Em 2025, o cenário de segurança cibernética para sistemas de controle industrial (ICS) varia bastante conforme a localização. Por exemplo, uma fábrica no Norte da Europa usa quase nada de internet, com regras rígidas sobre USBs e e-mails filtrados. Já uma empresa de engenharia na África ou no Leste Asiático pode depender de redes compartilhadas e ferramentas de acesso remoto para manter suas operações.
Esse contraste na operação diária fica evidente nos dados de ameaças mais recentes. No terceiro trimestre de 2025, apenas 9,2% dos computadores ICS no Norte da Europa bloquearam atividades maliciosas, enquanto na África esse número subiu para alarmantes 27,4%. A diferença revela como a maturidade da infraestrutura e a adoção de práticas de segurança variam globalmente.
Apesar de um aumento em cinco regiões, a maior alta foi em Leste Asiático. Isso se deve ao crescimento de scripts maliciosos que atingiram redes operacionais locais. Isso demonstra ainda mais as diferenças nas práticas cibernéticas entre as regiões. Enquanto alguns lugares enfrentam um aumento nas atividades de ameaça, outros conseguem impedir que essas ameaças cheguem aos sistemas ICS.
Os dados globais refletem uma queda, com 20,1% dos computadores ICS reportando bloqueios de atividades maliciosas, o menor nível desde 2022. No entanto, essa média oculta realidades mais complexas: em algumas regiões, as ameaças aumentaram, enquanto, em outras, as defesas conseguiram parar as ameaças antes que chegassem aos sistemas.
A internet continua sendo a maior fonte de ameaças para a infraestrutura OT das empresas. Os riscos vêm também de e-mails e mídias removíveis, mas os índices de detecção caíram globalmente no terceiro trimestre de 2025. As ameaças baseadas na internet reduziram para 7,99%, o ponto mais baixo desde meados de 2022.
Essa queda não significa que os atacantes desistiram. Na verdade, mais ataques estão sendo detectados e neutralizados antes de causar danos. Sistemas de segurança melhoraram seu desempenho ao identificar sites e IPs maliciosos, barrando-os imediatamente. Quando um site é considerado uma ameaça, é rapidamente adicionado a uma lista de bloqueio que atualiza todos os demais sistemas de inteligência de ameaças.
As ameaças mais comuns bloqueadas em computadores ICS incluem scripts maliciosos, páginas de phishing e recursos da internet que estão na lista de bloqueio. Regionalmente, essa porcentagem varia de 4,57% no Norte da Europa a 10,31% na África, mais uma vez evidenciando a diferença na exposição e na maturidade das defesas.
Como resultado, menções a “sites bloqueados” são menos frequentes, já que muitos ataques são detectados mais tarde, muitas vezes na forma de scripts leves que conseguem passar por defesas devido a serem hospedados em plataformas legítimas. De forma simples, os atacantes mudaram a maneira de lançar ameaças, enquanto os defensores estão se saindo melhor na proteção inicial.
No terceiro trimestre de 2025, os riscos associados aos e-mails permaneceram quase inalterados, em 3,01%. Apesar desse número ser inferior ao das ameaças via internet, a situação muda dependendo da localização. No sul da Europa, os e-mails representam quase o mesmo nível de risco que o acesso à internet, principalmente porque o e-mail é crucial no trabalho industrial.
Essas ameaças em geral chegam na forma de documentos infectados, scripts maliciosos ou spyware. Apesar das advertências ao longo dos anos, o phishing ainda funciona, especialmente em ambientes OT, onde a conscientização dos funcionários e o controle de anexos são irregulares. Quando as práticas de segurança são mais fracas, o e-mail se torna um caminho fácil para a entrada de invasores.
Quanto às ameaças de mídias removíveis, essas caíram para 0,33%, o menor nível em anos. Isso pode parecer uma vitória, mas há um detalhe. Quando infecções via USB acontecem, elas costumam evitar o controle de segurança completamente. Vírus e spyware que entram pela mídia removível podem se espalhar rápido nas redes operacionais, mostrando falhas na proteção de pontos finais e nas políticas sobre USB.
Embora a disseminação de ameaças por meio de pastas de rede ainda seja relativamente rara, continua relevante em algumas regiões. Essas ameaças incluem vírus, malware direcionado a AutoCAD, vermes e spyware. As taxas de detecção variam de 0,006% no Norte da Europa a 0,20% no Leste Asiático.
Embora os números sejam pequenos, esse tipo de propagação interna geralmente indica uma segmentação de rede precária e sistemas legados, permitindo que malwares mais antigos se movam livremente uma vez introduzidos.
Esses dados expõem como os atacantes estão se adaptando e como a maturidade de segurança ainda varia bastante entre as regiões. Esse gap enorme se mantém; infecções visíveis em baixa sinalizam ataques mais direcionados, intrusões mais profundas e lacunas de segurança que diferem amplamente entre as regiões.
Dessa forma, na cibersegurança industrial, impedir ameaças na porta de entrada é um avanço. O real desafio está em garantir que nada se mova livremente dentro da rede, protegendo assim a integridade e a segurança das operações.