Vêm aí as novas diretrizes de segurança cibernética para o setor elétrico

Exigência de sistemas mais robustos de proteção entra em cena em meio ao crescimento de ações de hackers

Delcy Mac Cruz

Entra em vigor no dia 1º de julho a resolução 964 da Agência Nacional de Energia Elétrica (Aneel), que prevê novas normas de segurança cibernética para os agentes do setor de energia elétrica. 

Não se trata de uma resolução qualquer. Ela exige a implantação de sistemas cada vez mais robustos de proteção dos ativos. 

E chega quando o país registra crescimento dos ataques virtuais ao setor elétrico. Basta ver as ações de hackers registradas junto a companhias como Energisa, Light, Eletronuclear e EDP. 

Confira um resumo destes ataques: 

Desligamento de sistemas

No caso da Energisa, o ataque foi em 28 de abril de 2020. Segundo a empresa, que fornece energia em 18 estados, o fornecimento não foi afetado em nenhum momento. Mas, por medidas de segurança, sistemas de atendimento ao cliente precisaram ser desligados. 

Pedido de resgate

A Light, distribuidora de energia no Estado do Rio de Janeiro, confirmou incidente cibernético em sua rede em junho de 2020. 

Conforme divulgado na época, foi um ataque de ransomware, no qual os atacantes pediram o equivalente a R$ 37 milhões. 

Software nocivo 

A Eletronuclear, subsidiária da Eletrobras responsável pelas usinas nucleares Angra 1 e Angra 2, divulgou em fevereiro deste ano ter sofrido ataque cibernético. 

Foi um ataque por software nocivo, o ransomware, que, conforme a empresa estatal, não gerou impactos sobre a operação. 

Nos sistemas operacionais 

Com atuação em 19 países, inclusive o Brasil, o Grupo EDP confirmou em abril de 2020 ter sofrido ataque de hackers à sua rede corporativa global. A companhia declarou que não foram afetados os principais sistemas operacionais que asseguram o suprimento energético. 

Pandemia e guerra

Diante de exemplos como os citados – que não são únicos -, a resolução da Aneel vem em boa hora. 

Em sua maioria, os ataques cresceram durante 2020, em plena pandemia, mas a guerra Rússia-Ucrânia também oferece espaço para as ações. 

É que o atual contexto geopolítico gera uma série de ferramentas de ataques em massa, táticas e manuais de extração de informações. E isso tudo também descamba para a infraestrutura denominada crítica do setor de energia. 

Em síntese, infraestrutura crítica integra instalações, serviços e sistemas cuja interrupção ou destruição provocará sérios impactos e, assim, necessitam de medidas especiais de proteção. 

Estudo do Centro de Estudos Estratégicos e Internacionais (CSIS, na sigla em inglês) destaca que 9% dos operadores de infraestruturas críticas não têm estratégia de segurança cibernética e 85% acreditam terem sido alvos de uma ameaça cibernética de um estado-nação. 

Em ação 

Independente da chegada da resolução da Aneel, algumas das principais companhias elétricas em atuação no país já fazem investimentos em defesas. 

A Light, por exemplo, relata ter ampliado no ano passado 170% a mais do que a média dos últimos quatro anos. E mantém o ritmo de aporte em 2022. 

Já a AES Brasil investe na proteção de seus ativos. Por ano, o custo dos serviços de cibersegurança no país é de R$ 1,7 milhão.  

Tais iniciativas reforçam ações pela cibersegurança. 

Elas interagem com a resolução da Agência que, entre outras, estabelece que cada empresa do setor de energia deverá estruturar uma política de segurança energética conforme seu porte. Essa terá de cumprir premissas como comunicar à Aneel, em caso de crise em segurança cibernética, o compartilhamento de incidentes cibernéticos relevantes e a aplicação de uma metodologia de ‘maturidade regulatória.’ (leia mais a respeito aqui).