O papel dos reguladores para garantir a cibersegurança do setor elétrico

Views: 73
0 0
Read Time:3 Minute, 42 Second

Aneel e ONS participaram de painel em que destacaram as iniciativas para permitir a digitalização com segurança

 de João Monteiro

A transformação digital do setor elétrico é algo que não pode ser evitado. Será que vai empoderar o cliente para que ele tenha maior controle sobre como controle de seu consumo, além de viabilizar a geração distribuída e permitir aproveitar melhor os recursos energéticos. Sem poder ser parada, é preciso que a digitalização seja “controlada”, de forma que os riscos cibernéticos não tornem o sonho em pesadelo. Os entes reguladores entendem essa necessidade e têm trabalhado para garantir que o setor não caia na armadilha de investir em tecnologia sem se proteger.

A Agência Nacional de Energia Elétrica (Aneel), por exemplo, fechou recentemente a segunda consulta pública sobre a regulação do tema. Segundo Leonardo Queiroz, superintendente adjunto de Regulação dos Serviços de Transmissão da Aneel, a intenção é revelar os resultados ainda este ano, em sua fala durante painel no Brasil Windpower, evento do setor eólico que ocorreu este mês. 

Mas mesmo com a consulta pública, os desafios não são poucos. Além do setor estar em ampla digitalização, são três áreas diferentes – geração, transmissão e distribuição – e envolve a participação de empresas públicas e privadas de diferentes portes. Queiroz defende que a regulação precisa reduzir barreiras e regular por incentivos, para trazer eficiência e redução de custos. 

O superintendente disse que já há uma perspectiva para uma estratégia de regulamentação universal, que passaria por: 

  • segmentar TO da TI e Internet; 
  • procedimentos de resposta rápida para contenção de acidentes; 
  • gestão e avaliação dos riscos; 
  • aplicação de modelos de maturidade; 
  • aviso à Aneel em caso de crise; 
  • compartilhamento de incidentes cibernéticos relevantes entre os agentes e a Aneel. 

Além de regular, a Aneel tem o papel de fiscalização e, no caso da cibersegurança, Queiroz acredita que possa ser feito de forma amostral. “A fiscalização deve ser responsiva e pode levar em conta onde é mais crítico para a segurança nacional”, defende ele, dizendo que esse tipo de atuação pode ser o suficiente para conscientizar o setor. Inclusive, o superintendente acredita que a participação da Aneel em exercícios de simulação de ataques em empresas do setor já é uma forma de mostrar como a agência está interessada no setor. 

ONS também se movimenta para garantir segurança do ARCiber  

Em julho deste ano, o Operador Nacional do Sistema Elétrico (ONS) lançou uma Rotina Operacional para estabelecer os controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo ONS no Ambiente Regulado Cibernético (ARCiber, que são os conjuntos de equipamentos que participam da infraestrutura de envio ou recebimento de dados e voz para ambientes operativos do ONS). 

Entre as obrigações, está a de segregar as redes em zonas de segurança, de acordo com suas funções. O ARCiber também não deve ser diretamente acessível através da internet mesmo que protegido por um ou mais firewalls. A Rotina Operacional entrou em vigor em 9 de julho e tem duas etapas: implantação de oito requisitos em até 18 meses (como uso de VPN e isolação de ARCiber) e, em 27 meses, é necessária a evolução da segregação, o monitoramento e resposta a incidentes e a gestão de vulnerabilidades. 

Segundo Marcelo Prais, diretor de TI do órgão, que também participou do Brazil Windpower, foi esta iniciativa que ajudou a desenvolver as Diretrizes de Segurança Cibernética para o sistema elétrico, do Conselho Nacional de Política Energética (CNPE), que são: 

  1. Orientar empresas do setor a implementar ações de gerenciamento de risco cibernético. 
  2. Estabelecer requisitos e controles mínimos de segurança cibernética. 
  3. Estabelecer políticas que promovam a utilização de tecnologias que mitiguem riscos. 
  4. Estabelecer estrutura de coordenação setorial para atuação em incidentes. 
  5. Promover ambiente de compartilhamento de informações e apoio. 
  6. Estabelecer procedimento para identificação de serviços e instalações estratégicas, consideradas infraestruturas críticas que requeiram atenção em termos de segurança cibernética. 
  7. Orientar os agentes do setor a implementar programas de capacitação de segurança. 

Prais destaca que o item 2, por exemplo, vai de encontro com a Rotina Operacional, já que uma das restrições é que o ambiente ARCiber não seja acessível pela Internet. Além desse papel de apoio na formulação de regulamentações, o diretor também destacou a necessidade do ONS capacitar o setor e que tem trabalhado no desenvolvimento de uma certificação de segurança para operadores do setor. 

FONTE: IP NEWS

Previous post Cibersegurança: confira phishing comuns na Black Friday!
Next post Mais de 4 mil lojas online do Reino Unido sofreram ciberataques em 18 meses

Deixe um comentário