Segurança para a Indústria de Papel e Celulose: protegendo processo contínuo, OT e exportação
Plantas de celulose operam digestores, caldeiras de recuperação e linhas de secagem em processo contínuo, onde uma parada não programada custa milhões por hora. A Decripte segmenta o ambiente OT/ICS, contém ataques sem desligar a planta e implanta monitoramento industrial 24x7.
Resposta direta
Para proteger uma indústria de papel e celulose você precisa tratar o ambiente de automação (OT/ICS) como zona crítica separada da TI corporativa: segmente a rede em zonas e conduítes (modelo Purdue / IEC 62443), instale monitoramento passivo de OT que enxergue o tráfego dos CLPs e SDCDs sem injetar pacotes na rede de controle, mantenha backups offline e imutáveis dos sistemas de receita e parametrização de processo, e tenha um plano de resposta a ransomware que isole a TI sem derrubar a operação física da caldeira e do digestor. Some a isso um SOC 24x7 com playbooks específicos de OT, gestão contínua de vulnerabilidades nos ativos expostos (VPNs de fornecedores, acesso remoto de manutenção, históricos de processo) e proteção da cadeia financeira de exportação contra fraude por BEC. A forma mais rápida de saber onde você está exposto é rodar um diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia sua superfície de ataque externa antes de qualquer compromisso.
24/7
SOC monitorando OT e TI
<=1h
SLA de contenção em incidentes
IEC 62443
Referência para segmentação OT/ICS
LGPD
Conformidade de dados pessoais
Em resumo
- ›O risco número um da celulose não é roubo de dado, é parada de processo: ransomware que cruza da TI para a OT pode forçar o desligamento emergencial de digestor e caldeira de recuperação, com custos de religamento e risco de segurança física.
- ›A defesa começa pela segmentação: separar a rede de controle (CLPs, SDCD, instrumentação) da rede corporativa em zonas e conduítes, segundo o modelo Purdue e a norma IEC 62443, é o controle de maior impacto e menor risco operacional.
- ›Monitoramento de OT precisa ser passivo: a Decripte usa sensores que leem o tráfego industrial em modo espelhado (SPAN/TAP), sem enviar pacotes ativos que possam perturbar o controle de processo.
- ›Resposta a incidentes em planta contínua exige isolar a TI sem derrubar a física: o playbook da Decripte preserva a operação da caldeira enquanto corta a propagação lateral, evitando paradas catastróficas.
- ›A exportação é alvo de BEC: fraudes de desvio de pagamento em câmbio e contas de armadores/tradings exigem controles antifraude no fluxo financeiro, não só firewall.
- ›O ponto de partida sem compromisso é o diagnóstico gratuito em decripte.io/free; os planos pagos em /planos cobrem SOC 24x7, Resposta a Incidentes e Gestão de Vulnerabilidades.
Cibersegurança para Papel e Celulose
Plantas de celulose operam digestores, caldeiras de recuperação e linhas de secagem em processo contínuo, onde uma parada não programada custa milhões por hora. A Decripte segmenta o ambiente OT/ICS, contém ataques sem desligar a planta e implanta monitoramento industrial 24x7.
Por que papel e celulose é um alvo de alto valor e alta consequência
A indústria de papel e celulose tem uma característica que a torna especialmente sensível a ataques cibernéticos: ela opera em processo contínuo. Diferente de uma linha de manufatura discreta, onde se monta uma peça por vez e uma parada significa perder produção daquele intervalo, a celulose mantém digestores, caldeiras de recuperação, evaporadores, caustificação e máquinas de secagem rodando de forma ininterrupta, muitas vezes por meses entre paradas programadas. Religar uma caldeira de recuperação ou um digestor contínuo depois de uma parada emergencial não é apertar um botão: é um procedimento de horas a dias, com riscos de segurança física, perda de produto em processo, danos a equipamentos e licor preto fora de especificação.
Essa realidade muda completamente o cálculo do atacante. Em um e-commerce, o criminoso de ransomware aposta que a empresa pagará para recuperar dados. Em uma planta de celulose, ele aposta em algo muito mais caro: a ameaça de parar a produção. Quando a operação física vale dezenas de milhares de reais por hora, a pressão para pagar o resgate aumenta exponencialmente, e o atacante sabe disso. Por isso, grupos de ransomware de dupla e tripla extorsão miram industriais de processo contínuo com prioridade, sabendo que a janela de tolerância da vítima é curta.
O que torna a OT de celulose única
- ›Processo contínuo: parada não programada tem custo de religamento e risco físico, não só perda de produção do intervalo
- ›Equipamentos de longa vida: CLPs, SDCDs e instrumentação podem ter 10 a 20 anos, com firmware sem patch e protocolos legados sem autenticação
- ›Convergência TI/OT crescente: históricos de processo (PIMS), MES e ERP conectam o chão de fábrica à rede corporativa e à internet
- ›Cadeia florestal e logística conectada: balanças, gestão de pátio de madeira e exportação ampliam a superfície de ataque para além da planta
Há ainda um agravante específico do setor: a integração vertical. Muitas operações de celulose controlam desde a floresta até o porto. Isso significa que a superfície de ataque vai além do parque fabril, incluindo sistemas florestais, balanças rodoviárias e ferroviárias, gestão de pátio de madeira, geração de energia a partir de biomassa e licor preto, e toda a cadeia logística de exportação. Cada um desses elos conectados é uma porta potencial.
As quatro ameaças que mais atingem a celulose
1. Ransomware com parada de processo contínuo
É o cenário de maior impacto. O ransomware raramente nasce na OT; ele começa na TI corporativa, por phishing, credencial vazada ou exploração de um serviço exposto, e se propaga lateralmente. O problema surge quando a rede de controle não está adequadamente segmentada da rede corporativa. Nesse caso, o malware alcança o nível de supervisão (estações de operação do SDCD, servidores SCADA, históricos), e a equipe de operação perde visibilidade e controle. Mesmo que o malware não cifre os CLPs em si, perder as estações de supervisão pode forçar uma parada emergencial por segurança, porque operar uma caldeira de recuperação às cegas é inaceitável.
O cruzamento TI para OT é o ponto de ruptura
Na maioria dos incidentes industriais graves, o ransomware nunca tocou diretamente um CLP. Ele paralisou as estações de supervisão e o time de operação, sem visibilidade segura do processo, executou a parada por precaução. Por isso a segmentação entre TI e OT é o controle que mais reduz consequência: ela impede que um problema de e-mail vire uma parada de caldeira.
2. Sabotagem de OT em caldeira e digestor
Mais raro, porém mais perigoso, é o ataque deliberado a parâmetros de processo. Um adversário com conhecimento de automação industrial e acesso à rede de controle poderia manipular setpoints, intertravamentos ou lógicas de CLP de uma caldeira de recuperação, evaporador ou digestor. Em equipamentos que lidam com licor preto a alta temperatura e pressão, manipular intertravamentos de segurança não é apenas risco de produção: é risco de explosão e de vida. Esse é o motivo pelo qual a segurança de OT na celulose se cruza diretamente com a segurança de processo (process safety).
3. Espionagem de processo
O know-how de uma planta de celulose, suas curvas de cozimento, receitas de branqueamento, parâmetros de eficiência energética e otimização de consumo de químicos, é propriedade intelectual valiosa. Concorrentes ou atores estatais podem buscar esses dados via acesso persistente aos históricos de processo e sistemas de engenharia. É um ataque silencioso, sem cifragem nem extorsão, voltado a exfiltrar parametrização e dados de produção ao longo de meses.
4. BEC na exportação
A celulose brasileira é fortemente exportadora. Isso cria um fluxo financeiro internacional, com pagamentos em moeda estrangeira, intermediação de tradings, armadores e agentes portuários. O Business Email Compromise (BEC) ataca exatamente esse elo: o criminoso compromete ou falsifica e-mails para desviar pagamentos de exportação, alterar dados bancários de fornecedores de químicos ou logística, ou redirecionar fundos de câmbio. É fraude que não passa por nenhum firewall industrial e exige controles de processo financeiro.
Sinais de que sua planta está exposta
- ✓A rede dos CLPs e do SDCD está no mesmo segmento (ou roteável) que a rede corporativa e o e-mail
- ✓Fornecedores de automação acessam a OT por VPNs ou ferramentas de acesso remoto sem MFA nem trilha de auditoria
- ✓Não há inventário atualizado de ativos OT (você não sabe quantos CLPs, IHMs e gateways existem nem seus firmwares)
- ✓Backups das parametrizações de processo e do SDCD não são testados nem mantidos offline e imutáveis
- ✓Pagamentos de exportação são liberados com base só em e-mail, sem verificação fora de banda de mudança de dados bancários
Os dados de papel e celulose já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Segmentação OT/ICS: o controle de maior impacto
Se houvesse um único investimento a priorizar em segurança industrial de celulose, seria a segmentação de rede entre TI e OT, e dentro da própria OT. O conceito orientador é o modelo de referência Purdue, que organiza a planta em níveis: do nível de processo físico e instrumentação (nível 0), passando pelos controladores (nível 1), supervisão e SCADA (nível 2), operações de manufatura e MES (nível 3), até a TI corporativa e o ERP (nível 4/5). Entre os níveis 3 e 4 deve existir uma zona desmilitarizada industrial (IDMZ), que faz a mediação controlada de qualquer tráfego que precise cruzar da TI para a OT.
A norma internacional IEC 62443 formaliza isso no conceito de zonas e conduítes: agrupar ativos com requisitos de segurança semelhantes em zonas e permitir comunicação entre zonas apenas por conduítes explicitamente definidos, monitorados e controlados. A Decripte aplica esse modelo de forma pragmática à realidade de cada planta, porque na prática quase nenhuma instalação está perfeitamente conforme ao Purdue: há atalhos históricos, conexões diretas esquecidas e fornecedores com acesso lateral. O trabalho começa por descobrir a topologia real, não a do diagrama.
Segmentar sem parar a planta
O maior medo de qualquer gerente industrial é que o projeto de segurança cause a parada que ele deveria prevenir. A Decripte trabalha com abordagem não intrusiva: primeiro mapeia o tráfego real em modo passivo, depois projeta a segmentação, e só então implementa mudanças em janelas de manutenção programada, validando cada conduíte antes de aplicar regras de bloqueio. O objetivo é zero impacto na operação contínua.
Na celulose, a segmentação tem nuances próprias. A geração de energia (caldeira de biomassa, turbogeradores) costuma ter seu próprio SDCD e às vezes uma rede que se comunica com a concessionária. A área de recuperação química (caldeira de recuperação, caustificação, forno de cal) é a mais crítica em termos de segurança de processo. A linha de produção (digestor, branqueamento, máquina de papel) tem alta densidade de instrumentação. Cada uma dessas merece ser uma zona, com conduítes claros entre si e com a supervisão central.
O que a segmentação OT bem feita entrega
- ✓Rede de controle (CLPs, SDCD, instrumentação) isolada do e-mail e da internet corporativa
- ✓IDMZ mediando todo tráfego TI para OT, sem conexões diretas
- ✓Zonas internas por área crítica (recuperação química, geração, linha de produção)
- ✓Acesso remoto de fornecedores apenas via gateway controlado, com MFA e gravação de sessão
- ✓Caminho claro de propagação cortado: um ransomware na TI não alcança a supervisão de processo
Monitoramento industrial passivo: enxergar sem interferir
Depois de segmentar, é preciso ver. O grande desafio do monitoramento de OT é que as ferramentas tradicionais de TI são inadequadas e até perigosas no chão de fábrica. Um scanner de vulnerabilidade ativo, que envia pacotes para descobrir e testar serviços, pode travar um CLP antigo que não foi projetado para receber tráfego inesperado. Por isso a Decripte adota monitoramento passivo: sensores conectados a portas espelhadas (SPAN) ou a derivações de rede (TAP) que apenas escutam o tráfego, sem nunca injetar pacotes na rede de controle.
Esse monitoramento passivo faz três coisas valiosas. Primeiro, constrói automaticamente o inventário de ativos OT: descobre cada CLP, IHM, gateway, estação de engenharia e instrumento que conversa na rede, identifica fabricante, modelo, firmware e protocolo. A maioria das plantas descobre nesse momento ativos que ninguém lembrava existirem. Segundo, aprende o padrão normal de comunicação, quais dispositivos falam com quais, em quais protocolos (Modbus, EtherNet/IP, PROFINET, OPC), com qual frequência. Terceiro, detecta anomalias: um novo dispositivo na rede, uma estação de engenharia tentando reprogramar um CLP fora de janela, um comando de escrita inesperado para um intertravamento de segurança.
Por que passivo e não ativo na OT
Equipamentos industriais legados frequentemente não toleram tráfego não previsto. Já houve casos documentados de CLPs que travaram ao receber uma varredura de porta comum. O monitoramento passivo elimina esse risco: ele não conversa com os dispositivos, apenas observa o tráfego que já existe. É a diferença entre escutar uma sala e gritar nela para ver quem responde.
O sinal desses sensores flui para o SOC 24x7 da Decripte, onde analistas com playbooks de OT correlacionam eventos de chão de fábrica com o que acontece na TI. Um login suspeito na rede corporativa às 3h da manhã ganha um significado completamente diferente quando, minutos depois, surge uma tentativa de acesso à IDMZ. É essa correlação TI e OT, monitorada por humanos treinados, que transforma dados em detecção real.
SOC 24x7 com playbooks de OT: vigilância que entende processo
Uma planta de celulose nunca para, então a vigilância de segurança também não pode parar. O SOC (Security Operations Center) 24x7 da Decripte monitora simultaneamente a TI corporativa e a telemetria de OT, com analistas que entendem a diferença entre um falso positivo de manutenção programada e o início real de um ataque. Essa distinção é vital: na OT, um alerta tratado como TI tradicional pode levar a uma ação de contenção, como derrubar um segmento de rede, que provoca exatamente a parada que se queria evitar.
Os playbooks de OT da Decripte são construídos sobre frameworks reconhecidos, como o MITRE ATT&CK for ICS, que cataloga as táticas e técnicas específicas usadas por adversários contra sistemas de controle industrial. Em vez de tratar a planta como se fosse um data center, os analistas raciocinam em termos de impacto de processo: este alerta pode levar a uma manipulação de setpoint? Esta comunicação anômala indica reconhecimento de um adversário mapeando os CLPs? Esta tentativa de acesso remoto de fornecedor é legítima ou é uma credencial sequestrada?
Detecção que respeita a operação
O SOC da Decripte opera com a premissa de que na OT a disponibilidade é prioritária. Antes de qualquer ação de contenção automatizada, há uma camada de validação que considera o estado do processo. Conter um ataque jamais deve significar provocar uma parada não programada de caldeira ou digestor. Cada playbook de OT é desenhado com a equipe de operação e engenharia da planta para garantir que a resposta seja segura do ponto de vista de processo.
O que o SOC 24x7 cobre numa planta de celulose
- ✓Correlação de eventos TI e OT em tempo real, 24 horas por dia
- ✓Detecção de movimentação lateral entre rede corporativa e IDMZ
- ✓Alertas de reprogramação de CLP, comandos de escrita anômalos e novos dispositivos na rede de controle
- ✓Monitoramento de acesso remoto de fornecedores de automação
- ✓Vigilância da cadeia de e-mail e exportação contra BEC e phishing direcionado
- ✓Acionamento imediato do time de Resposta a Incidentes com SLA de contenção em até 1 hora
Quanto custaria um incidente em papel e celulose? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Conformidade e risco cyber-físico
Segurança industrial de celulose não vive só de tecnologia; vive de governança e conformidade. No Brasil, a LGPD (Lei Geral de Proteção de Dados) se aplica aos dados pessoais de colaboradores, prestadores e da cadeia logística, com fiscalização da ANPD (Autoridade Nacional de Proteção de Dados), incluindo a obrigação de comunicar incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Um ransomware que exfiltra dados pessoais antes de cifrar dispara obrigações de notificação que precisam ser tratadas com método.
No plano da segurança industrial, a referência internacional é a família IEC 62443, que estabelece requisitos de segurança para sistemas de automação e controle industrial ao longo de todo o ciclo de vida, do projeto à operação. Para a gestão de segurança da informação como um todo, a ISO/IEC 27001 fornece o arcabouço de sistema de gestão. A Decripte ajuda a planta a estruturar sua conformidade de forma que controles técnicos e governança se reforcem, em vez de gerar papelada desconectada da realidade do chão de fábrica.
O conceito de risco cyber-físico
Na celulose, o risco cibernético se funde com o risco físico de processo. Uma falha de segurança que manipule um intertravamento de uma caldeira de recuperação não causa apenas perda de dados: pode causar dano a equipamento, parada prolongada e risco a vidas. Por isso a análise de risco da Decripte integra cenários cibernéticos à análise de risco de processo (process safety), tratando o atacante como mais uma fonte de desvio a ser considerada nas barreiras de proteção.
Esse enquadramento cyber-físico também orienta a priorização. Nem todo ativo OT tem o mesmo peso: um CLP que controla a abertura de uma válvula em uma área de químicos perigosos não pode ser tratado com a mesma criticidade de um sensor de nível de um tanque de água de reuso. A Decripte conduz a avaliação de criticidade por consequência de processo, garantindo que os recursos de proteção e monitoramento se concentrem onde uma falha teria impacto físico e de segurança maior.
Gestão de vulnerabilidades em ambiente industrial
Plantas industriais não podem ser tratadas como ambientes de TI quando o assunto é correção de vulnerabilidades. Aplicar um patch em um servidor corporativo é rotina; aplicar firmware em um CLP que controla um digestor pode exigir parada de processo e revalidação de segurança. Por isso a gestão de vulnerabilidades de OT é, antes de tudo, gestão de risco: identificar o que está vulnerável, entender se é explorável no contexto real, e decidir entre corrigir, mitigar por compensação ou aceitar com monitoramento reforçado.
A Decripte parte do inventário gerado pelo monitoramento passivo para cruzar firmwares e modelos com bases de vulnerabilidades conhecidas, sem nunca rodar scanners ativos contra a rede de controle. O resultado é uma lista priorizada não por severidade genérica, mas por exploração realista e consequência de processo. Uma vulnerabilidade crítica em um ativo isolado em uma zona sem acesso externo pode ser menos urgente que uma vulnerabilidade média em um gateway que faz a ponte com a TI.
Onde concentrar a gestão de vulnerabilidades na celulose
- ✓Acesso remoto de fornecedores: VPNs, ferramentas de manutenção e jump hosts são alvos prioritários
- ✓Gateways e historiadores (PIMS) que cruzam TI e OT na IDMZ
- ✓Estações de engenharia, que podem reprogramar CLPs e costumam ter software desatualizado
- ✓Servidores SCADA e estações de operação do SDCD
- ✓Serviços corporativos expostos à internet, porta de entrada típica do ransomware que depois migra para a OT
Para a TI corporativa e os ativos expostos à internet, a Decripte aplica gestão de vulnerabilidades contínua de fato, porque é por ali que o ataque normalmente começa. O diagnóstico gratuito de Gestão de Ameaças em decripte.io/free já mapeia parte dessa superfície externa, revelando serviços expostos, credenciais vazadas e pontos fracos visíveis de fora, antes mesmo de qualquer contrato.
Protegendo a cadeia de exportação contra BEC
O elo financeiro da celulose merece atenção própria. A exportação envolve um ecossistema de contrapartes: tradings, armadores, agentes portuários, despachantes, bancos correspondentes e fornecedores internacionais de químicos e equipamentos. O Business Email Compromise explora a confiança nesse fluxo. O golpe clássico: o criminoso compromete ou imita o e-mail de um fornecedor ou cliente e, no momento de um pagamento legítimo, informa novos dados bancários. O valor segue para a conta do golpista.
A defesa contra BEC é parte técnica, parte processo. No lado técnico, a Decripte fortalece a autenticação de e-mail com SPF, DKIM e DMARC, dificultando a falsificação de domínio, e o SOC monitora padrões de phishing direcionado contra a área financeira e de comércio exterior. No lado de processo, o controle decisivo é a verificação fora de banda: qualquer mudança de dados bancários de uma contraparte deve ser confirmada por um canal independente (uma ligação a um número já conhecido, não o do e-mail), com dupla aprovação para liberações acima de um limite.
BEC não é um problema de firewall
Nenhum firewall industrial impede um BEC, porque o ataque acontece no fluxo de negócio, não na rede. Por isso a defesa combina higiene técnica de e-mail (SPF/DKIM/DMARC), monitoramento de SOC e, sobretudo, controles de processo financeiro: verificação fora de banda de qualquer alteração de conta e dupla aprovação para pagamentos de exportação. É o controle de menor custo e maior retorno contra fraude de câmbio.
Cenário ilustrativo: ransomware ameaça o processo contínuo de uma planta de celulose
Cenário ilustrativo
Este é um cenário ILUSTRATIVO, construído para demonstrar como a Decripte atua, e não descreve um cliente real. Imagine uma indústria de celulose de mercado, integrada da floresta ao porto, com digestor contínuo, caldeira de recuperação, geração própria a partir de biomassa e forte volume de exportação. A TI corporativa (ERP, e-mail, MES) compartilhava segmentos de rede com a supervisão de processo por conexões históricas nunca mapeadas. Fornecedores de automação acessavam a OT por VPN sem MFA. Backups existiam, mas as parametrizações do SDCD não eram testadas offline. Numa madrugada, um operador percebe estações de supervisão lentas e arquivos com extensão estranha.
Detecção
O SOC 24x7 da Decripte já havia sinalizado, horas antes, uma autenticação anômala em um serviço corporativo exposto e uma movimentação lateral em direção à IDMZ. Quando os primeiros arquivos cifrados aparecem nas estações de TI e o monitoramento passivo de OT detecta tentativas de acesso vindas da rede corporativa para a supervisão de processo, o alerta é elevado a incidente crítico e o time de Resposta a Incidentes é acionado imediatamente.
Contenção
Dentro do SLA de contenção de até 1 hora, a Decripte executa o playbook de OT: isola os segmentos de TI comprometidos e corta os conduítes entre TI e OT na IDMZ, interrompendo a propagação lateral. Crucialmente, a contenção é feita sem desligar a rede de controle, a caldeira de recuperação e o digestor continuam operando sob supervisão local preservada. A operação física não para.
Erradicação
Com a propagação contida, a equipe identifica o vetor inicial (credencial vazada usada em um serviço corporativo exposto), remove os artefatos do ransomware das máquinas afetadas, revoga e rotaciona credenciais, desativa o acesso VPN sem MFA dos fornecedores e fecha as conexões diretas históricas entre TI e OT que permitiram o cruzamento.
Recuperação
As estações de TI são reconstruídas a partir de imagens limpas. A supervisão de processo, que foi protegida pela contenção, é validada antes de reconectar à TI por meio da IDMZ recém endurecida. A produção, que nunca chegou a ser interrompida, segue normalmente enquanto a TI volta de forma controlada e verificada.
Investigação e notificação
A Decripte conduz a análise forense para confirmar o escopo, verificar se houve exfiltração de dados pessoais e apoiar a empresa nas obrigações da LGPD junto à ANPD, caso a avaliação indique risco relevante aos titulares. O relatório documenta linha do tempo, indicadores de comprometimento e causa raiz.
Estruturação
Encerrada a crise, a Decripte implementa a segmentação OT/ICS definitiva por zonas e conduítes (modelo Purdue, IEC 62443), instala monitoramento industrial passivo permanente, estabelece acesso remoto de fornecedores via gateway com MFA e gravação de sessão, e ativa o SOC 24x7 com playbooks de OT para vigilância contínua.
Lições aprendidas
A revisão pós incidente consolida o aprendizado: a separação TI/OT teria evitado a ameaça ao processo, o monitoramento passivo dá visibilidade que a planta nunca teve, e a disciplina de backups offline e imutáveis das parametrizações de processo é inegociável. Os controles viram parte permanente da operação.
Desfecho com a Decripte
No cenário ilustrativo, a planta não sofreu parada de processo: a caldeira de recuperação e o digestor seguiram operando porque a contenção isolou a TI sem derrubar a OT. O resgate não foi pago. Mais importante, a empresa saiu do incidente com uma arquitetura de segurança industrial estruturada, segmentação real, monitoramento permanente e um SOC vigiando 24x7, transformando uma crise em maturidade de segurança duradoura.
Não espere o incidente acontecer. Comece a blindar papel e celulose hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em planta de celulose
A resposta a incidentes em processo contínuo segue um princípio inegociável: conter o ataque sem causar a parada. Cada passo é desenhado para cortar a propagação preservando a operação física da caldeira e do digestor.
- Acionamento e triagem imediata: o SOC 24x7 classifica o incidente e o time de Resposta a Incidentes entra em ação, com meta de contenção em até 1 hora, mobilizando especialistas de TI e de OT simultaneamente.
- Contenção sem parada: isolamento dos segmentos de TI comprometidos e corte dos conduítes TI para OT na IDMZ, preservando a rede de controle e a supervisão local para que a planta continue operando com segurança.
- Preservação forense: coleta de evidências (memória, logs, imagens) antes de qualquer limpeza, garantindo cadeia de custódia para investigação, eventual reporte e aprendizado.
- Erradicação dirigida: identificação do vetor inicial, remoção dos artefatos maliciosos, revogação e rotação de credenciais, fechamento de acessos remotos inseguros e de conexões diretas indevidas entre TI e OT.
- Recuperação controlada: reconstrução de sistemas a partir de imagens e backups limpos e testados, com revalidação da supervisão de processo antes de reconectar à TI pela IDMZ endurecida.
- Análise de exfiltração e conformidade: verificação de vazamento de dados pessoais e apoio às obrigações da LGPD perante a ANPD quando houver risco relevante aos titulares.
- Relatório executivo e técnico: documentação completa com linha do tempo, indicadores de comprometimento, causa raiz e recomendações priorizadas por consequência de processo.
- Transição para estruturação: as lacunas que permitiram o incidente viram um plano de hardening permanente, com segmentação, monitoramento e SOC contínuo.
Como a Decripte estrutura a segurança de uma indústria de papel e celulose
Estruturar segurança industrial é construir camadas que se reforçam, do projeto de rede à vigilância contínua, sempre respeitando a prioridade de disponibilidade do processo contínuo. A Decripte trabalha em pilares que evoluem a maturidade da planta sem interromper a operação.
Segmentação OT/ICS por zonas e conduítes
Separação real entre TI e OT, com IDMZ mediando todo tráfego e zonas internas por área crítica (recuperação química, geração, linha de produção), seguindo o modelo Purdue e a IEC 62443. É o controle de maior impacto e menor risco operacional, implementado em janelas programadas com validação prévia.
Visibilidade e monitoramento industrial passivo
Sensores em modo espelhado (SPAN/TAP) que constroem o inventário de ativos OT, aprendem o padrão normal de comunicação e detectam anomalias sem nunca injetar pacotes na rede de controle, alimentando o SOC com telemetria de chão de fábrica.
SOC 24x7 com playbooks de OT
Vigilância ininterrupta que correlaciona eventos de TI e OT, com analistas que raciocinam em termos de impacto de processo e respostas que jamais causam parada não programada, ancorados em frameworks como o MITRE ATT&CK for ICS.
Acesso remoto controlado de fornecedores
Substituição de VPNs frouxas por gateways com autenticação multifator, autorização granular e gravação de sessão, eliminando uma das principais portas de entrada na OT industrial.
Resiliência e backups imutáveis de processo
Backups offline, imutáveis e testados das parametrizações do SDCD, lógicas de CLP e sistemas críticos, garantindo recuperação rápida mesmo no pior cenário de ransomware.
Governança cyber-física e conformidade
Integração da análise de risco cibernético à segurança de processo, com conformidade estruturada à LGPD, ISO/IEC 27001 e referências da IEC 62443, traduzindo controles técnicos em governança que faz sentido para o chão de fábrica.
Planos recomendados para Papel e Celulose
Segurança OT/ICS
Núcleo da proteção de celulose: segmenta a rede de controle, implanta monitoramento industrial passivo e protege caldeira, digestor e recuperação química sem parar a planta.
Ver plano →Resposta a Incidentes
Em processo contínuo, conter sem desligar é vital. O SLA de contenção em até 1 hora e os playbooks de OT isolam o ataque preservando a operação física.
Ver plano →SOC 24x7
Uma planta que nunca para precisa de vigilância que nunca para, correlacionando eventos de TI e OT 24 horas por dia com analistas que entendem impacto de processo.
Ver plano →Gestão de Vulnerabilidades
Identifica e prioriza fraquezas em acessos remotos, gateways e serviços expostos por exploração realista e consequência de processo, sem scanners ativos perigosos na OT.
Ver plano →Perguntas frequentes
O projeto de segurança vai precisar parar a minha planta?
Não é o objetivo, e a Decripte trabalha justamente para evitar isso. O mapeamento e o monitoramento são feitos em modo passivo, sem interferir na rede de controle. As mudanças de segmentação são projetadas antes e aplicadas em janelas de manutenção programada, com validação de cada conduíte. O princípio que guia tudo é zero impacto na operação contínua.
Vocês vão rodar scanners de vulnerabilidade nos meus CLPs?
Não na rede de controle. Equipamentos industriais legados podem travar com varreduras ativas, então a Decripte usa monitoramento passivo (SPAN/TAP) para inventariar ativos e cruzar firmwares com bases de vulnerabilidades, sem enviar pacotes para os CLPs. Scanners ativos ficam restritos à TI corporativa e a ativos que os toleram com segurança.
Como vocês contêm um ransomware sem desligar a caldeira e o digestor?
O playbook de OT isola os segmentos de TI comprometidos e corta os conduítes entre TI e OT na IDMZ, interrompendo a propagação lateral, enquanto preserva a rede de controle e a supervisão local. A operação física continua sob controle. Conter o ataque jamais deve significar provocar uma parada não programada de processo.
Minha rede de OT está misturada com a TI por conexões antigas. Por onde começo?
Pelo diagnóstico. A Decripte primeiro descobre a topologia real (não a do diagrama), incluindo as conexões diretas esquecidas, depois projeta a segmentação por zonas e conduítes e a implementa em etapas seguras. O ponto de partida sem compromisso é o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que já revela parte da sua exposição externa.
Como vocês protegem nossos pagamentos de exportação contra fraude?
Com uma combinação de higiene técnica de e-mail (SPF, DKIM, DMARC), monitoramento do SOC contra phishing direcionado e, principalmente, controles de processo financeiro: verificação fora de banda de qualquer mudança de dados bancários e dupla aprovação para liberações acima de um limite. BEC não se resolve com firewall, e sim com processo bem desenhado.
O que a LGPD exige da minha empresa em caso de incidente?
A LGPD, fiscalizada pela ANPD, exige que incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais sejam comunicados. Se um ataque exfiltrar dados de colaboradores, prestadores ou da cadeia logística, há obrigações de notificação. A Decripte apoia a avaliação de risco e o processo de reporte como parte da resposta a incidentes.
Preciso fechar um contrato grande para começar?
Não. A conversão é totalmente self-service. Você pode começar grátis com o plano de Gestão de Ameaças em decripte.io/free, que mapeia sua superfície de ataque externa, e evoluir para os planos pagos em /planos (Segurança OT/ICS, SOC 24x7, Resposta a Incidentes e mais) quando fizer sentido, sem etapas burocráticas.
Quais normas e referências vocês usam para segurança industrial?
A principal referência de segurança de automação e controle é a família IEC 62443, complementada pelo modelo de arquitetura Purdue para segmentação e pelo MITRE ATT&CK for ICS para detecção. Para gestão de segurança da informação, a ISO/IEC 27001, e para dados pessoais, a LGPD. A Decripte traduz essas referências em controles práticos para o chão de fábrica.
Termos do setor
- OT/ICS
- Tecnologia Operacional / Sistemas de Controle Industrial. O conjunto de hardware e software que monitora e controla o processo físico da planta: CLPs, SDCD/DCS, SCADA, IHMs e instrumentação. Diferente da TI, sua prioridade é disponibilidade e segurança de processo.
- Modelo Purdue
- Modelo de referência de arquitetura que organiza a rede industrial em níveis hierárquicos, do processo físico (nível 0) até a TI corporativa (níveis 4/5), com uma zona desmilitarizada industrial (IDMZ) mediando o tráfego entre TI e OT.
- IEC 62443
- Família de normas internacionais de segurança para sistemas de automação e controle industrial, que define conceitos como zonas e conduítes e requisitos de segurança ao longo de todo o ciclo de vida do sistema.
- Caldeira de recuperação
- Equipamento central da fábrica de celulose kraft que queima o licor preto concentrado para recuperar produtos químicos do cozimento e gerar vapor. Opera a alta temperatura e pressão, tornando sua segurança de processo crítica.
- BEC (Business Email Compromise)
- Fraude em que o criminoso compromete ou imita e-mails corporativos para desviar pagamentos, comum na cadeia financeira de exportação, alterando dados bancários de contrapartes ou redirecionando fundos de câmbio.
- Monitoramento passivo
- Técnica de visibilidade de OT em que sensores apenas escutam o tráfego de rede em modo espelhado (SPAN/TAP), sem injetar pacotes, evitando o risco de perturbar equipamentos industriais legados que não toleram tráfego inesperado.
A Decripte protege e responde a incidentes no setor de papel e celulose.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.