Por que razão as decisões autónomas e não regulamentadas em matéria de segurança constituem um risco para as infraestruturas críticas

• A automatização é essencial para os fluxos de trabalho modernos de aplicação de correções, priorização de vulnerabilidades, monitorização de configurações e correção de problemas.

• A execução autónoma e não supervisionada de medidas de segurança, incluindo a aplicação de correções, alterações de configuração ou correção automatizada, acarreta riscos operacionais em ambientes em que o tempo de inatividade tem consequências em termos de segurança ou financeiras.

• Uma alteração aplicada no momento errado numa rede elétrica, numa linha de produção ou numa rede de defesa não é um inconveniente menor. É um incidente.

• Três quadros normativos regem este domínio: a norma NERC CIP (energia/serviços públicos), a norma IEC 62443 (sistemas de controlo industrial) e a norma NIST SP 800-82 (segurança dos sistemas de controlo industrial). Todas elas dão ênfase à autorização documentada, à validação, aos testes e à responsabilização pelas alterações de segurança.

• Os fluxos de trabalho autónomos podem contribuir para a governação quando as etapas de aprovação, as políticas e os registos de auditoria estão integrados no processo. Tornam-se, porém, um risco quando a expressão «o sistema decidiu» substitui a autorização humana responsável.

• A IA proporciona maior valor na camada de análise: resultados classificados por risco, sinais de desvio de configuração, lista de correções priorizadas, e não na camada de execução.

• O modelo eficaz: a IA apresenta a informação, os seres humanos autorizam a ação e cada alteração é registada sob a responsabilidade de uma identidade identificável.

É aplicada uma correção fora do período de manutenção numa subestação. Uma regra de firewall é alterada por um sistema de correção automatizado durante um ciclo de produção. Uma alteração de configuração propaga-se por toda uma rede OT distribuída antes de qualquer operador a rever.

Os cenários diferem, mas o padrão de falha é o mesmo: um sistema automatizado agiu sem autorização humana e, quando alguém se apercebeu, a alteração já tinha chegado à produção.

A automatização é hoje essencial para as operações de segurança modernas, especialmente à medida que os prazos de exploração de vulnerabilidades e as janelas de aplicação de correções se reduzem. O risco não reside na automatização em si, mas sim na execução autónoma de medidas de segurança que aplicam alterações com impacto na produção sem a aprovação responsável de um ser humano, sem contexto operacional e sem um registo documentado de autorizações.

Em ambientes de infraestruturas críticas, estas decisões acarretam um risco operacional que a supervisão humana estruturada se destina a prevenir.

A atual onda de plataformas de IA agênica reflete a forma como a execução autónoma está a transformar as operações de segurança, especialmente em ambientes de TI empresariais, onde a rapidez é o principal objetivo de conceção.

As infraestruturas críticas funcionam sob restrições fundamentalmente diferentes.

Um relé de proteção numa rede elétrica não pode ser reiniciado a meio de um ciclo. Uma alteração na configuração de um PLC que controla uma linha de produção não pode ser revertida em segundos. Uma etapa de correção automatizada que é acionada durante um ciclo de produção afeta processos físicos, e não apenas servidores.

As equipas de segurança nestes ambientes têm de avaliar as capacidades autónomas à luz de uma questão diferente: não «com que rapidez consegue responder?», mas sim «quem é responsável quando há um erro?»

Antes da sua próxima auditoria NERC CIP ou IEC 62443, responda a esta pergunta: a sua plataforma de segurança atual gera um registo documentado e com data e hora de quem autorizou cada alteração de segurança?

A norma NERC CIP-007 exige procedimentos específicos de gestão de patches para todas as alterações efetuadas nos ativos cibernéticos do sistema elétrico em grande escala: avaliação documentada, provas de testes e prazos de implementação. A norma IEC 62443-2-3 define as responsabilidades de autorização para a gestão de patches e alterações de configuração em sistemas de automação e controlo industrial, incluindo quem é responsável por cada ação. A norma NIST SP 800-82 especifica que as alterações de segurança nos ICS exigem avaliação de riscos, testes de validação e coordenação com as partes interessadas operacionais antes da implementação, e não depois.

Os fluxos de trabalho autónomos podem apoiar este modelo de controlo quando a governação é integrada no processo através de aprovações baseadas em políticas, anéis de implementação, controlos de janelas de manutenção e registos de auditoria detalhados.

No entanto, a execução autónoma não se enquadra nesse modelo quando oculta a cadeia de autorização. A alteração ocorre, o registo mostra que o sistema agiu e o auditor pergunta quem aprovou a ação. Quando não existe qualquer evento de autorização humana responsável, o registo fica incompleto.

As plataformas controladas por pessoas, com etapas de autorização registadas, geram uma pista de auditoria. As plataformas autónomas não reguladas geram responsabilidade civil.

As plataformas de gestão de segurança dispõem, por natureza, de acesso privilegiado. Uma plataforma autorizada a aplicar alterações de configuração, implementar correções e gerir políticas em centenas de implementações é exatamente o tipo de recurso que um adversário teria como prioridade.

Quando essa plataforma funciona de forma autónoma, a superfície de ataque alarga-se significativamente. Um sistema autónomo comprometido pode executar ações em grande escala em todas as implementações ligadas antes que um operador humano detete a violação. O atacante assume a autoridade de execução da plataforma e utiliza-a simultaneamente na gestão de correções, nas alterações de configuração e na aplicação de políticas.

Isto não é mera teoria. No início de 2026, três vulnerabilidades críticas do tipo «zero-day» numa plataforma de gestão de patches amplamente utilizada permitiram a execução remota de código sem autenticação em ambientes empresariais. A CISA classificou estas e outras vulnerabilidades semelhantes como «Vulnerabilidades Conhecidas e Exploradas», que exigem correção imediata. Uma plataforma autónoma comprometida através dessas vulnerabilidades pode enviar alterações maliciosas para todos os terminais ligados antes mesmo de ser disparado um único alerta.

Uma plataforma que exige aprovação humana antes de executar alterações limita o alcance deste impacto. Quando é necessária aprovação humana antes da execução, é improvável que as credenciais roubadas, por si só, desencadeiem alterações automatizadas em grande escala.

O argumento contra a execução autónoma não supervisionada não é um argumento contra a IA ou a automatização no domínio da segurança. A IA proporciona o máximo valor nas camadas adequadas: análise, definição de prioridades, apoio à orquestração e facilitação da tomada de decisões.

As orientações da CISA destacam consistentemente as lacunas de visibilidade como um desafio fundamental para as organizações de infraestruturas críticas que gerem ativos distribuídos. A IA aborda esta questão diretamente: agregando dados de eventos, correlacionando sinais entre diferentes implementações, sinalizando desvios de configuração e apresentando conclusões priorizadas para revisão humana. A decisão continua a caber ao analista, mas a IA ajuda-o a tomá-la mais rapidamente, com melhor informação.

A gestão de vulnerabilidades e de correções classificada por risco é onde isto se revela mais visivelmente vantajoso. Classificar rapidamente centenas de vulnerabilidades de acordo com a sua explorabilidade, a criticidade dos ativos e a exposição proporciona às equipas de segurança uma lista priorizada sobre a qual podem agir dentro de uma janela de manutenção, em vez de um conjunto de dados brutos que têm de organizar elas próprias.

O mesmo princípio aplica-se às anomalias de configuração: a IA deteta desvio em centenas de terminais; são os humanos que decidem quais as alterações a reverter e quando o fazer.

A questão relevante para qualquer funcionalidade de IA numa plataforma de segurança não é «será que consegue agir de forma autónoma?», mas sim «contribui para aumentar a eficácia da equipa de segurança?».

Trata-se de filosofias de conceção diferentes e, em ambientes regulamentados, essa distinção é importante.

A gestão da segurança controlada por pessoas não significa uma gestão lenta. Significa uma gestão estruturada: a IA revela informações, a automatização acelera os fluxos de trabalho e as pessoas tomam as decisões. Cada ação é registada sob a responsabilidade de uma identidade identificável.

Na prática: um painel centralizado agrega eventos de segurança, conformidade de patches nos terminais, estado da configuração e detecções de anomalias em todas as implementações ligadas. Os administradores analisam as detecções classificadas por risco, avaliam o contexto operacional (incluindo se existe atualmente uma janela de manutenção aberta num local de destino ou se uma alteração de configuração foi validada para esse hardware específico) e iniciam ações através de um passo de autorização deliberado.

Para as organizações que gerem ambientes distribuídos, isto requer uma plataforma que abranja todas as implementações a partir de uma única interface, incluindo ambientes isolados e offline, nos quais a gestão baseada na nuvem não é uma opção. A plataforma fornece os dados de que os administradores necessitam para agir com confiança.

A EPAM Systems (um fornecedor global de serviços de engenharia de plataformas digitais e desenvolvimento de software, com cerca de 40 000 colaboradores em 30 países) enfrentava uma pressão crescente para proteger uma força de trabalho distribuída e com elevada utilização de dispositivos pessoais (BYOD), sem comprometer a sua produtividade. Ao recorrer ao My Central Management MetaDefender , a organização obteve visibilidade e controlo de conformidade sobre mais de 70 000 dispositivos utilizados por colaboradores, clientes e prestadores de serviços em todo o mundo.

A plataforma permitiu à equipa de segurança da EPAM validar a conformidade dos dispositivos, detetar aplicações indesejadas, identificar vulnerabilidades sem correção e aplicar políticas de acesso, tudo isto sem afetar a produtividade dos utilizadores. A EPAM também integrou MetaDefender para analisar ficheiros carregados no seu armazenamento central, processando mais de 50 milhões de ficheiros por dia nos períodos de maior volume. As equipas de segurança tinham uma visão completa da situação. Todas as decisões ficaram a cargo delas. Leia a história completa aqui.

Aplicar a IA onde esta gera valor sem introduzir riscos de execução: triagem de vulnerabilidades classificada por risco, deteção de desvios de configuração, correlação de anomalias e resultados priorizados para revisão humana.

Evite plataformas que confundam o valor analítico da IA com autoridade de execução sem controlo. Avalie se uma plataforma gera os registos de autorização exigidos pelo seu quadro de conformidade. Se a resposta for «o sistema decidiu», isso não constitui um registo de autorização suficiente em ambientes de infraestruturas críticas regulamentadas.