Foto: Marcelo Casal Jr./Agência Brasil

O Sistema Interligado Nacional (SIN), que integra produção e transmissão de energia elétrica e responde por 67% da capacidade instalada no país em 2020, terá conjunto de requisitos de segurança cibernética.

Composto por múltiplos proprietários, com predominância de geradores hidrelétricos, o SIN é operado por diferentes níveis de segurança.

Ou seja, cada empresa do setor elétrico brasileiro que integra o SIN tem sua plataforma de segurança cibernética.

Responsável pela gestão do SIN, a entidade privada Operador Nacional do Sistema (ONS) pretende mudar essa situação.

E propõe critérios e requisitos mínimos de segurança cibernética para a operação do Sistema Interligado.

Em resumo, a iniciativa do ONS diz respeito a uma proposta de Procedimento de Rede para tratar do tema, elaborada de forma colaborativa com os agentes.

“É um desafio”

A proposta, segundo o Operador, foi submetida à Agência Nacional de Energia Elétrica (Aneel) na última semana de abril.

Trata-se de “um desafio”, como relata material de divulgação sobre o tema divulgado pelo ONS em 24 de abril.

Isso porque a segurança cibernética merece destaque no SIN, que foi criado em 1998, ou seja, há 22 anos.

Apesar da maioridade, o Sistema, conforme relato do ONS, possui atualmente um único item relacionado nos Procedimentos de Rede que trata do assunto. “Porém de forma abrangente e pouco eficaz”, resume a entidade.

Segundo a ONS, sua proposição objetiva estabelecer os controles de segurança cibernética a serem implementados nos centros de operação dos agentes do SIN.

Esses controles também irão atuar nos equipamentos de infraestrutura de troca de dados entre ONS e agentes, além das salas de controle do próprio Operador.

“É papel de cada agente fazer sua própria avaliação de risco e identificar as medidas de segurança adequadas à sua operação”, frisa, em nota, Geraldo Fonseca, especialista de Segurança da Informação do ONS.

Por isso, lembra, esse projeto “pretende trazer a segurança de toda a operação para um patamar superior, além de conferir maturidade ao sistema.”

Quais os próximos passos?

O texto da propositura contempla, entre outros, itens como a arquitetura tecnologia para o ambiente; governança de segurança da informação; inventários de ativos; gestão de vulnerabilidade; gestão de acessos; e monitoramento e respostas a incidentes.

Aliás, a gestão do projeto caberá a Aneel.

Segundo o ONS, o Procedimento de Rede de Segurança Cibernética, incluindo o conjunto de requisitos e critérios, seja adotado pelos agentes pelo Operador em três ondas consecutivas de implantação: 18, 27 e 36 meses após o início de vigência.

O próximo passo inclui a abertura de Consulta Pública, pela Aneel, para avaliação e envio de contribuições ao texto proposto pelo ONS.

Evitar ações de hackers

Se implantado, o conjunto de critérios poderá ao menos dificultar ações de hackers como as registrada no fim de abril junto a concessionária de energia elétrica Energisa, do Mato Grosso.

A empresa sofreu o ataque na madrugada do dia 29 e perdeu acesso ao sistema e banco de dados dos clientes, embora o sistema de operações não tenha sido atingido. A situação foi normalizada na segunda-feira (04/05).

O que abrange a segurança cibernética

“As ações de segurança cibernética devem permear todos os processos de coleta de dados e automação de uma empresa elétrica com infraestrutura de missão crítica”, destacou relato da Aneel em 2016, durante workshop internacional sobre o tema.

Sendo assim, emenda a Aneel, a “cibersegurança deve ser trabalhada desde os dispositivos eletrônicos inteligentes (IEDs) nas subestações de energia (SEs) até processamento de Big Data/Analítica e TI.”

No mais, essas ações também visam impulsionar dentro das empresas de energia a conexão de processos, também denominada conectividade.