A PCICSO, Portaria sobre a Proteção de Infraestruturas Críticas (Sistemas Informáticos), é um novo quadro regulamentar introduzido pelo Governo de Hong Kong para reforçar a cibersegurança e a resiliência dos CIO (operadores de infraestruturas críticas). Em vigor desde janeiro de 2026, a portaria estabelece obrigações legais para que os CIOs protejam os seus sistemas informáticos contra ameaças cibernéticas, gerem riscos de forma proativa e respondam eficazmente a incidentes de cibersegurança. Esta regulamentação deixa claro que agora se espera que os operadores de infraestruturas críticas demonstrem controlos rigorosos e exequíveis sobre a forma como os sistemas, dispositivos e dados são tratados.
Portaria relativa à Proteção de Infraestruturas Críticas (Sistemas Informáticos) (PCICSO)
O quadro regulamentar da PCICSO articula-se em torno de três obrigações fundamentais, com o objetivo de proporcionar aos CIOs uma abordagem abrangente e sistemática para a gestão do risco cibernético. Os CIOs são definidos como organizações designadas pela autoridade reguladora com base na sua dependência das operações essenciais dos sistemas informáticos, na sensibilidade dos dados controlados, no nível de controlo operacional e de gestão sobre a infraestrutura e nas informações fornecidas para efeitos de conformidade.
As três principais obrigações que os CIOs devem cumprir são:
- Aspetos organizacionais: Requisitos de governação e organizacionais para garantir uma responsabilização clara, políticas e supervisão em matéria de cibersegurança.
- Preventivas: Medidas preventivas e de proteção, que exigem que os operadores implementem salvaguardas técnicas e operacionais adequadas para proteger os sistemas informáticos críticos.
- Notificação e resposta a incidentes: Capacidades para garantir a deteção, o tratamento e a notificação atempados de incidentes significativos de cibersegurança.
Pontos principais
Embora o regulamento abranja um vasto leque de requisitos, há alguns pontos-chave que os diretores de informática devem ter em conta. De acordo com o Anexo 3, Parte 1 do regulamento, os operadores são obrigados a dispor de políticas que:
- Identificar, avaliar, monitorizar, mitigar e responder aos riscos relacionados com a segurança dos sistemas informáticos e as vulnerabilidades dos sistemas
- Controlar o acesso a sistemas informáticos críticos
- Gerir os fornecedores de serviços e produtos informáticos utilizados nos sistemas
Soluções líderes do setor para facilitar a conformidade
Endpoint de dispositivos e Endpoint como base
A postura Endpoint e a gestão de vulnerabilidades são aspetos fortemente enfatizados nas diretrizes da PCICSO, exigindo que as vulnerabilidades sejam detetadas, avaliadas e corrigidas atempadamente. Apenas os dispositivos em conformidade devem ser autorizados a interagir com sistemas críticos, enquanto os terminais com correções em falta, software desatualizado ou riscos de segurança devem ser bloqueados ou restringidos até serem corrigidos. MetaDefender apoia a conformidade com estes requisitos, garantindo a conformidade dos dispositivos antes de o acesso ser concedido e avaliando cada terminal em relação às políticas da organização. Esta avaliação inclui o estado de vulnerabilidades e atualizações, garantindo que apenas os dispositivos que cumprem os requisitos de segurança exigidos possam ligar-se.
Além disso, MetaDefender Endpoint a gestão de vulnerabilidades e atualizações em todos os terminais, abrangendo sistemas operativos e aplicações de terceiros. Deteta ativamente vulnerabilidades, corrige riscos e fornece soluções recomendadas, com suporte para atualizações em mais de 1 100 aplicações. Para a aplicação auditável da conformidade e a investigação de incidentes, todo o estado de segurança e conformidade dos terminais pode ser monitorizado e auditado de forma centralizada através Central Management My Central Management.
Mitigação Media removíveis
O controlo de acesso é uma das principais áreas de foco previstas no regulamento. Isto reforça a necessidade de os diretores de informática (CIO) gerirem cuidadosamente todas as vias de acesso aos sistemas críticos, incluindo os suportes amovíveis.
A utilização de USB e outros suportes portáteis continua a ser comum em ambientes operacionais, especialmente onde as redes estão segmentadas ou isoladas, o que os torna um vetor de ataque de alto risco nos ambientes OT/ICS. De acordo com o Relatório Orçamental OT/ICS 2025 da SANS, 15,2% dos vetores de ataque provieram de suportes removíveis comprometidos.
Para mitigar estes riscos, OPSWAT as organizações a prevenir os riscos associados aos suportes removíveis através de:
- Mitigação Media removíveis no ponto de entrada:MetaDefender protege os fluxos de dados que entram em ambientes críticos, através da verificação e limpeza de suportes removíveis no ponto de entrada. Foi reconhecido como parte da DeltaV Silver Alliance da Emerson, comprovando a sua eficácia em diversos ambientes e casos de utilização.
- Endpoint e controlo de dispositivos antes da execução: MetaDefender oferece proteção avançada de terminais para ambientes operacionais, verificando ativamente os suportes removíveis logo que são inseridos e garantindo que apenas dispositivos ou conteúdos seguros possam ser acedidos nos sistemas críticos.
- Media como uma camada adicional de defesa: MetaDefender Endpoint e MetaDefender Media proporcionam uma camada adicional de segurança através da aplicação de políticas de análise e sanitização.
- Monitorização centralizada da proteção: Através Central Management My Central Management, MetaDefender e MetaDefender permitem a aplicação centralizada de políticas para controlar o acesso aos dispositivos, monitorizar e gerir a utilização de suportes portáteis e registar as atividades.
Gestão do acesso Supply Chain por parte de empreiteiros e Supply Chain e armazenamento Secure
Uma vez que as infraestruturas críticas não podem funcionar em total isolamento, as operações diárias exigem frequentemente a concessão de acesso à rede a dispositivos externos trazidos por fornecedores, contratados e parceiros. Os dispositivos temporários, tais como computadores portáteis de terceiros e estações de trabalho de substituição, podem escapar à verificação adequada devido à pressão de tempo ou à insuficiência de ferramentas de verificação, criando potenciais vetores de ataque iniciais.
Dados recentes do setor, provenientes dos relatórios «SANS 2025 ICS/OT» e «IBM 2025 Cost of a Data Breach», revelaram que:
- Os ataques a dispositivos transitórios aumentaram 221%
- 27,3 % de todos os incidentes de OT tiveram origem em dispositivos transitórios
- As violações de segurança envolvendo terceiros e a cadeia de abastecimento representam, em média, cerca de 4,9 milhões de dólares por incidente
Drive MetaDefender Drive concebido para resolver estes problemas, analisando e verificando dispositivos temporários antes de lhes conceder acesso às suas redes críticas. Através de uma análise segura antes do arranque, os operadores podem inspecionar os dispositivos para além do sistema operativo do anfitrião, a fim de detetar ameaças ocultas antes da entrada na rede.
No caso de sistemas críticos que não podem ser desligados devido a restrições operacionais,Drive MetaDefender Drive suporta a verificação em tempo real, permitindo a inspeção do dispositivo enquanto o sistema operativo está em funcionamento, o que possibilita uma inspeção aprofundada em ambientes críticos onde o tempo de inatividade é inaceitável.
Além disso,Drive MetaDefender Drive Smart Touch permite o armazenamento seguro de ficheiros, funcionando de forma semelhante a uma USB normal, ao mesmo tempo que mantém os ficheiros não verificados ocultos, permitindo que apenas os ficheiros verificados sejam partilhados ou distribuídos.
Segmentação de rede e fluxo de dados unidirecional
Para além da segmentação lógica, a PCICSO reconhece que certos sistemas críticos exigem garantias mais sólidas do que as proporcionadas pelos controlos baseados em software. As firewalls, as ACLs e as políticas de segmentação continuam vulneráveis a erros de configuração, abuso de credenciais e explorações de vulnerabilidades «zero-day». No caso de sistemas de alto impacto, em que a disponibilidade e a integridade são cruciais, a imposição física de limites de confiança constitui um controlo decisivo.
MetaDefender responde a esta necessidade através de um fluxo de dados unidirecional imposto por hardware, garantindo que os dados possam sair de ambientes críticos para fins de monitorização, análise e relatórios de conformidade, ao mesmo tempo que impede a comunicação de entrada. Ao contrário dos controlos de rede convencionais que dependem da aplicação de políticas, esta abordagem elimina, por definição, classes inteiras de vetores de ataque. Impede que malware, comandos remotos e movimentos laterais voltem a penetrar nos sistemas protegidos, apoiando a ênfase da PCICSO na redução do risco sistémico e na limitação das vias de exposição aos sistemas críticos.
Do ponto de vista operacional, MetaDefender permite que os diretores de TI cumpram as obrigações de monitorização, registo e elaboração de relatórios sem comprometer o isolamento do sistema. Os registos, a telemetria e as métricas operacionais podem ser transmitidos com segurança para ambientes de TI ou SOC para análise centralizada, enquanto os sistemas OT e de controlo permanecem intactos, garantindo o cumprimento da regulamentação.
Da conformidade à resiliência
A aplicação das novas diretrizes da lei de cibersegurança de Hong Kong ajuda as organizações a garantir a conformidade dos dispositivos, a controlar a movimentação de ficheiros, a gerir suportes removíveis e a segmentar as redes. À medida que as infraestruturas críticas se tornam cada vez mais interligadas, continuando a depender de sistemas que não toleram interrupções, os controlos de segurança devem funcionar sem interromper as operações.
A OPSWAT unifica estas capacidades em terminais, suportes removíveis, dispositivos temporários e fluxos de dados, abordando pontos de entrada comuns e proporcionando simultaneamente a visibilidade que os reguladores esperam. Para saber mais sobre como OPSWAT as organizações de infraestruturas críticas a cumprir estes requisitos e a reforçar a resiliência cibernética, fale hoje mesmo com um dos nossos especialistas.
