Por Lucas Pereira, Chief Technology Officer (CTO) da Blockbit
Nos últimos anos, o setor de energia tem enfrentado crescentes desafios no que diz respeito à segurança cibernética. A dependência cada vez maior da tecnologia para controlar e monitorar a infraestrutura crítica do setor de energia tornou-se um alvo atrativo para cibercriminosos e hackers mal-intencionados. No Brasil, a Agência Nacional de Energia Elétrica (ANEEL) reconheceu essa ameaça ao publicar a Resolução Normativa nº 964, que estabelece diretrizes para a segurança cibernética do setor e representa um passo fundamental na proteção da infraestrutura elétrica do país.
Recentemente, em agosto deste ano, um apagão generalizado afetou diversas regiões do país e ocasionou falta de energia em mais de dez Estados. A causa inicialmente associada foi uma ‘sobrecarga’ em uma linha de transmissão no Ceará. No entanto, o Ministro de Minas e Energia, Alexandre Silveira, solicitou investigações da Polícia Federal e da Agência Brasileira de Inteligência (ABIN) para apurar se houve falha humana no apagão ou, até mesmo, a possibilidade de uma ação criminosa.
Ultimamente, a criatividade dos hackers mostra-se sem limites. Invadem sistemas e instalam, por exemplo, ransomware, um tipo de malware que criptografa os dados e exige um resgate em criptomoedas para restaurar acessos. Muitas empresas e órgãos públicos do setor de energia no Brasil já foram alvo desses ataques. Embora eles não tenham interrompido o fornecimento de energia, comprometeram a segurança dos sistemas e podem gerar vazamento de informações sensíveis. Portanto, podemos afirmar que a ameaça de ataques cibernéticos no setor elétrico é uma realidade e não podemos ignorar os riscos.
As superfícies de ataque mais críticas que podem prejudicar significativamente a operação de infraestruturas de energia envolvem, especialmente, o Sistema de Supervisão e Aquisição de Dados (SCADA) e os Dispositivos Eletrônicos Inteligentes (IEDs). Eles desempenham um papel essencial na automação das instalações e uma invasão que comprometa esses sistemas pode obstruir manobras e operações cruciais para o funcionamento adequado da infraestrutura.
Um exemplo crítico de invasão no Sistema de Supervisão e Aquisição de Dados (SCADA) ocorreu em 2010, quando um vírus chamado Stuxnet interferiu no funcionamento de centrífugas de enriquecimento de urânio controladas por Controlador Lógico Programável (Programmable Logic Controller - PLC), um dos dispositivos digitais mais utilizados na indústria, inclusive em usinas nucleares. Este incidente, que causou danos físicos reais a uma infraestrutura crítica, ressalta a realidade e a sofisticação das ameaças cibernéticas na era contemporânea. O crescimento do uso de malwares como esse reforça a necessidade de defesas cibernéticas robustas em um mundo cada vez mais interconectado.
Ataques sofisticados como esses possibilitam aos cibercriminosos assumir o controle das subestações de energia, por exemplo. Dessa forma, companhias de energia podem ter problemas e limitações para controlar suas próprias estruturas, uma vez que criminosos terão condições de criptografar informações para pedir pagamento de resgate para a devolução do acesso, além de efetivamente manipular o uso de importantes sistemas. Além dos altos prejuízos empresariais, os impactos na vida cotidiana das pessoas podem ser imensos, quando algo assim acontece.
Felizmente, muitas empresas do setor elétrico brasileiro estão se movimentando na direção certa. Elas estão começando a estudar melhor suas vulnerabilidades para adotar medidas de segurança cibernética para se adequarem à Resolução Normativa 964 da Aneel. Entre as ações, uso de modernos sistemas de proteção e consultoria de especialistas em segurança digital estão entre as atividades mais estratégicas e assertivas para a proteção dos ambientes.
Os números são uma importante referência para acelerar essa jornada de preparação. Em 2022, cerca de 70% das empresas no Brasil foram alvo de ataques cibernéticos com sequestro de dados. Ataques ransomware aumentaram consideravelmente em comparação com o ano anterior, sendo a forma preferida de muitos hackers que buscam o rápido pagamento de quantias milionárias pelo retorno dos dados sequestrados com a ajuda de criptografia. Ou seja, a recuperação custa uma fortuna, sem contar outros riscos envolvidos em situações como essa.
É crucial entender que a segurança deve ser tratada como parte integrante da gestão de riscos das empresas e isso não deve ser uma atribuição exclusiva do departamento de TI. Todas as áreas e funcionários possuem um certo grau de responsabilidade e devem ficar atentos para evitar clicar em links desconhecidos.
Outro aspecto importante é considerar que a segurança cibernética deve ser estudada em todas as frentes, começando pela seleção cuidadosa de fornecedores e incluindo a contratação de avançadas ferramentas e soluções de apoio para a proteção digital.
Os incidentes recentes e a evolução das ameaças cibernéticas deixam claro que a infraestrutura crítica do setor de energia precisa ser protegida para mitigar riscos. Portanto, é fundamental que empresas invistam em medidas de segurança cibernética para melhorar suas barreiras de proteção. Base para todas as atividades que desempenhamos, desde as mais simples, em nossas casas, até a produção de bens e serviços no mundo empresarial, é preciso garantir que a infraestrutura desse insumo fundamental para a sociedade esteja efetivamente segura. A Resolução Normativa 964 da Aneel é um passo na direção certa, mas a colaboração contínua e o compromisso de todos são essenciais para garantir um fornecimento de energia confiável e seguro para todos.