2021 – O ano da segurança cibernética para o setor elétrico

O ano de 2021 foi marcado por algumas iniciativas relacionadas à segurança cibernética para o setor elétrico no Brasil. O ONS (Operador Nacional do Sistema Elétrico) lançou a rotina operacional RO-CB.BR.01, que define as diretrizes que os agentes devem implementar para a proteção do ARCiber (Ambiente Regulado Cibernético). Por outro lado, a ANEEL (Agência Nacional de Energia Elétrica) divulgou a resolução normativa 964, que estabelece os pilares da cibersegurança para os agentes do setor.

Ampliando este tema para o âmbito mundial, a segurança cibernética para o setor elétrico já vem sendo desenvolvida há algum tempo. Nos EUA, foi criada a norma NERC-CIP que possui 12 itens principais conhecidos como CIPs ou Critical Infrastructure Protection. Este padrão aborda não apenas a segurança virtual, a segmentação de rede e a gestão de incidentes, mas também o treinamento de pessoas, a segurança física e a gestão de mudanças. Publicado inicialmente em 2008, este padrão vem se modernizando não apenas nos CIPs já existentes, mas também com a adição de novos itens, como é o caso do CIP-13, que trata da gestão de riscos para cadeia de suprimentos. Este CIP esteve em foco devido ao evento de segurança ocorrido com a empresa SolarWinds, no qual hackers injetaram código malicioso no produto chamado Orion, contaminando assim um vasto número de empresas que o utilizavam, incluindo entidades públicas e privadas.

Na América Latina, o NERC-CIP foi estendido para adoção no México em 2018, devido à grande sobreposição entre os sistemas elétricos desses dois países. Colômbia e Chile também adotaram um padrão de segurança cibernética para o setor elétrico praticamente idêntico ao NERC-CIP, utilizando uma estrutura de CIPs com a mesma numeração e nomes do padrão existente nos EUA.


A rotina operacional do ONS

No Brasil, optou-se por um outro caminho. Após diversos meses de trabalho e algumas consultas públicas, o ONS iniciou a jornada de segurança cibernética em meados de julho, com a publicação do documento “Controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético”. Conforme o nome indica, estes são controles básicos e visam a segurança do ONS e, de maneira indireta, a segurança dos agentes em si. Os prazos para a adoção da rotina operacional (RO) são divididos em duas ondas: 09/01/2023 e 09/10/2023.

Abaixo estão os principais pontos da RO:

4.1 – Arquitetura Tecnológica para o Ambiente – Trata de segmentação das redes, acesso remoto e proteção de endpoints;

4.2 – Governança de Segurança da Informação – Criação de política de segurança, além da definição do responsável pela segurança no ARCiber;

4.3 – Inventário de Ativos – Gerenciamento do inventário de ativos, incluindo versões de software, e hardening (desligamento de serviços desnecessários e mitigação de vulnerabilidades);

4.4 – Gestão de Vulnerabilidades – Identificação e tratamento de vulnerabilidades, incluindo cronograma de atualizações;

4.5 – Gestão de Acessos – Política de gestão de acesso, definição de complexidade de senha, controle de revogação de acesso e uso de MFA – Multiple Factor Authentication;

4.6 – Monitoramento e Resposta a Incidentes – Gestão de eventos e incidentes de segurança cibernética, bem como realização de testes recorrentes.


A normativa 964 da ANEEL

Próximo ao fim do ano, a ANEEL lançou a normativa 964 com foco específico na segurança cibernética dos agentes do setor. A normativa aborda de maneira ampla a questão da adoção de uma política de segurança da informação. Há pontos comuns com a rotina operacional, como o item 4.2, que trata de governança, e o item 4.6 que trata do monitoramento e resposta a incidentes. Porém, a normativa da ANEEL vai além e cobre outros temas, como o treinamento de pessoas, conforme especificado no artigo 4º inciso IX, e o compartilhamento de informações entre os agentes do setor, detalhado no seu artigo 7º.

Um ponto crítico com relação à normativa é o fato de que a mesma entra em vigor a partir do dia 1º de julho de 2022, o que significa que os agentes têm pouco mais de 6 meses para estar em conformidade.

Para fazer uma correlação de alto nível entre a NERC-CIP (EUA), a rotina operacional do ONS, e a normativa 964 (ANEEL), segue um quadro comparativo entre as três. Trata-se de uma comparação aproximada, já que a NERC-CIP é muito detalhada e ampla em suas definições, dificultando assim essa correlação direta entre seus itens.

NERC-CIPONS RC-CB.BR.01Normativa 964 ANEEL
CIP-002 – BES Cybersystem Categorization  
CIP-003 – Security Management ControlsXX
CIP-004 – Personnel & Training X
CIP-005 – Electronic Security PerimeterX 
CIP-006 – Physical Security of BES Cyber Systems  
CIP-007 – System Security ManagementX 
CIP-008 – Incident Reporting and Response PlanningXX
CIP-009 – Recovery Plans for BES Cyber Systems  
CIP-010 – Configuration Change Management and Vulnerability AssessmentsX 
CIP-011 – Information Protection  
CIP-013 – Supply Chain Risk Management  
CIP-014 – Physical Security  

Assim, é possível identificar alguns pontos em comum entre estes documentos e outros que ainda não foram abordados. Há um ponto sobre a comparação acima que precisa ser destacado: a RO é válida para os pontos de interconexão com o ONS, enquanto a NERC-CIP se aplica a todos os agentes de geração e transmissão dos Estados Unidos e México. Na Colômbia e Chile, se aplica à geração, transmissão e distribuição. Portanto, também é possível dizer que há uma maior quantidade de empresas que precisam se adequar à NERC-CIP.

Jornada para a maturidade cibernética – A publicação dos documentos do ONS e da ANEEL representam um marco histórico para a segurança cibernética no setor elétrico, iniciando um novo capítulo que é resultado do trabalho e pesquisa realizados nos anos anteriores. O poder inerente de uma resolução normativa fará com que o nível de maturidade cibernética do setor seja elevado, o que irá certamente contribuir para a qualidade e a disponibilidade do serviço oferecido à população e às empresas. Contudo, é importante ressaltar que se trata de um primeiro passo neste sentido, e as iniciativas devem continuar em um processo de evolução tanto em amplitude como em profundidade, já que os riscos e ameaças não se acomodam com o passar do tempo.

Finalmente, é importante ressaltar que o sucesso destas iniciativas depende de uma implementação que leve em conta a tríade tecnologia-recursos-processos. O setor elétrico brasileiro iniciou uma importante jornada para a maturidade cibernética, que vai beneficiar a todos – empresas, governo e população.

Autor:

Por Leonardo Moreira, engenheiro de Sistemas OT para Brasil e América Latina da Fortinet.

Compartilhe!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

No data was found

Próximo evento

Evento: FEICON
Data: 02/04/2024
Local: São Paulo Expo
00
Dias
00
Horas
00
Min.
00
Seg.
Evento: UTC América Latina
Data: 09/04/2024
Local: Windsor Barra Hotel, Rio de Janeiro (RJ
00
Dias
00
Horas
00
Min.
00
Seg.
Evento: Intersolar Summit Brasil Nordeste
Data: 10/04/2024
Local: Centro de Eventos do Ceará
00
Dias
00
Horas
00
Min.
00
Seg.
Evento: T&D Energy 2024
Data: 17/04/2024
Local: Novotel Center Norte - São Paulo (SP)
00
Dias
00
Horas
00
Min.
00
Seg.

Controle sua privacidade

Nosso site usa cookies para melhorar a navegação.