Marcos Sêmola: Setor elétrico reforça medidas de segurança cibernética

Marcos Sêmola, sócio de cybersecurity da EY. (Foto: Divulgação)

Ambientes mais regulados tendem a oferecer maior segurança para todo o ecossistema. A medida pode evitar que um cibercriminoso consiga acesso privilegiado, não só roubando dados, mas chantageando uma empresa ou interrompendo a transmissão de uma torre de energia ou o abastecimento de um oleoduto de combustível. Atenta ao crescimento de ciberataques no setor elétrico Brasil e no mundo, a Aneel (Agência Nacional de Energia Elétrica) publicou em julho deste ano a Resolução Normativa nº 964, que dispõe sobre regras de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica.

A resolução é extremamente importante, pois define as diretrizes a serem adotadas pelos agentes regulados do setor de energia visando a mitigação de riscos de segurança cibernética. “Ela atende a uma necessidade já vista pelo mundo diante dos inúmeros casos de ataques cibernéticos que comprometeram operação de empresas de serviço essencial. Nós vimos ataque à operadora de oleodutos Colonial Pipeline, nos Estados Unidos, que provocou uma onda seca no país com falta de combustível em vários estados americanos. Isso é só um exemplo no meio de tantos outros em que empresas que proveem serviços essenciais, especialmente aqueles na área de energia, vêm sofrendo”, explica Marcos Sêmola, sócio de cybersecurity da EY.

Em entrevista à Agência EY, Sêmola fala sobre a importância da resolução e de as empresas do setor se prepararem para evitar ataques cibernéticos.

Houve um crescimento de ciberataques no mundo nos últimos anos. Esse fato tem causado uma grande preocupação para as empresas?

Se espera que o cibercrime movimente 10 trilhões de dólares até 2025, em todos os setores, sendo que já foi movimentado 6 trilhões de dólares em 2021. Esse cenário de crescimento em quantidade e sofisticação deveria preocupar muito as empresas porque pode ser motivado por diversos fatores, como interesse financeiro ou político. Estamos no meio de uma guerra entre a Rússia e a Ucrânia, na qual atacar instalações físicas de energia podem significar a derrota ou a vitória da guerra, por exemplo.

A sofisticação de ataques já é observada no Brasil?

Os riscos dos ambientes industriais do setor de energia, principalmente, são ainda muito inseguros. Mas essa sofisticação de ataques ainda não chegou ao Brasil por algumas razões. Primeiro, o Brasil não é um país geopolicamente exposto. Segundo, porque esses ambientes industriais, que chamamos de OT, ainda são pouco conectados e automatizados em relação ao que se vê em outros países. Mas essa é uma tendência sem volta. Numa atividade criminosa crescente, na medida em que nossas empresas de energia forem automatizando mais a internet das coisas (IOT) e forem se conectando com ambientes de tecnologia da informação (IT) elas ficarão mais expostas e mais suscetíveis a ataques. 

O que deve ser feito nesse sentido?

É muito melhor que os líderes das empresas comecem a se antecipar a um problema que sabemos que terão. Ou seja, desde já identificar a sensibilidade dos ambientes industriais, identificar problemas de segurança na origem (praticar o security by design) para que, quando esses ambientes alcançarem um alto nível de automação e de convergência entre IT e OT, já tenham nascido mais seguros do que eles estão hoje.

Qual a importância da resolução da Aneel?

Apesar de a resolução ser inovadora, ela ainda é muito jovem e demanda que as empresas demonstrem controles mínimos de segurança. Reforço a palavra mínimo porque o mínimo não é suficiente para o volume de ataques cibernéticos e a sofisticação desses ataques. Mas ninguém chega ao máximo sem passar pelo mínimo. É como subir uma escada. 

As empresas já estão adequadas a essa resolução que entrou em vigor em julho deste ano?

Muitas empresas ainda não têm conhecimento dessa resolução. É necessário sair da inércia e acelerar a adequação à resolução. Mas cada empresa tem de entender qual é o seu risco. As mais maduras não vão se limitar a seguir o que a resolução propõe. Vão fazer além do que é apropriado com controles adicionais orientados, por exemplo, pela ISO 27001, uma norma internacional de gestão de segurança da informação. 

A maior parte da infraestrutura do setor elétrico envolve instalações construídas há 30 anos e que estão sendo digitalizadas agora. Isso faz com que elas fiquem mais expostas?

Um ambiente industrial do setor elétrico é um ambiente antigo, em sua grande maioria, e também heterogêneo. Existem instalações antigas e outras mais modernas, gerenciadas por práticas e pessoas que não têm nativamente uma cultura de  segurança cibernética. Isso ocorre porque são ambientes que não nasceram conectados à internet. Com o início de uma onda de transformação digital nesse setor, começaram a implementar dispositivos IOT que conectam as coisas à internet. Há um ganho porque uma empresa do setor elétrico consegue, por exemplo, num painel de controle acompanhar o desempenho de seu parque solar ou eólico e comandar as ações remotamente. Mas isso é um choque tecnológico e cultural. Como elas ainda estão encantadas com o que essa nova tecnologia está oferecendo, não têm maturidade e cultura dos riscos que são trazidos por essa tecnologia. Elas ficam mais expostas. 

Fonte: Agência EY