ARTIGOS / MANUFATURA E INDúSTRIA

NIS2, IEC 62443 e CMMC 2.0: o que os fabricantes devem comprovar sobre o acesso às credenciais


NIS2, IEC 62443 e CMMC 2.0: o que os fabricantes devem comprovar sobre o acesso às credenciais

Quando hackers infiltraram a rede de fornecedores da Toyota em fevereiro de 2022, roubando 296 GB de desenhos técnicos e projetos, o vetor de ataque foi devastadoramente simples: credenciais comprometidas. O anúncio da montadora de que "o acesso não autorizado foi obtido por meio de um ataque baseado em credenciais" destacou uma realidade difícil enfrentada por executivos da indústria em todo o mundo — os métodos tradicionais de autenticação estão falhando justamente no momento em que a fiscalização regulatória aumenta.

A crise das credenciais na manufatura

As operações industriais enfrentam um desafio único de autenticação. Diferentemente de empresas exclusivamente digitais, os ambientes industriais exigem acesso contínuo entre sistemas de tecnologia operacional (OT), sistemas de controle industrial e infraestrutura tradicional de TI. Essa complexidade cria o que profissionais de segurança chamam de "expansão descontrolada de credenciais" (credential sprawl) — a proliferação de senhas, chaves de API e tokens de acesso em sistemas interconectados.

O problema vai além das credenciais dos funcionários. Os ambientes industriais dependem de autenticação máquina a máquina, acesso de fornecedores externos e credenciais de contratados que frequentemente permanecem ativas muito depois do término dos projetos. Cada uma dessas credenciais representa um possível ponto de entrada para agentes de ameaça que buscam interromper linhas de produção ou roubar propriedade intelectual.

Considere uma fábrica típica: engenheiros precisam acessar sistemas CAD, gestores de produção necessitam de visibilidade sobre plataformas ERP, técnicos de manutenção acessam redes SCADA e fornecedores conectam-se a portais de compras. As abordagens tradicionais permitem que usuários criem, gerenciem e memorizem suas próprias credenciais — um modelo que as estruturas regulatórias consideram cada vez mais insuficiente.

Os dados por trás da ameaça

A manufatura tornou-se um dos principais alvos dos cibercriminosos. O relatório Cost of a Data Breach 2024, da IBM, identificou a indústria como o segundo setor mais visado, com custos médios de violação chegando a US$ 4,88 milhões. Mais importante ainda, o relatório Data Breach Investigations Report 2024, da Verizon, indicou que 68% das violações na manufatura envolveram comprometimento de credenciais.

A frequência dos ataques está aumentando. Segundo o relatório OT/IoT Security Report da Nozomi Networks, os incidentes envolvendo tecnologia operacional aumentaram significativamente entre 2022 e 2023. Uma grande parte desses incidentes teve origem em mecanismos de autenticação comprometidos, e não em explorações avançadas de vulnerabilidades zero-day.

As violações regulatórias também geram impactos financeiros adicionais. Sob a NIS2, fabricantes podem enfrentar multas de até €10 milhões ou 2% do faturamento global. A não conformidade com a IEC 62443 pode resultar em exclusão de cadeias de fornecimento, enquanto violações do CMMC 2.0 podem levar à rescisão imediata de contratos para fornecedores do setor de defesa.

O fator humano amplia esses riscos. O relatório State of the Phish 2024, da Proofpoint, revelou que uma parcela significativa dos funcionários da indústria foi vítima de ataques de captura de credenciais, representando uma das maiores taxas entre os setores analisados.

Por que as soluções convencionais não são suficientes

As plataformas de Gerenciamento de Identidade e Acesso (IAM) prometem uma governança completa de credenciais, mas operam com uma falha fundamental: assumem que os usuários devem controlar seus próprios materiais de autenticação. Mesmo implementações avançadas exigem que funcionários criem, memorizem e digitem senhas — criando oportunidades para roubo de credenciais.

As soluções de Gerenciamento de Acesso Privilegiado (PAM) oferecem cofres de credenciais para contas administrativas, mas deixam credenciais comuns expostas. Em ambientes industriais, acessos elevados são frequentemente necessários para operações rotineiras, tornando a separação entre contas privilegiadas e contas comuns cada vez menos relevante.

Os sistemas Single Sign-On (SSO) reduzem o cansaço causado por múltiplas senhas, mas criam pontos únicos de falha. Quando hackers comprometem credenciais SSO, eles obtêm acesso simultâneo a todos os sistemas conectados. O ataque à SolarWinds em 2020 demonstrou como o comprometimento de autenticação pode se espalhar por redes inteiras.

A Autenticação Multifator (MFA) adiciona etapas de verificação, mas não impede o roubo de credenciais — apenas aumenta a complexidade do ataque. Agentes de ameaça sofisticados conseguem contornar MFA por meio de troca de SIM, fadiga de notificações push e ataques man-in-the-middle.

As arquiteturas Zero Trust prometem verificar cada solicitação de acesso, mas ainda dependem de credenciais como mecanismo inicial de autenticação. O princípio de "nunca confiar, sempre verificar" perde eficácia quando essa verificação depende de credenciais que podem ser comprometidas.

Todas essas soluções compartilham uma fraqueza comum: operam com base no princípio de que identidade é igual a acesso. Essa equação — embora pareça lógica — cria uma vulnerabilidade sistêmica porque coloca o controle das credenciais nas mãos dos usuários.

Redefinindo o controle das credenciais

A solução exige separar identidade do controle de acesso, garantindo que as organizações mantenham autoridade total sobre os materiais de autenticação. Essa abordagem, conhecida como "abstração de credenciais", impede que usuários visualizem, armazenem ou gerenciem suas próprias credenciais de acesso.

Nesse modelo, as organizações geram credenciais criptograficamente seguras, distribuem-nas por canais criptografados e revogam acessos sem intervenção do usuário. Os funcionários autenticam sua identidade por mecanismos separados, enquanto a validação das credenciais ocorre de forma transparente em segundo plano.

A tecnologia patenteada da MyCena exemplifica essa abordagem. Em vez de armazenar senhas em cofres ou exigir que usuários memorizem frases complexas, o sistema garante que as credenciais nunca existam em formato legível por humanos. Os usuários autenticam-se por verificação biométrica, enquanto pacotes criptografados de credenciais validam automaticamente as solicitações de acesso.

Essa arquitetura oferece o que profissionais de segurança chamam de "autenticação resistente a phishing" — agentes mal-intencionados não conseguem roubar credenciais que os usuários nunca possuem. Ataques de engenharia social falham porque os funcionários não têm nenhum material de autenticação para comprometer.

Para ambientes industriais, essa separação oferece benefícios específicos. Operadores podem acessar sistemas de controle industrial sem gerenciar senhas, contratados recebem acessos temporários que expiram automaticamente e autenticações máquina a máquina funcionam sem intervenção humana.

Implicações para conformidade regulatória

O Artigo 21 da NIS2 exige medidas de cibersegurança "adequadas e proporcionais", incluindo controles de autenticação. A abstração de credenciais fornece evidências auditáveis de que usuários não podem comprometer aquilo que nunca controlam.

Os requisitos de nível de segurança da IEC 62443 exigem acesso "autenticado e autorizado" em redes industriais. Sistemas tradicionais baseados em senhas têm dificuldade em demonstrar autorização contínua — a abstração de credenciais permite validação de acesso em tempo real sem envolvimento do usuário.

Os requisitos de controle de acesso do CMMC 2.0, incluindo AC.1.001 e AC.1.002, exigem gerenciamento sistemático de autenticação. Organizações que utilizam abstração de credenciais podem demonstrar controle completo de acesso sem depender da conformidade comportamental dos usuários.

O futuro exige que executivos da manufatura reconsiderem premissas fundamentais sobre autenticação. As estruturas regulatórias estão evoluindo além dos requisitos de complexidade de senhas e avançando para controles sistêmicos de acesso — uma mudança que exige soluções arquiteturais, não apenas procedimentos.

A transformação digital da manufatura torna essa transição inevitável. A questão é se as organizações irão se adaptar proativamente ou reagir apenas após ações de fiscalização regulatória.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.