Brasil Energia, nº 482, 15 de agosto de 2023 57 multas por paralisação de serviços podemos compreender a atitude, mas é preciso ir além. A segurança tem que estar embutida desde o começo”, argumenta. O ponto de vista do executivo da Claroty tem nome. Trata-se do conceito de Security by Design. De forma simplificada, significa ter soluções nativamente seguras, preparadas para identificar ameaças e mesmo bloqueá-las. São iniciativas que identificam, por exemplo, vulnerabilidades em sensores de Internet das Coisas (IoT) usados para monitorar geradores em parques eólicos. Ou ainda para sensoriar vibrações em equipamentos de subestações. Apesar do ganho em automação e controle, a adoção em massa desses dispositivos também abre portas para potenciais invasões. Erick Kumagai, líder em gerenciamento de risco e segurança Cyber/OT da consultoria Accenture, reforça que o Security by Design é uma busca de todo o setor, mas um conceito ainda não propagado, mesmo na ativação de infraestruturas novas, como é o caso dos parques eólicos e solares. Kumagai lembra ainda que a comercialização de energia, uma área pouco coberta em termos de cibersegurança, cresce de importância. Pelo acesso a dados de clientes e também informações de operação de concessionárias, a comercialização é uma nova frente, ampliando o que se chama de superfície de ataque. Traduzindo: amplia as chances de invasões. Jornada longa de cibersegurança Em termos práticos, os CISOs do setor elétrico devem terminar o ano cumprindo um conjunto de normas que, teoricamente, tornam a interação com o Operador Nacional do Sistema (ONS) menos vulnerável a ataques cibernéticos. A avaliação é de Dymitr Wajsman e Roberto Boucinhas, respectivamente, presidente e consultor em cibersegurança da UTC América Latina (UTCAL), entidade que tem funcionado como um fórum de discussão de executivos de cibersegurança do setor elétrico. Fazem parte dessa lista a segunda onda da Rotina Operacional do próprio ONS, prevista para ser finalizada em 9 de outubro próximo, a Resolução Normativa 964, da Aneel, e o Decreto 10.748/21, que estabelece a Rede Federal de Gestão de Incidentes Cibernéticos. “No curto prazo, muitos agentes do setor elétrico já contrataram e estão contratando produtos e serviços para auxiliar ao atendimento dos requisitos da Regulação, principalmente, aqueles da Rotina Operacional do ONS”, explica Wajsman. Para Boucinhas, a primeira onda da Rotina Operacional parece estar atendida por todos. Ele reforça que as exigências regulatórias do ONS são “requisitos mínimos” para tornar as implantações exequíveis e acrescenta que muitas soluções são procedimentos sem necessidade de novos equipamentos. Para Calvano, da Claroty, o arcabouço regulatório vigente seria apenas o primeiro passo de uma longa jornada de cibersegurança que as elétricas têm pela frente. Ele estima que o cumprimento das normas atuais daria conta de cerca de 10% das demandas reais para criar um ambiente cibernético maduro. “O ONS deveria amplificar os requisitos para o longo de toda a cadeia produtiva de energia”, finaliza.
RkJQdWJsaXNoZXIy NDExNzM=