Com poucos meses para a concretização da resolução 964 da Agência Nacional de Energia Elétrica (Aneel), que busca que o setor elétrico faça a adaptação para as novas regras de segurança cibernética, as instituições se apressam para ficar a par das exigências e para incluir os sistemas de proteção dos ativos no dia a dia.
A medida é de extrema importância pensando que os ataques cibernéticos neste setor aumentaram durante a pandemia. Algumas vítimas desses ataques foram: Eletronuclear, Light, EDP, Energisa.
Normalmente, os ataques causam apagões e blecautes e a indisponibilidade do Sistema de Supervisão e Aquisição de Dados (Scada). Com a empresa Eletronuclear, a questão se mostra mais crítica por estar relacionada a usinas nucleares.
A subsidiária da Eletrobras diz não ter encontrado dificuldades na operação ou segurança. Houve ainda o reforço por parte do superintendente de Tecnologia de Informação e Comunicação (TIC) da Eletronuclear, Rodrigo Costa dos Santos, que diz que a empresa está trabalhando arduamente, participando no Exercício Guardião Cibernético (EGC), por exemplo, que pode ser visto hoje como o maior treinamento de proteção cibernética do hemisfério sul.
Segundo dos Santos, “As redes operativas das usinas [de Angra 1 e 2] e a rede corporativa não possuem ligação. Somente a rede corporativa tem acesso à internet. Nos últimos anos fizemos diversos investimentos, destacam-se o reforço do nosso plano de continuidade de TIC, maior rigidez nas rotinas de atualização dos softwares e contratação de um Centro de Operações de Segurança para monitoramento dos ativos”.
Uma empresa que já recebeu ataques é a EDP e agora toma providências para melhorar a situação. Milton de Jesus Almeida, o gerente de Gestão de Risco da Segurança da Informação da EDP no Brasil, revela que desde o acontecimento investiu no fortalecimento da gestão de risco e na colaboração com universidades e as forças armadas.
Como reforça Almeida, “em função das necessidades regulatórias, começamos um programa interno (…). A gente se sente preparado para responder aos incidentes, mas passamos por uma fase de grandes transformações e a pandemia trouxe o risco cibernético para uma arena muito atípica.”
O sentimento de Almeida é de conflito constante e com a situação atual geopolítica a uma grande quantidade de ferramentas para ataques foram criadas, assim como formas de extrair informações. “O eixo composto por Belarus, Rússia, China e outros países do leste europeu estão tentando criar uma desestabilização e eles vão tentar isso em infraestrutura crítica. E isso é mais crítico ainda no setor elétrico”, destaca.
Segundo o relatório trazido pelo Centro de Estudos Estratégicos e Internacionais (CSIS) e Trellix 85% sentem que sofreram ataques cibernéticos e apenas 9% dos operadores de infraestrutura crítica não possuem um plano de segurança.
A empresa AES Brasil está entre as geradoras que estão protegendo os ativos e cuidando dessas questões. Anualmente o valor para suportar os serviços de cibersegurança no país é de R $1,7 milhão. Carlos Sussman, gerente de cyber da América do Sul, revela que a preocupação com a infraestrutura parte desde o começo dos projetos. Com o crescimento das tecnologias, grande parte das unidades de transmissão e geração de energia funcionam de forma remota.
De acordo com ele, “nenhum controle de segurança é 100% seguro, por isso usamos uma série de controles de segurança, que funcionam como barreiras para filtrar as possíveis ameaças, além do programa de capacitação de pessoas”
No setor de compartilhamento de energia, a empresa Light em 2021 fez um investimento maior do que em quatro anos, chegando a 170% a mais. Para Alexandre Santos, superintendente de Tecnologia da Light, “a empresa está concluindo o Plano Estratégico de Segurança da Informação (PESI), que inclui as ações para atender as normas de segurança cibernética previstas na resolução 964, editada pela Aneel em 2021. Em 1º de julho, a Light estará adaptada às exigências normativas com, por exemplo, ações de Operation Technology (OT) ou Cyber Operation Technology – Cyber OT – relacionadas à segurança operacional dos recursos de engenharia da companhia”.
Além disso, é importante ressaltar que a empresa que não estiver de acordo com as normas de segurança digital pode obter punições. As sócias Rosi Costa Barros e Tatiana Campello, do escritório Demarest, reforçam a necessidade de todos os agentes do setor elétrico seguirem as normas da Aneel, a fim de entender o impacto e as consequências do não cumprimento.
As penalidades para os que não cumprirem serão pautadas na legislação do setor elétrico e na que se refere a segurança cibernética, como a Lei Geral de Proteção de Dados (LGPD), Código de Defesa do Consumidor e Marco Civil da Internet.
Tatiana Campello também reforça que o movimento de regularização tem avançado, mas é necessário mais cuidado com o tema justamente pelo impacto que oferece para todo o país. “Esta é uma tendência dos setores regulados para criarem boas práticas e normas específicas de segurança cibernética”, destaca Campello.
Fonte: Valor Econômico
