Empresas de energia irão atender requisitos de segurança cibernética
O Sistema Interligado Nacional (SIN), que integra produção e transmissão de energia elétrica e responde por 67% da capacidade instalada no país em 2020, terá conjunto de requisitos de segurança cibernética.
Composto por múltiplos proprietários, com predominância de geradores hidrelétricos, o SIN é operado por diferentes níveis de segurança.
Ou seja, cada empresa do setor elétrico brasileiro que integra o SIN tem sua plataforma de segurança cibernética.
Responsável pela gestão do SIN, a entidade privada Operador Nacional do Sistema (ONS) pretende mudar essa situação.
E propõe critérios e requisitos mínimos de segurança cibernética para a operação do Sistema Interligado.
Em resumo, a iniciativa do ONS diz respeito a uma proposta de Procedimento de Rede para tratar do tema, elaborada de forma colaborativa com os agentes.
“É um desafio”
A proposta, segundo o Operador, foi submetida à Agência Nacional de Energia Elétrica (Aneel) na última semana de abril.
Trata-se de “um desafio”, como relata material de divulgação sobre o tema divulgado pelo ONS em 24 de abril.
Isso porque a segurança cibernética merece destaque no SIN, que foi criado em 1998, ou seja, há 22 anos.
Apesar da maioridade, o Sistema, conforme relato do ONS, possui atualmente um único item relacionado nos Procedimentos de Rede que trata do assunto. “Porém de forma abrangente e pouco eficaz”, resume a entidade.
Segundo a ONS, sua proposição objetiva estabelecer os controles de segurança cibernética a serem implementados nos centros de operação dos agentes do SIN.
Esses controles também irão atuar nos equipamentos de infraestrutura de troca de dados entre ONS e agentes, além das salas de controle do próprio Operador.
“É papel de cada agente fazer sua própria avaliação de risco e identificar as medidas de segurança adequadas à sua operação”, frisa, em nota, Geraldo Fonseca, especialista de Segurança da Informação do ONS.
Por isso, lembra, esse projeto “pretende trazer a segurança de toda a operação para um patamar superior, além de conferir maturidade ao sistema.”
Quais os próximos passos?
O texto da propositura contempla, entre outros, itens como a arquitetura tecnologia para o ambiente; governança de segurança da informação; inventários de ativos; gestão de vulnerabilidade; gestão de acessos; e monitoramento e respostas a incidentes.
Aliás, a gestão do projeto caberá a Aneel.
Segundo o ONS, o Procedimento de Rede de Segurança Cibernética, incluindo o conjunto de requisitos e critérios, seja adotado pelos agentes pelo Operador em três ondas consecutivas de implantação: 18, 27 e 36 meses após o início de vigência.
O próximo passo inclui a abertura de Consulta Pública, pela Aneel, para avaliação e envio de contribuições ao texto proposto pelo ONS.
Evitar ações de hackers
Se implantado, o conjunto de critérios poderá ao menos dificultar ações de hackers como as registrada no fim de abril junto a concessionária de energia elétrica Energisa, do Mato Grosso.
A empresa sofreu o ataque na madrugada do dia 29 e perdeu acesso ao sistema e banco de dados dos clientes, embora o sistema de operações não tenha sido atingido. A situação foi normalizada na segunda-feira (04/05).
O que abrange a segurança cibernética
“As ações de segurança cibernética devem permear todos os processos de coleta de dados e automação de uma empresa elétrica com infraestrutura de missão crítica”, destacou relato da Aneel em 2016, durante workshop internacional sobre o tema.
Sendo assim, emenda a Aneel, a “cibersegurança deve ser trabalhada desde os dispositivos eletrônicos inteligentes (IEDs) nas subestações de energia (SEs) até processamento de Big Data/Analítica e TI.”
No mais, essas ações também visam impulsionar dentro das empresas de energia a conexão de processos, também denominada conectividade.
Leia também: