0
0
Aneel e ONS participaram de painel em que destacaram as iniciativas para permitir a digitalização com segurança
A transformação digital do setor elétrico é algo que não pode ser evitado. Será que vai empoderar o cliente para que ele tenha maior controle sobre como controle de seu consumo, além de viabilizar a geração distribuída e permitir aproveitar melhor os recursos energéticos. Sem poder ser parada, é preciso que a digitalização seja “controlada”, de forma que os riscos cibernéticos não tornem o sonho em pesadelo. Os entes reguladores entendem essa necessidade e têm trabalhado para garantir que o setor não caia na armadilha de investir em tecnologia sem se proteger.
A Agência Nacional de Energia Elétrica (Aneel), por exemplo, fechou recentemente a segunda consulta pública sobre a regulação do tema. Segundo Leonardo Queiroz, superintendente adjunto de Regulação dos Serviços de Transmissão da Aneel, a intenção é revelar os resultados ainda este ano, em sua fala durante painel no Brasil Windpower, evento do setor eólico que ocorreu este mês.
Mas mesmo com a consulta pública, os desafios não são poucos. Além do setor estar em ampla digitalização, são três áreas diferentes – geração, transmissão e distribuição – e envolve a participação de empresas públicas e privadas de diferentes portes. Queiroz defende que a regulação precisa reduzir barreiras e regular por incentivos, para trazer eficiência e redução de custos.
O superintendente disse que já há uma perspectiva para uma estratégia de regulamentação universal, que passaria por:
- segmentar TO da TI e Internet;
- procedimentos de resposta rápida para contenção de acidentes;
- gestão e avaliação dos riscos;
- aplicação de modelos de maturidade;
- aviso à Aneel em caso de crise;
- compartilhamento de incidentes cibernéticos relevantes entre os agentes e a Aneel.
Além de regular, a Aneel tem o papel de fiscalização e, no caso da cibersegurança, Queiroz acredita que possa ser feito de forma amostral. “A fiscalização deve ser responsiva e pode levar em conta onde é mais crítico para a segurança nacional”, defende ele, dizendo que esse tipo de atuação pode ser o suficiente para conscientizar o setor. Inclusive, o superintendente acredita que a participação da Aneel em exercícios de simulação de ataques em empresas do setor já é uma forma de mostrar como a agência está interessada no setor.
ONS também se movimenta para garantir segurança do ARCiber
Em julho deste ano, o Operador Nacional do Sistema Elétrico (ONS) lançou uma Rotina Operacional para estabelecer os controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo ONS no Ambiente Regulado Cibernético (ARCiber, que são os conjuntos de equipamentos que participam da infraestrutura de envio ou recebimento de dados e voz para ambientes operativos do ONS).
Entre as obrigações, está a de segregar as redes em zonas de segurança, de acordo com suas funções. O ARCiber também não deve ser diretamente acessível através da internet mesmo que protegido por um ou mais firewalls. A Rotina Operacional entrou em vigor em 9 de julho e tem duas etapas: implantação de oito requisitos em até 18 meses (como uso de VPN e isolação de ARCiber) e, em 27 meses, é necessária a evolução da segregação, o monitoramento e resposta a incidentes e a gestão de vulnerabilidades.
Segundo Marcelo Prais, diretor de TI do órgão, que também participou do Brazil Windpower, foi esta iniciativa que ajudou a desenvolver as Diretrizes de Segurança Cibernética para o sistema elétrico, do Conselho Nacional de Política Energética (CNPE), que são:
- Orientar empresas do setor a implementar ações de gerenciamento de risco cibernético.
- Estabelecer requisitos e controles mínimos de segurança cibernética.
- Estabelecer políticas que promovam a utilização de tecnologias que mitiguem riscos.
- Estabelecer estrutura de coordenação setorial para atuação em incidentes.
- Promover ambiente de compartilhamento de informações e apoio.
- Estabelecer procedimento para identificação de serviços e instalações estratégicas, consideradas infraestruturas críticas que requeiram atenção em termos de segurança cibernética.
- Orientar os agentes do setor a implementar programas de capacitação de segurança.
Prais destaca que o item 2, por exemplo, vai de encontro com a Rotina Operacional, já que uma das restrições é que o ambiente ARCiber não seja acessível pela Internet. Além desse papel de apoio na formulação de regulamentações, o diretor também destacou a necessidade do ONS capacitar o setor e que tem trabalhado no desenvolvimento de uma certificação de segurança para operadores do setor.
FONTE: IP NEWS