Todo prédio inteligente tem uma promessa: mais controle. Controle do clima, da energia, dos elevadores, de quem entra e de quem sai. O que poucos materiais de venda mencionam é que esse mesmo controle, se mal protegido, pode ser virado contra o edifício. Quanto mais conectado o prédio, maior a superfície de ataque. E os sistemas que controlam a parte física de um edifício nasceram, em sua maioria, sem nenhuma defesa.
Cibersegurança em automação predial é o assunto que ninguém coloca no folheto, mas que decide se o seu prédio inteligente é um ativo ou uma vulnerabilidade. E a boa notícia é que a proteção existe. O problema, quase sempre, é que ela não é aplicada.
Protocolos que nasceram sem segurança
Os sistemas que controlam a parte técnica de um edifício falam por protocolos industriais como BACnet e Modbus. Eles foram criados décadas atrás, em uma época em que esses sistemas eram fisicamente isolados, sem conexão com o mundo externo. Por isso, foram projetados para confiabilidade e interoperabilidade, não para resistir a ataques. Não têm criptografia nem autenticação por padrão.
Enquanto ficaram isolados, isso não era problema. O problema nasceu quando esses sistemas passaram a se conectar à internet e à rede de TI, para permitir monitoramento remoto e painéis na nuvem. Levantamentos de segurança já identificaram dezenas de milhares de dispositivos BACnet e KNX expostos diretamente à internet, e um número ainda maior de equipamentos legados vulneráveis espalhados pelo mundo. Cada um deles é uma porta que ficou aberta porque a proteção não acompanhou a conexão.
Onde mora o risco
O perigo real não é abstrato. Um sistema de automação predial comprometido permite cenários concretos: desligar a climatização de um ambiente crítico, travar elevadores, manipular o controle de acesso, ou usar o sistema do prédio como ponto de entrada para a rede corporativa de quem ocupa o edifício.
O ponto mais frágil costuma ser a convergência entre o mundo da operação (OT) e o da tecnologia da informação (TI). Em prédios que conectam sistemas antigos a redes modernas sem segmentação, um invasor que entra por um equipamento frágil pode se mover lateralmente até alcançar sistemas sensíveis. O retrofit, tão comum em edifícios em operação, agrava isso: conecta equipamentos legados, às vezes rodando sistemas operacionais obsoletos, à rede moderna, e adiciona túneis de acesso remoto de fornecedores que trazem vetores de ataque de TI para dentro de um ambiente que antes era isolado.
O que já existe para proteger
A defesa não precisa ser inventada, precisa ser aplicada. No campo dos protocolos, o KNX lançou o KNX Secure, com criptografia e certificação de produtos, e o BACnet ganhou o BACnet Secure Connect, que adiciona segurança de transporte. São padrões disponíveis hoje.
Mas a maior parte do risco se resolve com boas práticas de TI aplicadas ao mundo da automação: segmentar a rede de automação da rede corporativa, controlar e registrar o acesso remoto, manter equipamentos atualizados e monitorar o tráfego em busca de anomalias. Nenhuma dessas medidas é exótica. Elas são padrão em qualquer ambiente de TI sério, e precisam ser padrão também no edifício inteligente, porque agora ele é um ambiente de TI tanto quanto de engenharia.
O que exigir de quem instala
Aqui está a parte que importa para quem decide. Você não vai configurar a segurança do prédio com as próprias mãos, mas pode, e deve, exigir que ela exista. A diferença entre um sistema seguro e um vulnerável está menos no equipamento e mais em como o integrador trabalha.
Um bom projeto trata a segurança como parte do escopo, não como detalhe. Ele mapeia o que está conectado, segmenta a rede de automação, controla o acesso remoto dos fornecedores, usa protocolos seguros onde há suporte e documenta tudo. O passo a passo desses cuidados está estruturado nas etapas deste artigo, e serve como um roteiro de perguntas para fazer a quem instala. Se ninguém no projeto consegue responder como esses pontos são tratados, essa é a resposta. A mesma atenção que se dá à cibersegurança de uma casa conectada vale, multiplicada, para um edifício inteiro, onde a falha não afeta uma família, e sim centenas de pessoas.
Em resumo
- Quanto mais conectado o prédio, maior a superfície de ataque; os protocolos prediais nasceram sem segurança
- BACnet e Modbus não têm criptografia nem autenticação por padrão, e dezenas de milhares de dispositivos estão expostos à internet
- Os riscos são concretos: desligar climatização crítica, travar elevadores, manipular acesso ou invadir a rede corporativa
- O retrofit e a convergência OT/TI são os pontos mais frágeis quando se conecta sem segmentar
- A proteção já existe: KNX Secure, BACnet Secure Connect e boas práticas de segmentação, acesso e atualização
- A segurança do prédio se exige de quem instala: mapear, segmentar, controlar acesso remoto, atualizar e documentar
Sobre a INBUILD
Especialistas em automação residencial, home theater, redes e segurança para residências e empreendimentos de alto padrão no litoral de Santa Catarina.
Conhecer a INBUILDO olhar da INBUILD
A INBUILD trata a cibersegurança como parte do projeto de automação predial, não como um detalhe deixado para depois: rede de automação segmentada, acesso remoto controlado, protocolos seguros onde há suporte e documentação completa. Em mais de 5.000 projetos de tecnologia em Balneário Camboriú e região, ao longo de mais de 20 anos, aprendemos que um edifício inteligente só é um bom ativo se for também um ativo protegido. Conectar é fácil. Proteger é o que separa um integrador sério de quem só liga os cabos.
