NCSC atribui 75% dos 200 ataques a infraestrutura critica britanica a Estados hostis e adota doutrina de prepositioning ao nomear Volt Typhoon

O chefe do National Cyber Security Centre (NCSC) do Reino Unido, Richard Horne, afirmou em palestra no Royal United Services Institute (RUSI) que tres quartos dos ataques contra infraestrutura critica nacional britanica no ultimo ano sao atribuidos a Estados hostis. Foram mais de 200 incidentes contra infraestrutura critica em 12 meses ate maio de 2026, com cerca de quatro incidentes “nacionalmente significativos” por semana. Horne foi explicito ao citar o Volt Typhoon chines como exemplo do padrao de “prepositioning” agora observado no Reino Unido.

O que aconteceu

Na palestra anual de seguranca do RUSI, em Londres, Horne consolidou a guinada da diplomacia cibernetica britanica: o Reino Unido nao se prepara mais para um futuro conflito ciberespacial; ele ja esta na “fase de abertura” desse conflito. O alvo nao e apenas o setor financeiro ou alguns ministerios, mas a propria espinha dorsal de servicos publicos, energia, telecomunicacoes, agua, saude e transporte que sustenta a vida nacional cotidiana.

O numero divulgado por Horne (75% dos 200 ataques a infraestrutura critica vinculados a atores estatais) e uma das maiores admissoes publicas de atribuicao ja feitas por uma agencia ocidental fora dos Estados Unidos. Historicamente, a inteligencia britanica foi mais reservada que Washington quanto a nomear publicamente intrusoes, justamente para nao entregar capacidade detectiva ao adversario.

A mudanca de postura sinaliza tres coisas em uma so frase: a sofisticacao defensiva do NCSC amadureceu, o volume de atividade hostil cresceu a um patamar politicamente insustentavel para o silencio, e o governo do Reino Unido decidiu que a dissuasao publica passou a valer mais do que o sigilo metodologico.

Como o adversario opera: a doutrina do prepositioning

O conceito central do discurso e o de “prepositioning”: adversarios estabelecendo pontos de apoio em redes de infraestrutura critica nao para roubo de dados imediato nem para extorsao financeira, mas para garantir capacidade de sabotagem fisica em caso de conflito futuro. O caso paradigmatico citado e o Volt Typhoon, grupo associado ao Estado chines exposto pelos Estados Unidos como tendo se infiltrado em sistemas de agua, energia e telecomunicacoes norte-americanos com a finalidade explicita de habilitar disrupcao em massa em cenarios de tensao geopolitica.

“No ciberespaco, nao estamos nos preparando para os conflitos de amanha. Ate certo ponto, estamos lutando-os hoje. O alvo cinetico em qualquer conflito futuro sera baseado em inteligencia coletada hoje.”

Richard Horne, CEO do NCSC

Horne descreveu essas operacoes como “estabelecer pontos de apoio em tecnologia que sustenta a infraestrutura critica nacional, possibilitando exploracao rapida para causar disrupcao em massa em tempo de conflito”. E uma mudanca de modelo mental: nao se trata mais de espionagem economica ou roubo de propriedade intelectual, mas de cartografar e preparar terreno para a guerra hibrida.

Setores e riscos sob ataque

• Energia e distribuicao eletrica (alvo prioritario por interconexao com tudo o mais)
• Telecomunicacoes e infraestrutura submarina (vetor de inteligencia e dependencia critica)
• Servicos de agua e saneamento (alto impacto humanitario com baixa proteccao OT)
• Sistema de saude (NHS, alvo recorrente de ransomware e potencial vetor de panico social)
• Setor financeiro (continuidade da economia em cenario de tensao)
• Cadeia de suprimentos publica (gatilho para efeito cascata)

A logica do “ecossistema de suporte” e importante: os 200 incidentes nao se restringem aos operadores diretos de infraestrutura, mas incluem fornecedores, integradores, prestadores de servicos gerenciados e contratados governamentais que tocam essa infraestrutura. E o reconhecimento institucional de que ataque a supply-chain virou o caminho de menor resistencia para atingir o alvo final.

Analise

A fala de Horne se encaixa em uma virada de vocabulario que vem se cristalizando no Ocidente desde o conceito estrategico da OTAN de 2022, que declarou o ciberespaco “contestado em todos os momentos”. Comandantes do US Cyber Command vem repetindo que ataques abaixo do limiar de guerra estao produzindo “efeitos estrategicamente consequentes”. O que muda em 2026 e a transicao do discurso teorico para a contabilidade publica: numeros, nomeacao de campanhas, atribuicao explicita.

Para o Brasil, ha dois aprendizados imediatos. Primeiro, o modelo de “prepositioning” e exportavel: nada impede que infraestrutura critica brasileira (em particular Setor Eletrico, Eletrobras e ONS, agua e saneamento estaduais, e telecomunicacoes) ja seja objeto de operacoes analogas, com ou sem deteccao formal por nossas agencias. Segundo, o GSI, a ANPD, o CTIR.Gov e o futuro National Cybersecurity Agency brasileiro precisarao decidir se seguem o caminho britanico (transparencia parcial com atribuicao publica) ou o silencio tradicional. A pressao por accountability tende a crescer a medida que casos como o do Ministerio da Saude (2021) e as ondas de ransomware contra estatais ganham nova leitura sob a otica de Estado hostil.

Horne tambem fez uma observacao que vale ser repetida em pautas executivas brasileiras: comparar o nivel de seguranca da sua organizacao com o de pares do setor e uma metrica enganosa, porque o adversario nao e o concorrente: e o opositor capaz. O benchmark relevante e contra a capacidade do atacante, e essa capacidade hoje e estatal, persistente e bem financiada.

Recomendacoes praticas

• Para operadores de infraestrutura critica: cace ativamente sinais de prepositioning (acessos persistentes, ferramentas living-off-the-land, contas de servico anomalas, conexoes RDP/SSH a partir de equipamentos OT)
• Reduza superficie OT exposta a internet (configure NAT, jump hosts e segmentacao Purdue rigorosa)
• Implemente deteccao de comportamento em redes OT/ICS (anomalias em PLCs, mudancas de logica de processo, comandos fora de janela)
• Audite cadeia de suprimentos com criterios de seguranca obrigatorios (fornecedores de software, MSPs, integradores OT)
• Aplique principios de Zero Trust em acesso remoto de funcionarios e terceiros
• Trate o investimento em ciberseguranca como continuo e indefinido: nao existe “ja terminamos”
• Compartilhe inteligencia com o CTIR.Gov e seus pares setoriais; intrusao em um e indicador para todos

Fonte: The Record