No dia 28 de abril de 2020, durante a pandemia do Covid-19, a holding brasileira do grupo Energisa, especializado em operações no setor elétrico, sofreu um ataque cibernético. O relatório do primeiro trimestre de 2020 mencionou brevemente o incidente no item “Efeitos do COVID-19 e Eventos Subsequentes”. Sob o título “Ataque cibernético”, ele apareceu no documento com a seguinte descrição: “Sistemas computacionais sofreram um evento de segurança cibernética no dia 28/04/2020. A empresa desligou temporariamente os sistemas como resposta ao evento. O ataque não afetou a rede operativa de proteção cibernética no grid elétrico nem seus demais componentes. Retornamos 100% dos sistemas principais. Não há indícios de perda de dados nem de vazamento de dados comerciais ou de terceiros. Investigação forense sendo conduzida e implementação de reforços nos sistemas de segurança.”
Embora curto, esse registro revela muita coisa sobre o incidente. A frase de maior interesse para o tema do nosso artigo é sobre a “rede operativa”. Aquela que controla as operações da empresa com a energia elétrica, em suas 12 concessões de transmissão em 9 estados e distribuidoras em 11 estados, atendendo cerca de 20 milhões de usuários. A segurança cibernética no setor elétrico é crucial. Pois isso significa que o ataque não atingiu essas operações de transmissão e distribuição de energia, que são parte da infraestrutura crítica do país. Estavam seguras.
A Importância da segurança cibernética no setor elétrico brasileiro
Muitos outros ataques já ocorreram tendo o setor elétrico brasileiro como alvo. Em fevereiro de 2021, a Eletrobras informou ao mercado que um ataque cibernético também havia atingido sua subsidiária Eletronuclear, responsável pelas usinas nucleares do complexo de Angra dos Reis. Mas não ocorreu nenhum impacto sobre a operação das suas unidades.
Os serviços e operações de energia, assim como os de telecomunicações, fazem parte, no mundo inteiro, daquilo que chamamos de infraestrutura crítica. Organizações cujas interrupções podem representar danos à sociedade. As empresas no Brasil já digitalizaram grande parte das operações de geração, transmissão e distribuição de energia elétrica. O processo de automatização continua em andamento; além disso, favorece todos os consumidores com respostas rápidas para cortar, estabilizar ou restabelecer o fornecimento. Agora, até os medidores de consumo domiciliares já são digitais, para permitir operações na ponta do cliente final, entre as quais a leitura desse consumo.
A crescente digitalização das operações no grid elétrico, tanto no Brasil quanto em outros países, exige, portanto, uma sofisticada proteção contra ataques cibernéticos. Além disso, a proteção cibernética no grid elétrico é vital para muitas redes de operação de infraestrutura crítica que funcionam sem nenhum contato com a Internet, o que, por sua vez, reduz muito esse risco. Mas muitas precisam desse contato, por uma variedade de razões. Ainda assim, mesmo aquelas fisicamente isoladas da Internet precisam das mesmas camadas de proteção que as redes conectadas à web, para prevenir quaisquer possibilidades de intrusão. Mesmo que as possibilidades sejam, teoricamente, remotas.
Isolamento da Internet e cibersegurança no setor elétrico
A usina de processamento de urânio do governo iraniano na província de Natanz estava isolada da Internet. Mas, mesmo isolada, um malware contaminou a rede de dados da usina em 2010, introduzido por meio de um pen drive. O malware danificou as máquinas de centrifugação e refinamento do mineral, acelerando-as além do limite, e assim atrasando o programa nuclear do país. Os efeitos desse malware, apelidado de Stuxnet, eram supostamente do interesse de Israel e dos Estados Unidos, mas nunca ficou comprovado que esses países fossem os responsáveis pelo seu desenvolvimento. Mesmo assim, precisamos proteger até as redes de infraestrutura crítica bem isoladas da mesma maneira que todas as outras, como o incidente demonstrou.
No Brasil, as orientações sobre esse assunto são publicadas e fiscalizadas pela Aneel, a Agência Nacional de Energia Elétrica, que é a reguladora do setor elétrico. A agência é o órgão de referência para cerca de 750 empresas geradoras, transmissoras e distribuidoras dos mais diversos tamanhos. Há três anos, a agência publicou uma resolução que descreve a política de segurança cibernética a ser adotada pelas empresas do setor de energia elétrica. Estabelecendo as orientações fundamentais sobre a segurança cibernética para o grid brasileiro. Um dos itens dessa resolução é que todas as empresas devem planejar sua segurança cibernética para prevenir, mitigar e recuperar-se de incidentes em suas redes, e para que os incidentes não afetem a sua operação.
Implementação de controles mínimos de segurança cibernética
Não é uma missão simples, mas é essencial. O setor chama esse ambiente de operações digitais com a eletricidade de ‘ambiente regulado cibernético’ e obriga-o a funcionar utilizando os ‘controles mínimos de segurança cibernética’ que o Operador Nacional do Sistema Elétrico (ONS) determinou, responsável pela coordenação e controle da operação de geração e transmissão de energia elétrica no país. Em julho de 2021, a agência anunciou esses controles mínimos, com um prazo de 24 meses para implantação. 24 itens, incluindo implementar o controle de acesso com senhas fortes em sistemas de controle, trocar endereçamento de redes em funcionamento, trocar senhas de banco de dados, trocar senhas de dispositivos, ter um sistema de diretórios para automação e outras melhorias de segurança.
Até que a Aneel publicasse esses “controles mínimos”, o setor não tinha grandes obrigações com relação à segurança cibernética. Apenas um item nos “Procedimentos de Rede” do ONS tratava desse assunto, e mesmo assim de forma abrangente e genérica. A publicação dessa nova “rotina”, em 2021, reorientou todo o setor. Trazendo clareza e determinando a implantação de proteção cibernética no grid elétrico bem estruturada em todas as empresas do setor elétrico.
Apagão cibernético global
Em relação ao apagão cibernético, que afetou sistemas e serviços no Brasil e no mundo, a ANEEL informou que não houve impacto em seus sistemas computacionais, bases de dados e plataformas de atendimento ao consumidor, de forma que as atividades continuaram operando normalmente. Também não houve impactos no Operador Nacional do Sistema Elétrico (ONS) e, com isso, não há intercorrências na operação do Sistema Interligado Nacional (SIN). De acordo com a Associação Brasileira de Distribuidores de Energia Elétrica (Abradee), a instabilidade global cibernética ocorrida na manhã de sexta-feira (19/07) impactou temporariamente os sistemas de atendimento aos consumidores de algumas empresas do segmento de distribuição. O serviço de fornecimento de energia no Brasil, porém, não foi afetado. As distribuidoras estão em prontidão e mobilizadas para reduzir eventuais impactos.
A ANEEL informa que, em 2021, entrou em vigor a Resolução Normativa nº 24. Ela dispõe sobre a política de segurança cibernética a ser adotada pelos agentes do setor de energia elétrica. De acordo com o normativo ANEEL nº 964, os concessionários, os permissionários e os autorizados de serviços ou instalações de energia elétrica e as entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica e inclusive pela gestão de recursos provenientes de encargos setoriais devem elaborar uma política de cibersegurança. Para prevenir, mitigar e recuperar incidentes cibernéticos em sua rede de informações críticas ou na rede de instalação de modo que os incidentes não afetem a sua operação.
Também na quinta-feira (18/7), a ANEEL realizou um webinar sobre o sistema de acompanhamento de ocorrências graves, segurança cibernética e indisponibilidades prolongadas (OSCIP). As ações acima demonstram que a ANEEL tem aprimorado seus sistemas corporativos e exigido das empresas as melhores práticas possíveis frente a vulnerabilidades quanto aos ataques cibernéticos.