Uma nova pesquisa da Claroty, empresa especializada na proteção de sistemas ciberfísicos (CPS), revela que os sistemas de gestão predial (BMS) e automação predial (BAS) estão amplamente expostos a riscos cibernéticos. O relatório, elaborado pelo Team82, braço de pesquisa da empresa, analisou quase meio milhão de dispositivos em mais de 500 organizações e identificou um cenário preocupante: 75% dessas organizações possuem sistemas afetados por vulnerabilidades exploradas conhecidas (KEVs).
Ainda mais alarmante, 51% das organizações impactadas também apresentam KEVs ligadas a ransomware e dispositivos conectados de forma insegura à internet. Dentro desse grupo, 2% dos dispositivos operam no mais alto nível de exposição, representando riscos diretos à continuidade das operações críticas.
BMS vulneráveis colocam infraestruturas críticas em risco
Os BMS são responsáveis pelo controle de sistemas essenciais em prédios comerciais, data centers, hotéis e instalações de varejo, como HVAC, energia, elevadores, iluminação e segurança. A combinação entre vulnerabilidades conhecidas e exposição online torna esses dispositivos alvos fáceis para agentes maliciosos.
“Muitas vezes, os BMS e BAS são operacionalizados na rede sem considerar as implicações de cibersegurança”, diz Grant Geyer, Chief Strategy Officer da Claroty.
A pesquisa destaca que, à medida que esses sistemas são integrados para otimizar operações — com foco em gestão remota e análise de dados — a exposição a ataques se torna ainda mais crítica. Por isso, a Claroty defende uma abordagem baseada em gerenciamento de exposições, com foco na identificação e priorização dos dispositivos mais arriscados, otimizando tempo e recursos das equipes de segurança.
Segurança ciberfísica exige visibilidade e proteção total
A chegada em massa de dispositivos de IoT aos ambientes prediais trouxe ganhos de eficiência, mas também abriu portas para novas ameaças. A negligência na segurança desses sistemas pode resultar em impactos severos e dispendiosos.
“Proteger apenas os equipamentos de TI já não é suficiente para garantir a segurança e a integridade de todo o ambiente. A chegada dos dispositivos de IoT trouxe eficiência, mas também desafios críticos que continuam sendo subestimados. O ataque pode vir de onde menos se espera — um ar-condicionado, sistema de incêndio, elevador ou estação de tratamento de água. Cada um desses ativos é um potencial vetor de ameaça e deve ser protegido com o mesmo nível de atenção. A segurança real exige visibilidade e proteção de todos os dispositivos conectados”, afirma Italo Calvano, Vice-Presidente Regional para a América Latina na Claroty.
O executivo também alerta para os impactos operacionais de ataques bem-sucedidos: “O que se ganha em eficiência e conveniência pode representar um risco real se não for adequadamente protegido — por exemplo, o resfriamento de data centers ou a refrigeração de produtos perecíveis no varejo, que são sistemas críticos que podem ser abruptamente interrompidos se comprometidos.”
Estratégia de proteção precisa envolver toda a estrutura organizacional
A pesquisa reforça que as organizações que integram segurança à transformação digital ganham uma oportunidade estratégica: proteger os sistemas de gestão predial e garantir a continuidade de suas operações. Isso envolve compreender o contexto operacional completo e adotar frameworks de segurança que permitam avaliações realistas do risco — tanto para as equipes técnicas quanto para os executivos.
O relatório completo, intitulado “O Estado da Segurança de Sistemas Ciberfísicos 2025: Exposições em Sistemas de Gestão Predial”, oferece um panorama detalhado das tendências de exposição em sistemas BMS e BAS, além de recomendações práticas para mitigação dos riscos.
