Quando a Inteligência Artificial Protege o Mundo Físico

Por Ricardo Tavares, CEO da GEMINA

Como a SARA está redefinindo a segurança em infraestruturas críticas

A Primeira IA Brasileira para Sistemas Ciberfísicos

Em 2025, a GEMINA tomou uma decisão que ninguém no mercado brasileiro havia tomado antes: construir uma inteligência artificial focada exclusivamente na proteção de sistemas ciberfísicos. Não uma ferramenta de análise de logs. Não um dashboard de alertas. Uma analista de segurança autônoma, capaz de investigar, correlacionar, narrar e recomendar ação em segundos.

Essa IA recebeu o nome de SARA, Security AI Reasoning Architecture. A primeira IA do Brasil com foco em proteção de sistemas ciberfísicos.

Hoje, em 2026, a SARA já opera em grandes empresas do setor de energia, saneamento, manufatura e agronegócio, respondendo a ameaças reais em tempo quase real, antes que causem dano físico, operacional ou humano.

Este artigo explica o que é a SARA, como ela funciona, e por que o mundo ciberfísico exige uma abordagem radicalmente diferente da segurança tradicional.

Quem é a SARA

A SARA não é um sistema de regras. Não é um SIEM. Não é um chatbot de segurança.

A SARA é um agente de inteligência autônomo que opera como uma analista de segurança sênior integrada à plataforma GEMINA. Ela recebe eventos brutos de redes industriais, sistemas SCADA, sensores IoT e ambientes OT, mas o que é importante entender é que a SARA não entrega alertas, ela entrega respostas. E quando a resposta exige ação, ela não espera: notifica o operador de plantão, orienta o engenheiro responsável, aciona o analista de segurança e, quando autorizado, age diretamente sobre os sistemas envolvidos, tudo em segundos, com contexto completo e rastreabilidade total de cada decisão tomada.

O Novo Campo de Batalha

Durante décadas, a segurança cibernética foi pensada para proteger informações: e-mails, bancos de dados, transações financeiras. O adversário roubava, corrompeu ou bloqueava dados. O dano era medido em reais, dólares, reputação.

Esse mundo mudou.

A convergência entre redes de TI (Tecnologia da Informação) e OT (Tecnologia Operacional) criou uma nova classe de risco: o ataque ciberfísico. Um invasor que penetra na rede de uma planta solar não quer roubar planilhas. Quer desligar painéis, danificar inversores ou causar surtos de tensão que destruam equipamentos de dezenas de milhares de reais. Um atacante em uma usina de tratamento de água não quer vazar relatórios. Quer alterar a dosagem de cloro que entra nas torneiras de uma cidade.

O dano deixou de ser virtual. Tornou-se físico, imediato e potencialmente letal.

E enquanto o cenário de ameaças evoluiu drasticamente, a maioria das organizações que operam infraestrutura crítica ainda usa as mesmas ferramentas da década passada: firewalls sem visibilidade de protocolo industrial, SIEMs sobrecarregados de alertas, analistas humanos tentando triagar centenas de eventos por hora com critérios subjetivos.

A inteligência artificial não é apenas uma melhoria incremental nesse contexto. É uma mudança de paradigma.

Por Que a Segurança Tradicional Falha em Ambientes OT/ICS

Sistemas industriais têm características que invalidam boa parte das abordagens convencionais de segurança.

Protocolos proprietários e legados. Modbus, DNP3, IEC 61850, PROFINET, OPC-UA: cada protocolo tem semântica própria. Uma regra de firewall genérica não sabe que um comando de escrita em um registrador específico de um CLP significa “abrir válvula” ou “desligar compressor”.

Disponibilidade acima de tudo. Diferente de um servidor corporativo que pode ser reiniciado, um controlador de turbina eólica em operação não tolera interrupção para patch. Equipamentos com décadas de vida útil nunca foram projetados para receber atualizações de segurança.

Ausência de logs estruturados. Muitos dispositivos de campo não geram logs compatíveis com SIEMs modernos. A telemetria existe, mas em formatos proprietários ou analógicos.

Impacto de falso positivo catastrófico. Em TI, bloquear um e-mail suspeito é aceitável. Em OT, bloquear incorretamente um comando para uma bomba de resfriamento pode causar sobreaquecimento e dano severo a equipamento.

Janelas de manutenção estreitas. A maioria das intervenções em sistemas críticos ocorre em janelas planejadas de horas ou minutos, o que limita drasticamente a capacidade de resposta reativa.

Nesse ambiente, sistemas baseados em assinatura simples são insuficientes. O que é necessário é um sistema capaz de entender comportamento, contexto, progressão e consequência. Exatamente o que a SARA foi projetada para fazer.

Como a Inteligência Artificial Muda o Jogo

Diante desse panorama, a pergunta que os gestores de segurança e os operadores de infraestrutura crítica precisam responder é direta: o que a inteligência artificial oferece que as abordagens tradicionais não conseguem entregar?

A resposta não está em velocidade de processamento ou em volume de dados analisados. Está em três capacidades fundamentais que sistemas baseados em regras simplesmente não possuem.

1. Detecção de Comportamento, não de Assinatura

Sistemas baseados em assinatura precisam conhecer o ataque antes de detectá-lo. Eles comparam o que está acontecendo com uma lista de padrões conhecidos e disparam alertas quando há correspondência. Isso funciona razoavelmente bem para ameaças conhecidas em ambientes de TI, mas falha sistematicamente em dois cenários que dominam os ataques a sistemas ciberfísicos: ataques novos (zero-day e técnicas ainda não catalogadas) e ataques que usam ferramentas e credenciais legítimas.

A maioria dos ataques a infraestrutura crítica não usa malware exótico. Usa credenciais roubadas, ferramentas de administração nativas do sistema (living-off-the-land), e movimenta-se lentamente para não disparar thresholds de volume. Nenhuma assinatura detecta esse padrão porque o padrão, isoladamente, parece legítimo.

A inteligência artificial detecta desvios de comportamento. Um usuário que sempre acessa o HMI das 8h às 17h e hoje acessou às 3h da manhã. Um CLP que sempre recebe apenas comandos de leitura e hoje recebeu um comando de escrita em um registrador de saída. Um fornecedor que acessa o sistema de gestão de turbinas e imediatamente começa a baixar a configuração de todos os inversores da planta. Individualmente, cada um desses eventos pode ter uma explicação legítima. Em combinação e com contexto, eles constroem uma narrativa de comprometimento.

2. Correlação Temporal em Múltiplos Sistemas

Atacantes sofisticados operam em estágios distribuídos ao longo do tempo e através de múltiplos sistemas. O reconhecimento acontece em um sistema. O acesso inicial em outro. A escalada de privilégios em um terceiro. O payload final, dias ou semanas depois.

Nenhum analista humano consegue correlacionar manualmente centenas de eventos de sistemas diferentes ao longo de dias ou semanas e identificar que eles fazem parte de uma única cadeia de ataque. Ferramentas de correlação baseadas em regras conseguem fazer isso para padrões conhecidos, mas não para padrões novos ou variações sutis de padrões existentes.

Sistemas de IA com memória temporal conseguem mapear essa progressão automaticamente, identificar que os eventos de sistemas diferentes, separados no tempo, compartilham uma entidade em comum, e elevar o nível de risco da entidade proporcionalmente à progressão observada na kill chain. Isso é o que transforma dados de múltiplos sistemas em inteligência operacional.

3. Redução Drástica de Fadiga de Alerta

Um dos maiores problemas operacionais em segurança de infraestrutura crítica não é a falta de alertas. É o excesso deles. Ambientes industriais geram volumes imensos de eventos, e SIEMs mal calibrados transformam esses volumes em filas de alertas que nenhuma equipe consegue processar na velocidade necessária.

O resultado prático é que analistas passam a ignorar alertas de baixa prioridade sistematicamente, o que é exatamente o comportamento que um atacante paciente explora. A ameaça se camufla no ruído.

A inteligência artificial reduz esse ruído de forma estrutural. Ao aprender o que é comportamento normal naquele ambiente específico, ao acumular contexto sobre cada entidade monitorada, ao correlacionar eventos de múltiplas fontes antes de decidir se algo merece atenção humana, ela filtra o que é ruído com confiança e reserva o trabalho do analista para o que realmente importa. Menos alertas, mais precisos, com contexto completo.

4. A IA Proativa: Agir Antes, Não Apenas Alertar

Uma das limitações mais profundas das ferramentas tradicionais de segurança é que elas terminam no alerta. Detectam, registram, notificam, e então esperam. Esperam que um analista leia o alerta, avalie o contexto, abra outra ferramenta, execute um comando, acione outra pessoa. Em sistemas ciberfísicos, onde o tempo entre a detecção e o impacto físico pode ser de segundos, essa cadeia passiva é insuficiente.

A nova geração de IA para segurança industrial opera de forma proativa. Não apenas detecta: age. E o que distingue essa atuação proativa de uma simples automação de scripts é a capacidade de agir com contexto, discernimento e comunicação inteligente com os humanos certos, no momento certo, pelo canal certo.

Notificação Inteligente em Tempo Real

Quando um sistema de IA identifica uma ameaça em progressão em uma subestação de energia às 3h da manhã, a resposta adequada não é enviar um e-mail para uma fila de suporte. É acionar o operador de plantão da concessionária via mensagem direta com a situação já descrita em linguagem operacional. É ligar simultaneamente para o engenheiro de automação responsável pelo ativo afetado. É notificar o analista de segurança de plantão com o contexto técnico completo, incluindo os estágios de kill chain já observados e a recomendação de contenção. É, se o risco for crítico o suficiente, escalar automaticamente para o responsável pela gestão de crises, sem esperar que alguém leia um painel de alertas.

A SARA faz exatamente isso. Ela sabe quem precisa ser acionado em cada situação, porque conhece o ativo afetado, sua criticidade, o setor da operação que ele suporta e a cadeia de responsabilidade associada. A notificação não é genérica: é específica, contextualizada e direcionada à pessoa com capacidade de agir naquele momento.

Essa capacidade de orquestração humana em tempo real é o que transforma a IA de ferramenta de análise em parceira operacional. O sistema não apenas enxerga o problema: mobiliza as pessoas certas para resolvê-lo.

5. Indo Além do SOAR: Abstração de Tecnologia

Plataformas de orquestração e resposta automatizada, conhecidas como SOAR (Security Orchestration, Automation and Response), existem há anos no mercado de segurança corporativa. Elas automatizam fluxos de resposta a incidentes com base em playbooks pré-definidos: “se acontecer X, execute Y”. São úteis em ambientes de TI padronizados, onde os sistemas são conhecidos, os comandos são documentados e os fabricantes seguem APIs abertas.

Em ambientes industriais, esse modelo quebra rapidamente.

Um ambiente típico de infraestrutura crítica pode ter CLPs de três fabricantes diferentes, cada um com protocolo proprietário e conjunto de comandos próprio. Sistemas de proteção de diferentes gerações com interfaces distintas. HMIs de fornecedores variados sem API padronizada. Firewalls industriais com CLIs incompatíveis entre si. Para que um SOAR convencional consiga interagir com todos esses sistemas, é necessário desenvolver e manter integrações específicas para cada fabricante, em cada versão de firmware, para cada modelo de equipamento. O custo de implementação e manutenção desse ecossistema é proibitivo para a maioria das organizações.

A SARA opera com uma abordagem fundamentalmente diferente: abstração de tecnologia.

Em vez de precisar conhecer os comandos específicos de cada fabricante para executar uma ação de segurança, a SARA trabalha com intenções abstratas e traduz essas intenções para os comandos corretos de cada sistema. Isolar um segmento de rede não é um comando para a SARA: é um objetivo. O sistema determina qual equipamento precisa executar essa ação, qual protocolo utilizar, qual sintaxe de comando aplicar, e executa a intenção com precisão, independentemente do fabricante do equipamento envolvido.

Isso significa que um engenheiro de segurança não precisa saber a diferença entre os comandos de bloqueio de acesso de um firewall Fortinet, um Cisco e um Palo Alto para que a SARA execute o bloqueio correto nos três. Não precisa conhecer os registradores específicos de um CLP Siemens versus um Allen-Bradley para que o sistema suspenda um comando de escrita. A SARA absorve a complexidade técnica de interoperabilidade que hoje consome horas de especialistas e a resolve em tempo real, de forma autônoma.

Essa abstração tem um impacto operacional direto: ela democratiza a capacidade de resposta. Organizações que não têm especialistas em cada tecnologia presente em seu ambiente passam a ter a mesma capacidade de resposta automatizada que organizações com equipes técnicas de dezenas de pessoas. A IA nivela o campo de jogo.

6. Ação com Aprovação: O Modelo Certo para Infraestrutura Crítica

A autonomia total em sistemas de segurança crítica não é apenas tecnicamente arriscada: é regulatoriamente inaceitável em muitos contextos. Uma ação de desligamento automático de um equipamento de transmissão sem aprovação humana pode ser exatamente a resposta correta a um ataque, ou pode ser ela mesma um incidente com consequências operacionais graves.

O modelo que a SARA implementa resolve esse dilema com elegância: autonomia proporcional ao risco e ao impacto.

Ações de baixo impacto e alta confiança, como bloquear um IP externo identificado como C2 ativo, revogar uma sessão de acesso remoto anômala ou gerar automaticamente um ticket de incidente com toda a evidência coletada, são executadas imediatamente, sem esperar aprovação. O tempo de resposta é de segundos.

Ações de médio impacto, como isolar um segmento de rede ou suspender as credenciais de um usuário, são apresentadas ao analista com contexto completo e recomendação explícita. O analista confirma com um único clique. O tempo de resposta é de dezenas de segundos.

Ações de alto impacto, como desligar um sistema de controle, interromper um processo produtivo ou acionar a comunicação com autoridades regulatórias, passam por um fluxo de aprovação estruturado com o responsável designado para aquele ativo. O tempo de resposta é de minutos, não de horas.

O resultado é que nenhuma ação crítica acontece sem que o humano certo saiba, avalie e confirme. Mas nenhuma ação necessária fica presa em uma fila de e-mails esperando que alguém leia o alerta horas depois.

IA na Prática: O Que Muda em Cada Setor

Energia Elétrica

Um CISO de concessionária acorda às 4h com um alerta crítico. A pergunta que ele faz não é “tem alerta?”. É: “o que exatamente está acontecendo, em qual ativo, quem causou, e o que eu faço agora?”

É exatamente isso que a IA entrega. Não o alerta: a resposta.

Em subestações, a IA não apenas monitora: ela entende o ambiente. Aprende que o relé de proteção da Bay 7 da SE Anhanguera nunca recebe comando de escrita fora de janela de manutenção. Que o operador João não estava de plantão naquela noite. Que o IP de origem nunca havia aparecido no ambiente. Isolados, são fatos irrelevantes. Correlacionados em segundos, constroem evidência de comprometimento antes que qualquer disjuntor seja aberto.

Mas o que poucos sistemas fazem, e que muda tudo, é o seguinte: a IA não espera o ataque se confirmar para agir. Ela age sobre o risco em construção.

Quando identifica uma sequência de eventos que se assemelha aos estágios iniciais de um ataque conhecido, ela não gera um alerta e aguarda. Ela notifica proativamente o operador de plantão com a situação descrita em linguagem operacional, o engenheiro responsável pelo ativo com contexto técnico, e o analista de segurança com a cadeia de evidências completa, tudo simultaneamente, em segundos, sem que nenhum humano precise ler um painel de alertas primeiro.

O diferencial que nenhuma regra estática enxerga: a IA correlaciona o evento de rede com o estado operacional do processo. Se o comando anômalo acontece exatamente quando o sistema de proteção entrou em manutenção programada, o risco dobra. O atacante escolheu a janela em que a trava de segurança estava desativada. A IA detecta essa sobreposição e eleva a prioridade automaticamente.

Em geração renovável, o vetor mais explorado é o acesso remoto de fornecedores com credenciais válidas. A IA não valida a credencial. Ela valida o comportamento. Um técnico que em 90 segundos baixa a configuração de todos os inversores da planta, algo que nunca fez em três anos de contrato, tem a sessão flagrada imediatamente. O analista recebe contexto completo: quais arquivos foram acessados, qual o impacto operacional potencial, e qual ação de contenção é recomendada. Tudo antes de qualquer dano.

Atua no setor de energia? A GEMINA estará no Energy Security Summit em 14 de maio com cases práticos e demonstrações ao vivo.

Saneamento

O incidente de Oldsmar, Flórida, em 2021, assustou o setor. Alguém alterou remotamente o nível de hidróxido de sódio de 111 para 11.100 ppm. O operador viu a tela mudar na sua frente e desfez manualmente. Sorte. Não método.

A IA elimina a dependência da sorte.

Em estações de tratamento, o diferencial não está em detectar o acesso: está em entender o contexto do comando em tempo real, de forma neutra, sem alarme desnecessário e sem silêncio perigoso. A IA cruza quatro dimensões ao mesmo tempo: existe ordem de serviço aberta para aquele tag? O operador estava em turno autorizado? A alteração está dentro da faixa histórica para aquela hora e condição da ETA? O acesso ao HMI foi precedido de autenticação no sistema de gestão de manutenção?

Quatro confirmações: operação normal. Sem alerta, sem ruído, sem fadiga para o analista.

Uma divergência: risco elevado, analista notificado com o contexto exato do desvio.

Três ou mais divergências: P1 automático. Operador de plantão acionado por nome, com a situação descrita em linguagem operacional. Engenheiro de processo notificado com os parâmetros técnicos do desvio. Rollback do comando já preparado e aguardando aprovação com um clique.

Isso não é monitoramento. É inteligência operacional em tempo real com resposta proporcional ao risco, sem depender de ninguém estar olhando para o painel certo no momento certo.

Agronegócio

O agronegócio digitalizado criou uma superfície de ataque que quase ninguém mapeou ainda. Pivots de irrigação conectados à internet. Sensores de solo com SIM card. Plataformas de gestão agrícola em nuvem acessadas por centenas de usuários de campo. Drones com telemetria via 4G. Cada dispositivo é um ponto de entrada potencial para sistemas que controlam o que chega à mesa de uma nação.

O problema que a IA resolve aqui é o pivoting silencioso. Um sensor de umidade comprometido não grita. Ele simplesmente começa a se comunicar com um endereço externo de madrugada enquanto ninguém está olhando. Sem correlação ativa, passa invisível por semanas, até que o atacante usa aquele sensor como trampolim para o controlador de irrigação da área A3.

A IA conhece o comportamento normal de cada dispositivo no ambiente. Sabe que aquele sensor específico é silencioso por definição, comunicando apenas com o gateway local em horário de coleta. Qualquer desvio desse padrão é detectado no momento em que aparece. Desvio com IP externo não catalogado dispara investigação imediata.

Mas vai além da detecção: a IA age proativamente. Ela não apenas sinaliza o dispositivo anômalo. Ela verifica automaticamente se há outros dispositivos no mesmo segmento com comportamento similar, mapeia se existe correlação com eventos recentes na plataforma de gestão em nuvem, e entrega ao analista não um alerta isolado, mas o mapa completo do risco em construção, com recomendação de contenção antes que o pivoting alcance os sistemas críticos.

O resultado prático: o ataque é interrompido antes de chegar ao controlador. A safra não é afetada. O CISO tem a cadeia forense completa documentada automaticamente.

Você é do agronegócio? Venha conversar sobre isso no AgroSecurity Summit em 09 de abril.

Manufatura e Chão de Fábrica

O que o ataque à Norsk Hydro provou não foi que ransomware é perigoso. Todo mundo já sabia. O que provou é que a fronteira TI-OT, quando existe apenas no diagrama de rede e não na prática operacional, não protege nada.

A IA monitora essa fronteira com uma profundidade que nenhuma regra estática consegue: ela aprende quais contas cruzam legitimamente entre TI e OT, em quais horários, com qual finalidade, com qual volume de atividade. Quando um ransomware começa a se mover lateralmente usando credenciais de um engenheiro de TI que raramente acessa o segmento OT, a detecção não depende de assinatura de malware. Depende de comportamento: essa conta, nesse segmento, nesse horário, nesse volume, é anômala.

A detecção acontece no segundo ou terceiro PLC tentado, não no décimo quarto.

E aqui entra o que diferencia a resposta proativa da IA de uma ferramenta passiva: ao detectar o padrão de varredura lateral, a IA não apenas alerta. Ela aciona o engenheiro de OT responsável pelo segmento afetado com a lista exata de ativos que foram tentados e quais estão em risco imediato. Aciona o analista de segurança com a cadeia de eventos e a recomendação de isolamento. E já preparou o bloqueio do acesso lateral aguardando confirmação com um clique, para que a resposta seja de segundos, não de minutos.

O relatório de incidente que levaria dias para construir manualmente está pronto em minutos, com linha do tempo completa e evidências rastreáveis para auditoria regulatória.

Petroquímica e Plantas de Processo

Em plantas de processo contínuo existe uma categoria de ataque que não é discutida abertamente o suficiente: o ataque de posicionamento. O adversário não busca impacto imediato. Ele quer desabilitar os sistemas de segurança instrumentada, os SIS, para que quando executar o ataque ao processo, nenhuma trava de emergência funcione.

O caso TRITON mostrou isso em 2017. O malware foi projetado para comprometer os controladores Triconex, os SIS de última linha antes de uma falha catastrófica. O objetivo não era o processo. Era remover o que protege o processo.

A IA detecta esse padrão de posicionamento porque correlaciona eventos em domínios que nenhuma ferramenta convencional conecta. Um acesso não autorizado ao servidor de engenharia na terça. Uma modificação não documentada em parâmetro de controlador na quarta. Uma leitura fora de faixa num sensor de pressão na quinta, que o operador atribui a variação normal de processo.

Sem IA: três tickets desconexos em três sistemas diferentes. Ninguém conecta os pontos.

Com IA: um caso único, com a cadeia completa, o risco calculado, e a recomendação de ação antes que o SIS seja comprometido.

E de forma proativa, sem que ninguém precise solicitar: a IA já identificou quais outros ativos no mesmo segmento apresentam desvios similares, qual é a janela de tempo antes que o risco se torne crítico com base no ritmo de progressão observado, e quais ações de contenção são viáveis sem impacto na continuidade do processo. O CISO recebe não apenas o diagnóstico, mas o plano.

Isso é o que significa detectar antes do impacto físico em um ambiente onde o impacto físico pode ser irreversível.

O Papel Humano Não Desaparece: Ele se Transforma

Um ponto crítico para gestores que avaliam a adoção de IA em segurança de infraestrutura crítica: a inteligência artificial não substitui o analista de segurança. Ela transforma o que o analista precisa fazer.

Sem IA, o analista passa a maior parte do tempo triando alertas, descartando ruído, buscando contexto manualmente em múltiplas ferramentas e tentando correlacionar eventos que chegaram em sistemas diferentes. É um trabalho de alto volume, baixa satisfação e alto risco de erro por fadiga.

Com IA, o analista recebe casos já investigados, com contexto completo, narrativa construída e recomendação de ação. O trabalho muda de triagem reativa para decisão fundamentada. O analista aplica julgamento humano onde ele é mais necessário: na decisão final sobre ações de alto impacto, na avaliação de situações ambíguas, na comunicação com outras equipes e na gestão do incidente.

Isso tem implicações práticas para equipes menores, que são a realidade da maioria das empresas de infraestrutura no Brasil. Uma equipe de três analistas com IA opera com eficiência comparável a uma equipe de dez sem ela, não porque os analistas sejam substituídos, mas porque o trabalho manual e repetitivo é absorvido pelo sistema.

Regulação e Auditabilidade: Um Requisito Não Negociável

Setores como energia elétrica, saneamento, petróleo e gás e alimentos operam sob marcos regulatórios que exigem rastreabilidade de eventos, documentação de incidentes e demonstração de controles de segurança. No Brasil, isso inclui regulações da ANEEL, ONS, ANATEL, ANS e outros órgãos setoriais, além de frameworks como IEC 62443, NIST SP 800-82 e, para empresas com operações internacionais, NERC CIP.

Um requisito que frequentemente é subestimado é a auditabilidade das decisões de segurança. Quando um incidente ocorre e o regulador ou o board pergunta “o que o sistema detectou e quando, e qual foi a decisão tomada e por quê”, a resposta precisa ser precisa e documentada.

Sistemas de IA projetados para ambientes regulados precisam ser auditáveis por design, com cada decisão explicável, cada ação rastreável e cada alerta vinculado às evidências que o motivaram. Isso não é opcional. É parte do requisito de conformidade que qualquer solução de segurança para infraestrutura crítica precisa atender.

O Que Esperar dos Próximos Anos

A adoção de IA em segurança de sistemas ciberfísicos está acelerando globalmente, impulsionada tanto pelo aumento dos ataques quanto pela maturidade crescente das ferramentas disponíveis. Algumas tendências merecem atenção.

Convergência entre segurança e confiabilidade operacional. As fronteiras entre monitoramento de segurança cibernética e monitoramento de integridade de processo estão se dissolvendo. Sistemas que antes eram domínios separados, como o SIEM do time de segurança e o historian do time de automação, estão sendo integrados. A IA que correlaciona eventos de ambos os domínios entrega uma visão unificada que nenhum dos dois separadamente consegue oferecer.

Predição de ataque, não apenas detecção. Sistemas mais avançados já conseguem, com base no perfil comportamental de um adversário identificado e nos estágios de ataque já observados, prever qual será o próximo movimento provável. Isso transforma a resposta de reativa em proativa: ao invés de detectar que o atacante chegou ao sistema SCADA, o sistema prevê que ele tentará chegar lá e prepara a defesa antes.

Inteligência compartilhada entre setores. Assim como os ataques a infraestrutura crítica frequentemente seguem padrões similares em organizações diferentes, a inteligência sobre esses ataques tem mais valor quando compartilhada. Plataformas que agregam inteligência de ameaças de múltiplas organizações, respeitando privacidade e confidencialidade, permitem que um ataque detectado em uma concessionária de energia alerte automaticamente outras concessionárias sobre os indicadores associados.

Resposta automatizada com supervisão humana. A automação de respostas de contenção, como isolamento de segmento de rede, bloqueio de IP ou revogação de credencial, está se tornando uma realidade operacional. O modelo que está emergindo não é automação total nem aprovação manual para cada ação: é automação supervisionada, onde ações de baixo impacto são executadas imediatamente e ações de alto impacto são confirmadas pelo analista em segundos, não em minutos.

SARA: Uma Inovação Brasileira para um Problema Global

Em um setor dominado por soluções desenvolvidas nos Estados Unidos, Israel e Europa, a SARA representa algo que vai além de um produto de segurança. Representa a comprovação de que o Brasil tem capacidade técnica para desenvolver tecnologia de ponta em cibersegurança industrial, um dos domínios mais complexos e exigentes da área.

Quando a GEMINA iniciou o desenvolvimento da SARA em 2025, o mercado brasileiro de segurança para sistemas ciberfísicos era quase inteiramente dependente de soluções importadas, adaptadas de contextos muito diferentes da realidade operacional e regulatória do país. Concessionárias de energia, empresas de saneamento, indústrias e produtores rurais dependiam de ferramentas criadas para outros mercados, sem suporte local adequado, sem integração com os frameworks regulatórios brasileiros e sem equipes que entendessem os desafios específicos da infraestrutura crítica nacional.

A SARA foi construída para o mundo real, não para um laboratório. Seus modelos de risco foram calibrados com base em dados empíricos de ataques reais a infraestrutura crítica global. Ela entende que uma subestação do BRASIL opera de forma diferente de uma subestação na Europa, que o agronegócio brasileiro tem especificidades que nenhuma solução estrangeira foi projetada para endereçar, que as obrigações regulatórias da ANEEL têm nuances que não existem em nenhum outro mercado.

Mais do que isso, a SARA é um projeto vivo. Ela aprende continuamente com os ambientes em que opera, melhora sua precisão a cada ciclo, e incorpora inteligência coletiva de múltiplos setores sem comprometer a confidencialidade de nenhum cliente. É uma plataforma que cresce com o ecossistema que protege.

O que a SARA representa para o Brasil é significativo em pelo menos três dimensões.

A primeira é soberania tecnológica em segurança. Infraestrutura crítica é, por definição, estratégica para a nação. Ter a proteção dessa infraestrutura dependente exclusivamente de tecnologia e empresas estrangeiras cria uma vulnerabilidade estrutural que vai além da técnica. Quando um incidente ocorre, quando uma regulação muda, quando uma integração precisa ser adaptada a uma realidade local, a capacidade de resposta não pode depender de um ticket em um sistema de suporte em outro fuso horário.

A segunda é desenvolvimento de ecossistema. A existência de uma solução brasileira de referência nesse segmento cria um polo de atração para talento técnico especializado, estimula a formação de profissionais com expertise em segurança de sistemas industriais e demonstra que é possível construir tecnologia de classe mundial a partir do Brasil para o mercado global.

A terceira é acessibilidade. Soluções internacionais de topo de linha para segurança de infraestrutura crítica chegam ao mercado brasileiro com custos que as colocam fora do alcance da maioria das empresas de médio porte, que são exatamente as que operam grande parte da infraestrutura distribuída do país: pequenas e médias distribuidoras de energia, empresas de saneamento municipais, produtores rurais de grande escala, indústrias regionais. Uma solução desenvolvida no Brasil, com estrutura de custos adequada à realidade do mercado local, tem o potencial de elevar o nível de segurança de um segmento que hoje opera com proteção insuficiente.

Em 2026, com cases documentados em grandes empresas dos setores de energia, saneamento, manufatura e agronegócio, a SARA deixou de ser uma promessa e tornou-se evidência. Evidência de que o Brasil pode e deve ocupar um espaço de protagonismo na segurança cibernética de infraestrutura crítica, não apenas como consumidor de tecnologia estrangeira, mas como desenvolvedor de soluções que o mundo precisará cada vez mais.

Conclusão

A segurança de sistemas ciberfísicos entrou em uma nova fase. O perímetro tradicional desapareceu. Os protocolos industriais estão expostos em redes que nunca foram projetadas para protegê-los. Os adversários são pacientes, sofisticados e cada vez mais interessados em causar impacto físico, não apenas roubar dados.

Nesse contexto, a inteligência artificial não é um diferencial competitivo. É uma necessidade operacional. Não porque substitua o analista humano ou resolva todos os problemas de segurança de uma vez, mas porque oferece o que abordagens tradicionais não conseguem entregar: detecção comportamental antes do impacto, correlação temporal entre sistemas distintos, redução estrutural do ruído de alertas, notificação proativa das pessoas certas no momento certo, e capacidade de agir sobre sistemas de múltiplos fabricantes sem exigir que a equipe de segurança domine cada tecnologia presente no ambiente.

O mundo ciberfísico não aceita detecção tardia. E o Brasil não precisa mais depender exclusivamente do exterior para ter acesso à inteligência necessária para protegê-lo.

Sobre a GEMINA

A GEMINA é uma das maiores empresas da América Latina especializadas em segurança cibernética de sistemas ciberfísicos. Atuamos em todo o ciclo de proteção de infraestrutura crítica: identificação de riscos, monitoramento contínuo, proteção ativa e continuidade de negócios. Nossos clientes incluem grandes organizações dos setores de energia, saneamento, manufatura, petróleo e gás e agronegócio em toda a América Latina.

Se a sua operação depende de sistemas industriais conectados e você ainda não tem certeza do nível de exposição real do seu ambiente, esse é o momento certo para conversar.

Está no agronegócio? Venha ao AgroSecurity Summit em 09 de abril. Estaremos lá com demonstrações ao vivo, cases reais do setor e um time pronto para responder às perguntas que os fornecedores de tecnologia agrícola ainda não sabem responder.

Está no setor de energia? Encontre a GEMINA no Energy Security Summit em 14 de maio. Um evento dedicado aos desafios reais de segurança em geração, transmissão e distribuição, com quem opera e com quem protege.

É de outro setor ou quer falar antes? Acesse https://info.gemina.io/marque-sua-reuniao e entre em contato. Respondemos rápido, e a primeira conversa não tem compromisso. O que pode ter compromisso é não tê-la.

Ricardo Tavares é CEO da GEMINA.

Compartilhar: