiva, agentes de otimização de processos
Os agentes de IA implantados em fluxos de trabalho de manufatura se autenticam pela MyCena juntamente com os operadores humanos. Suas credenciais são geradas centralmente, atribuídas individualmente e instantaneamente revogáveis quando uma implantação muda ou um agente é desativado. À medida que a automação aumenta a proporção de credenciais não humanas em ambientes de produção, a governança de credenciais precisa acompanhar o crescimento.
✓ Governança de agentes de IA — mesma plataforma que os operadores humanos
Fora do escopo
Firmware de PLC & credenciais de dispositivos
Credenciais de dispositivos codificadas, protocolos proprietários de PLC, firmware embarcado
As credenciais codificadas no firmware de PLC e os protocolos legados de dispositivos operam abaixo da camada padrão de autenticação. Estes são governados por plataformas específicas para OT como Dragos, Claroty e Nozomi. A MyCena opera acima dessa camada.
A pilha de manufatura — governança de credenciais por camada
MyCena governa · Nível 5
TI empresarial — ERP, e-mail, SaaS, estações de trabalho corporativas
Governança completa de credenciais para todos os usuários, fornecedores e agentes de IA. Geração central, injeção invisível, revogação instantânea. O comprometimento do ERP SAP da JLR ocorreu nessa camada.
MyCena governa · Nível 4
Fronteira TI/OT — MES, historiadores, servidores de salto, acesso remoto
A camada de convergência entre TI empresarial e sistemas de produção. Pontos de extremidade de VPN para acesso remoto, Sistemas de Execução de Manufatura, historiadores de dados. O ponto de entrada em três quartos das interrupções por ransomware em manufatura.
MyCena governa · Nível 3
Rede de operações — SCADA, estações de trabalho HMI, controle de produção
Autenticação de engenheiros e operadores em interfaces SCADA e estações de trabalho HMI. Atribuição individual, eliminação de credenciais compartilhadas, rastro completo de auditoria. Cada credencial de operador gerada individualmente e revogável instantaneamente.
Escopo de plataforma OT · Nível 2
Rede de controle — PLCs, DCS, RTUs, controladores industriais
Sistemas de controle de processos. Governados por Dragos, Claroty, Nozomi para monitoramento de rede OT e detecção de anomalias. Abaixo da camada padrão de credenciais de autenticação.
Escopo de plataforma OT · Nível 1
Dispositivos de campo — sensores, atuadores, robôs, sistemas embarcados
Camada de produção física. Governança de firmware específica do hardware. Fora do modelo padrão de credenciais de autenticação. Credenciais de dispositivos codificadas governadas na camada de plataforma OT.
Complementares, não concorrentes. A MyCena e as plataformas de segurança OT (Dragos, Claroty, Nozomi) abordam diferentes camadas do mesmo problema. As plataformas OT monitoram o que acontece dentro da rede de produção. A MyCena governa as credenciais usadas para entrar nela. Ambas são necessárias. Nenhuma é suficiente sozinha.
O que a MyCena entrega

Governança de credenciais sem tocar na infraestrutura de produção

A MyCena é implantada acima dos sistemas de produção existentes. Nenhum PLC é modificado. Nenhuma arquitetura SCADA muda. Nenhum sistema OT é interrompido. Os operadores percebem uma diferença: eles clicam para conectar em vez de digitar uma senha.

Credenciais de acesso remoto — nada para phishing ou roubo
Os engenheiros se conectam aos sistemas de produção clicando — a MyCena injeta a credencial de forma invisível na autenticação. Credenciais de acesso industrial vendidas por até $70.000 em mercados da dark web exigem que a credencial exista nas mãos de um humano. A MyCena garante que não haja nada para encontrar, comprar ou roubar.
Acesso de fornecedores revogado em segundos, não em dias
Todo fornecedor OEM, prestador de manutenção e integrador de sistemas acessa sua rede de produção por meio de credenciais que você gerou. Quando um relacionamento termina ou um incidente é detectado, todo o acesso em todos os sistemas de produção é revogado em segundos — não após um processo manual de desligamento que leva dias e raramente é completo.
Evidências de auditoria para NIS2 e ISO 27001 — geradas automaticamente
Cada evento de acesso é atribuído a um indivíduo nomeado, com registro de horário até o segundo, e registrado continuamente. As evidências de governança de acesso da NIS2 e os requisitos de controle de acesso da ISO 27001 são satisfeitos arquiteturalmente — não reunidos antes da auditoria sob pressão de exame.
Implantado em duas semanas — sem interrupção da produção
A MyCena é implantada como uma camada de software acima dos sistemas de produção existentes. Nenhuma arquitetura OT é modificada. Nenhuma linha de produção é interrompida. Nenhuma janela de manutenção é necessária. A equipe de produção experimenta uma mudança: clicar para conectar em vez de digitar uma senha.
£1,9B
dano econômico estimado ao Reino Unido por um único ataque cibernético ao setor manufatureiro — declarado o mais danoso da história britânica
Cinco semanas de produção interrompida na JLR. Mais de 5.000 organizações do Reino Unido afetadas. Vendas por atacado 43% abaixo no trimestre seguinte. A entrada foi por credenciais de funcionários extraídas via engenharia social. O grupo atacante usou esses logins válidos para percorrer os fluxos normais de autenticação até a infraestrutura central — sem exploits, sem zero-day, apenas uma credencial que nunca deveria ter existido nas mãos de um humano.
Como funciona

Governança de credenciais sem modificar a infraestrutura de produção

Nenhum PLC modificado. Nenhuma arquitetura SCADA alterada. Nenhuma linha de produção interrompida. Nenhuma janela de manutenção necessária.

Passo 01
O fabricante gera todas as credenciais centralmente
Cada credencial para cada sistema de produção — operador, engenheiro, fornecedor, agente de IA — é gerada pelo fabricante por meio da MyCena. Nenhum indivíduo cria seu próprio acesso. Nenhum fornecedor traz suas próprias credenciais para sua rede. A propriedade das credenciais é do fabricante desde o momento de criação.
Passo 02
Injeção invisível — clique para conectar, nada para roubar
Operadores e engenheiros clicam para se conectar a qualquer sistema de produção. A MyCena injeta a credencial na autenticação — nunca exibida, nunca digitada, nunca mantida na memória ou na área de transferência. Credenciais industriais vendidas por $70.000 em mercados da dark web exigem uma credencial visível para serem compradas. A MyCena não fornece nada a encontrar.
Passo 03
Registro contínuo de acesso — evidências para NIS2 geradas automaticamente
Cada evento de acesso é registrado — qual operador, qual sistema de produção, horário até o segundo. As evidências de governança de acesso da NIS2 e o rastro de auditoria da ISO 27001 são gerados continuamente — não reunidos antes da inspeção. Os reguladores recebem o registro, não um documento preparado sob pressão de exame.
Passo 04
Revogação instantânea — fornecedor, operador ou agente de IA
Um relacionamento com fornecedor termina ou uma violação suspeita é detectada: um comando, todo o acesso revogado em todos os sistemas de produção em segundos, com registro de horário produzido. O processo manual de desligamento que deixa credenciais de ex-fornecedores ativas por dias ou semanas é eliminado. A categoria de auditoria não existe.
Marco regulatório

NIS2, ISO 27001, IEC 62443 e seguro cibernético — todos exigem o que a MyCena entrega

Os requisitos de controle de acesso em manufatura exigem evidências demonstráveis de responsabilidade individual e governança da cadeia de fornecimento. A MyCena gera essas evidências continuamente.

NIS2 — Artigos 20 & 21
✓ Responsabilidade pessoal — estruturalmente mitigada
Fabricantes classificados como entidades essenciais e importantes enfrentam responsabilidade pessoal da gestão por falhas na governança de riscos de TIC (Artigo 20) e devem demonstrar segurança na cadeia de fornecimento, incluindo governança de credenciais de terceiros (Artigo 21). A MyCena gera as evidências técnicas contínuas que ambos os artigos exigem — não afirmações de política reunidas antes de um exame regulatório.
ISO 27001 — Controle de Acesso
✓ Atribuição individual e auditoria — arquitetural
O Anexo A.9 da ISO 27001 exige controle de acesso incluindo responsabilidade individual do usuário, procedimentos de registro e cancelamento de registro de usuários, e autenticação segura. A MyCena satisfaz todos os três arquiteturalmente — credenciais individuais por usuário, cancelamento de registro instantâneo, autenticação invisível. A evidência de auditoria de controle de acesso da ISO 27001 é gerada automaticamente.
IEC 62443 — Segurança OT
✓ Gerenciamento de identidade na fronteira TI/OT — satisfeito
A IEC 62443 exige gerenciamento de identidade e controle de acesso na fronteira TI/OT, incluindo requisitos de autenticação para usuários humanos e não humanos de sistemas de automação e controle industrial. A MyCena governa a credencial que cruza essa fronteira — o ponto por onde todo ataque de ransomware em manufatura entrou.
LGPD / GDPR — Dados de funcionários e operacionais
✓ Medidas técnicas do Artigo 32 — arquitetural
As empresas manufatureiras detêm dados pessoais de funcionários, dados operacionais e, em alguns setores, dados de clientes. O Artigo 32 do GDPR exige medidas técnicas adequadas. Controle estrutural de credenciais — geração central, injeção invisível, revogação instantânea — demonstra as medidas técnicas que o ICO e as APDs europeias exigem no caso de uma investigação de violação.
Cyber Essentials Plus
✓ Requisitos de controle de acesso — satisfeitos estruturalmente
O Cyber Essentials Plus exige verificação de controle de acesso, governança de contas de usuários e segurança de autenticação. Fabricantes que fornecem para contratos governamentais do Reino Unido ou cadeias de fornecimento do setor público devem ter a certificação CE Plus. A MyCena satisfaz os requisitos técnicos de controle de acesso arquiteturalmente, e não por meio de autoatestação.
Seguro cibernético
✓ Maturidade nível 4–5 — evidências para redução de prêmio
Os prêmios de seguro cibernético para manufatura estão em níveis recordes, pois o setor se torna o mais visado globalmente. As seguradoras estão avaliando explicitamente a governança de credenciais de acesso remoto e os controles de acesso de terceiros como fatores de classificação. A governança estrutural de credenciais fornece as evidências de maturidade nível 4–5 que suportam a negociação de prêmios na renovação.
Briefing de credenciais para manufatura
Um briefing de 45 minutos sobre controle de credenciais para manufatura — específico para seu ambiente de produção, arquitetura OT e cadeia de fornecimento.
Agendar um briefing de manufatura →
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.