A Claroty anuncia uma pesquisa recente sobre maior risco de exposição em sistemas de gestão predial (BMS) e sistemas de automação predial (BAS). O novo relatório do Team82 da Claroty, “O Estado da Segurança de Sistemas Ciberfísicos 2025: Exposições em Sistemas de Gestão Predial”, analisou quase meio milhão de sistemas de gestão predial em mais de 500 organizações com sistemas ciberfísicos, revelando que 75% dessas organizações possuem BMS afetados por vulnerabilidades exploradas conhecidas (KEVs).
Ao aprofundar a análise nessas organizações impactadas por KEVs, 51% apresentam vulnerabilidades exploradas conhecidas também vinculadas a ransomware e que estão inseguramente conectadas à internet. Dentro dessas organizações, 2% dos dispositivos apresentam o mesmo nível de risco, significando que dispositivos essenciais às operações de negócio operam no mais alto nível de exposição a riscos.
Essa combinação de fatores de risco acende um sinal de alerta devido à ampla dependência dos BMS em imóveis comerciais, de varejo, hotelaria e data centers para operar sistemas como HVAC, de iluminação, de energia, elevadores, de segurança e outros. O nível de exposição desses dispositivos oferece aos adversários pontos de entrada facilmente acessíveis, deixando a porta aberta para interrupções custosas e potencialmente perigosas.
As descobertas do relatório mostram a necessidade de priorizar a proteção desses sistemas, especialmente à medida que são integrados para razões operacionais e comerciais, como gestão remota e análise de dados. Ao adotar uma abordagem baseada no gerenciamento de exposições e focar nas necessidades e desafios únicos dos ambientes dos sistemas ciberfísicos, as organizações podem identificar, avaliar e priorizar os dispositivos mais arriscados, economizando tempo e recursos preciosos.
“Muitas vezes, os BMS e BAS são operacionalizados na rede sem considerar as implicações de cibersegurança”, diz Grant Geyer, Chief Strategy Officer da Claroty.
“Proteger apenas os equipamentos de TI já não é suficiente para garantir a segurança e a integridade de todo o ambiente. A chegada dos dispositivos de IoT trouxe eficiência, mas também desafios críticos que continuam sendo subestimados. O ataque pode vir de onde menos se espera — um ar-condicionado, sistema de incêndio, elevador ou estação de tratamento de água. Cada um desses ativos é um potencial vetor de ameaça e deve ser protegido com o mesmo nível de atenção. A segurança real exige visibilidade e proteção de todos os dispositivos conectados”, afirma Italo Calvano, Vice-Presidente Regional para a América Latina na Claroty.
“O que se ganha em eficiência e conveniência pode representar um risco real se não for adequadamente protegido — por exemplo, o resfriamento de data centers ou a refrigeração de produtos perecíveis no varejo, que são sistemas críticos que podem ser abruptamente interrompidos se comprometidos.”
As organizações que adotam a transformação digital e medidas para proteger os BMS ao colocá-los em operação têm a oportunidade de integrar a medição do impacto nos negócios e salvaguardar a criticidade operacional desses dispositivos. Ao entender o contexto completo desses sistemas, elas podem reduzir riscos e evitar as interrupções altamente impactantes que podem resultar de suas falhas.
À medida que os edifícios se tornam “mais inteligentes”, as organizações precisam adotar um framework de segurança que forneça aos tomadores de decisão em cibersegurança e aos proprietários dos ativos uma avaliação verdadeira do seu estado de segurança, assim como um plano de remediação adequado de ação pelas equipes de gestão de risco e compreensível aos executivos.
Para acessar o conjunto completo de descobertas, análises profundas e medidas de segurança recomendadas pelo Team82 da Claroty, baixe o relatório “O Estado da Segurança de Sistemas Ciberfísicos 2025: Exposições em Sistemas de Gestão Predial”.
Metodologia
O relatório “O Estado da Segurança de Sistemas Ciberfísicos 2025: Exposições em Sistemas de Gestão Predial” é um panorama das tendências de vulnerabilidades e exposições em dispositivos de BMS e BAS em organizações com CPS, observado e analisado pelo Team82 da Claroty, equipe de pesquisa de ameaças da Claroty, juntamente com seus cientistas de dados.
