Julia Maria Gomez de Avila Segade | 09/10/2025
Em todo o mundo, a base que sustenta a vida diária se apoia em tecnologias com décadas de antiguidade. Certas instalações não evoluem nem se atualizam no mesmo ritmo de desenvolvimento da sociedade, o que configura um verdadeiro risco para a segurança coletiva.
Enquanto as ameaças digitais e suas soluções evoluem rapidamente, muitas das infraestruturas básicas ainda dependem de softwares sem suporte, sistemas ultrapassados ou componentes industriais que não foram concebidos para estar conectados à internet. Hoje, o risco já não é uma teoria, mas um problema operacional que pode causar incidentes graves.
Esse descompasso é um fator crescente que ameaça à segurança, a resiliência diante de falhas e a continuidade dos serviços. Quando os equipamentos ou protocolos que sustentam redes de energia, água, transportes, comunicações ou saúde param de receber suporte, peças de reposição ou atualizações, eles perdem a confiabilidade, mesmo que permaneçam em funcionamento.
Motivos principais
As razões para a obsolescência tecnológica se devem a diversos fatores. Duas das mais evidentes são a idade e o ciclo de vida dos sistemas. Muitos foram originalmente projetados para durar várias décadas, mas, com o tempo, os fabricantes interromperam a produção de peças de reposição ou a atualização do firmware. Para muitos operadores, a opção de prolongar a vida útil desses equipamentos é entendida como uma forma de reduzir custos. Contudo, isso introduz riscos importantes, como alertado em estudos como o relatório Gestão de riscos e cumprimento da normativa em locais perigosos envelhecidos, elaborado pelo Centro Comum de Investigação da Comissão Europeia. O estudo adverte sobre a necessidade de combater a obsolescência para diminuir os perigos associados.
Outro desafio chave é a dependência tecnológica e a chamada “dívida técnica”. Com o passar dos anos, as integrações pontuais e os “patches sobre patches” resultam em sistemas tão heterogêneos que sua manutenção se torna difícil. Paralelamente, verifica-se uma ausência de pessoal especializado na resolução dessa obsolescência tecnológica, o que agrava o risco. A ENISA, a Agência da União Europeia para a Cibersegurança, identificou a escassez de habilidades e sistemas sem patches como ameaças principais para 2030.
Um fator adicional é a compatibilidade: muitos sistemas antigos não foram concebidos para se integrar às tecnologias atuais. Isso significa que eles não contam com protocolos de segurança modernos, como criptografia ou autenticação robusta, o que torna sua atualização ainda mais complicada. Esse é um aspecto especialmente crítico em setores como energia, água ou comunicações, onde qualquer falha na infraestrutura pode ter consequências críticas.
Por fim, também influenciam os fatores econômicos e regulatórios. Os investimentos costumam se concentrar na expansão ou no curto prazo, adiando a renovação. As regulamentações desatualizadas e a falta de clareza nas responsabilidades também desempenham um papel importante na ausência de previsão. Por isso, há alguns anos, o marco europeu chegou à conclusão de que era necessária uma mudança no modo como essas infraestruturas críticas são gerenciadas e mantidas.
Europa, em busca de resiliência
Em 2022, duas diretivas entraram em vigor na União Europeia com um objetivo claro: reduzir os riscos e reforçar a resiliência das infraestruturas críticas e digitais contra ameaças tanto online quanto offline. Isto engloba um vasto espectro, incluindo saúde pública, desastres naturais, ciberataques e outros riscos. A seguir, mencionamos as duas Diretivas da União Europeia focadas na resiliência:
1. Diretiva sobre Resiliência de Entidades Críticas (CER). Substituiu a Diretiva Europeia de Infraestruturas Críticas de 2008. O objetivo da nova norma é fortalecer a resiliência contra diversas ameaças e abrange entidades como energia, transporte, bancos, mercados financeiros, saúde, água (potável e residual), infraestruturas digitais, administrações públicas e alimentação.
Os estados-membros da UE devem se adequar realizando uma avaliação de riscos pelo menos a cada quatro anos para detectar as entidades críticas que prestam serviços essenciais, visando a implementação de medidas adequadas e a comunicação de incidentes, bem como a adoção de uma estratégia nacional.
2. Diretiva relativa às medidas para um elevado nível comum de cibersegurança em toda a União Europeia (NIS 2). Esta diretiva busca garantir uma Europa mais segura e forte, ampliando os setores e tipos de entidades críticas incluídas em seu escopo de aplicação. Além disso, eleva os requisitos de gestão de riscos que as empresas estão obrigadas a cumprir, agilizando a obrigação de notificação de incidentes.
Inclui prestadores de redes, serviços públicos de comunicações, centros de dados, gestão de resíduos e águas residuais, fabricação de produtos básicos, serviços postais e de correio, administrações públicas e setor da saúde, entre outros. Desde sua aprovação, representa a primeira legislação sobre cibersegurança em nível europeu.
O impacto por setores
ENERGIA
O mundo depende da energia, que é crucial praticamente em todas as atividades. As redes elétricas atuais combinam equipamentos antigos com novos nós inteligentes. A sua obsolescência pode causar interrupções locais e amplificações. Estudos sobre smart grids, sistemas de distribuição elétrica que integram tecnologia digital e de comunicação para otimizar o fornecimento, mostram que aumenta a exposição quando componentes antigos não são atualizados.
ÁGUA
Outra infraestrutura crítica é a água. As estações de tratamento e as redes de abastecimento de água utilizam PLCs (Controladores Lógicos Programáveis) e SCADA (Supervisão, Controle e Aquisição de Dados) com interfaces defasadas. Por isso, falhas ou vulnerabilidades não corrigidas podem comprometer a qualidade da água ou a disponibilidade do serviço, afetando a saúde pública.
TRANSPORTES
O sistema ferroviário é um dos mais obsoletos, mas não é o único. Sinalização ferroviária, controle de tráfego aéreo e gestão do tráfego rodoviário empregam controladores e protocolos herdados. A sua atualização é complexa devido aos requisitos de certificação e segurança funcional, o que frequentemente leva ao prolongamento da vida útil de sistemas arcaicos e à elevação do risco operacional.
TELECOMUNICAÇÕES
Embora o setor seja bastante dinâmico, alguns elementos da infraestrutura passiva (como redes de retorno, sistemas de suporte de operações ou empresas e equipamentos de operadores locais) podem se tornar obsoletos. Além disso, a dependência de hardware específico e a falta de suporte criam vetores de falha e possíveis vulnerabilidades.
Ações de operadores e reguladores
As maiores responsabilidades para evitar que a obsolescência tecnológica se torne uma ameaça nos setores críticos recaem sobre operadores e reguladores. Segundo diferentes órgãos, estas seriam algumas soluções práticas:
- Elaborar um inventário e uma análise da gestão do ciclo de vida
- Criar segmentação e aplicar controles compensatórios quando a substituição imediata não for possível
- Apostar em uma modernização progressiva, com migrações em camadas para minimizar interrupções
- Evitar redundância e impulsionar os designs resilientes
- Desenvolver políticas de manutenção e suporte estendido
- Promover a capacitação e retenção do talento
- Realizar avaliações frequentes e testes de estresse
Na Espanha, o Centro Nacional de Proteção de Infraestruturas Críticas, em seu Plano de Proteção Específico, desenvolve uma linha que prioriza as ações com base no risco, estrutura as medidas de segurança de acordo com sua natureza, atribui responsabilidades na implantação das medidas, realiza um planejamento completo e detalhado e, por fim, estabelece um mecanismo de acompanhamento através de métricas que permitam conhecer o estado das ações.
Em síntese, a obsolescência em infraestruturas críticas não é apenas uma questão de manutenção, mas é um desafio organizacional, financeiro e regulatório. A boa notícia é que o marco europeu oferece um roteiro claro, mas a pressão do tempo continua sendo um fator crítico. A estratégia mais eficaz será aquela que combine uma modernização planejada com um cumprimento normativo rigoroso. O verdadeiro desafio é alcançar uma coordenação efetiva entre governos, reguladores, operadores e prestadores, para garantir que as infraestruturas essenciais não se tornem um ponto vulnerável devido ao envelhecimento tecnológico.
