27 de agosto de 2019
Blog

Ataques cibernéticos no setor de energia

A transformação digital do setor de energia elétrica traz consigo promessas de inovação e geração de valor, com novos modelos de negócios, maior eficiência e melhoria nos serviços prestados. Entretanto, a introdução da tecnologia da informação aos sistemas de geração, transmissão e distribuição de energia deve também trazer desafios para o setor, entre eles o risco de ataques cibernéticos.

Segundo o Global Risk Report de 2018, do World Economic Forum (WEF), o número de ciberataques em diferentes setores da economia, assim como seu impacto para as organizações, tem aumentado nos últimos anos. O número de violações de segurança reportados pelas empresas dobrou nos últimos 5 anos e a estimativa do custo para as organizações nos próximos 5 anos pode atingir cifras da ordem de U$8 trilhões.

O Global Risk Report de 2019 apontou novamente os ataques cibernéticos como um dos principais riscos para os próximos anos, indicando ainda uma tendência no crescimento de ataques voltados para setores de infraestrutura crítica, como o de energia elétrica. Esse aumento de ataques no setor de energia está relacionado com a crescente adoção de tecnologias digitais, como Internet das Coisas (do inglês, Internet of Things, IoT), que adicionam vulnerabilidades aos sistemas, aumentando sua exposição à ataques.

Por exemplo, os Smart Grids utilizam medidores inteligentes que registram o consumo de energia elétrica e enviam os dados, em tempo real, diretamente para as concessionárias através da Internet. Se por um lado os Smart Grids trazem benefícios para as concessionárias e consumidores, por outro lado, do ponto de vista de segurança da informação, eles aumentam a superfície de ataque do sistema elétrico.

Organizações do setor de energia podem ser vítimas tanto de ataques cibernéticos gerais, que não tem como alvo uma empresa ou setor específico, como ataques bastante específicos, que tem como objetivo atingir o sistema elétrico ou uma empresa específica do setor. As consequências desses ataques virtuais vão desde roubos de dados e fraudes no faturamento até danos a equipamentos de infraestrutura, podendo inclusive comprometer o fornecimento de energia elétrica.

Em 2017 o WannaCry, um ransomware que criptografa dados de computadores e exige o pagamento de resgate, atingiu mais de 300.000 computadores, afetando pessoas físicas, empresas e comprometendo a operação de sistemas de telecomunicações, bancários, financeiros, governamentais e de energia em mais de 150 países.

Além do risco para cada empresa específica, a interconexão do sistema elétrico pode multiplicar os danos causados por um ataque cibernético. Um ataque bem coordenado, focado nos elos mais fracos do ponto de vista de segurança, pode causar um efeito dominó amplificando as dimensões dos danos. Um ataque dessa natureza pode provocar a interrupção no fornecimento de energia de um país inteiro, causando transtornos para a sociedade, com impactos em serviços vitais, como escolas, hospitais e segurança pública, para citar alguns.

O primeiro ciberataque a provocar apagão na rede elétrica que se tem notícia aconteceu na Ucrânia em dezembro de 2015. Os hackers conseguiram comprometer os sistemas de três empresas de distribuição de energia e interromper o fornecimento de eletricidade aos consumidores finais por várias horas.

O malware utilizado no ataque da Ucrânia de 2015, conhecido como Black Energy, desligou 30 subestações de energia, causando um apagão para 230.000 pessoas.

Em 2017, o sistema elétrico da Ucrânia foi alvo de um novo ataque, embora com impactos menores que os observados em 2015. Ainda que não haja comprovação, autoridades ucranianas atribuem esses ataques a hackers russos motivados pelas tensões geopolíticas entre os dois países.

Em 2018, o Departamentos de Segurança Interna dos EUA reportou ataques de hackers russos direcionados a áreas de infraestrutura crítica dos Estados Unidos, incluindo os setores de energia elétrica e nuclear. Os hackers conseguiram acesso às salas de controle das usinas elétricas americanas, mas não houve interrupção no fornecimento de energia.

Em reação aos ataques ao setor de energia elétrica, instituições internacionais têm criado recomendações e regulamentos para melhorar a cibersegurança nas organizações do setor, como, por exemplo, o NIST Cybersecurity Framework nos EUA e a NIS Directive na União Europeia.

As iniciativas de regulamentação oferecem uma referência para as organizações do setor, entretanto, segundo o Cyber Resilience in the Electricity Ecosystem (um guia do WEF publicado esse ano para orientar os conselhos diretores das empresas do setor), a simples conformidade com essas normas não necessariamente garante a segurança dessas organizações.

A rápida digitalização do ecossistema de energia elétrica criam um cenário bastante dinâmico, com novos tipos de ataques surgindo a cada dia, de modo que as regulamentações dificilmente serão capazes de contemplarem os riscos mais recentes. Assim, segundo o WEF, é importante que as organizações adotem uma abordagem estratégica para gerenciar os riscos cibernéticos.

O WEF enfatiza também que a responsabilidade pela segurança cibernética não deve ser delegada exclusivamente aos departamentos de tecnologia da informação dessas organizações. Os riscos cibernéticos devem ser tratados de forma sistemática, integrada aos demais riscos de negócio e estar na pauta de todo o conselho diretor das organizações.

Por isso, o WEF produziu o guia Cyber Resilience in the Electricity Ecosystem para orientar conselhos diretores para melhorar a segurança cibernética de empresas do setor de energia elétrica. O guia lista 10 princípios de governança cibernética gerais, que podem ser aplicados a qualquer organização (inclusive empresas do setor elétrico), e 7 princípios específicos para empresas do setor de energia elétrica.

Segue abaixo a lista dos 7 princípios específicos recomendados pelo WEF para promover a segurança cibernética em organizações do setor elétrico. A lista completa (incluindo os 10 princípios gerais) e uma descrição mais detalhada de cada princípio pode ser encontrada no documento Cyber Resilience in the Electricity Ecosystem disponível online.

Princípios de Segurança Cibernética para o Setor de Energia Elétrica

Governança de segurança cibernética

A diretoria deve requisitar implementação de uma governança cibernética ampla, contemplando a tecnologia da informação (TI), a tecnologia operacional, a segurança física e a transformação digital, garantindo interoperabilidade dentro da organização e o alinhamento em todo o ecossistema.

Segurança pelo design

O conselho diretor deve promover uma cultura de segurança pelo design, requisitando à gestão a

implementação e o monitoramento dessa cultura.

Indo além da conformidade

A diretoria deve garantir que sua postura de segurança cibernética vá além da simples conformidade com normas e regulamentos, buscando uma gestão de risco abrangente e que tenha os fundos e recursos necessários.

Avaliação e priorização de risco sistêmico

O conselho diretor deve garantir que a gestão da empresa entenda as interdependências da organização dentro do ecossistema, reportando riscos cibernéticos sistêmicos desse ecossistema, planejando e priorizando os esforços de segurança apropriadamente.

Responsabilidade corporativa pela segurança cibernética

A direção deve encorajar a gestão da empresa a considerar os riscos cibernéticos que empresa, sua cultura e práticas de segurança, podem impor ao ecossistema, identificando como esses riscos podem ser mitigados.

Colaboração com todo o ecossistema

A diretoria deve capacitar a gerência a criar uma cultura de colaboração, definir objetivos estratégicos em torno do compartilhamento de informações e entender e mitigar os riscos cibernéticos no ecossistema O conselho também deve colaborar ativamente com os pares da indústria e os decisores políticos.

Planos de segurança cibernética com todo o ecossistema

A diretoria deve incentivar a administração a criar, implementar, testar e melhorar continuamente os planos e controles coletivos de resiliência cibernética junto com outros membros do ecossistema. Esses planos devem equilibrar adequadamente a preparação e a proteção com a capacidade de resposta e recuperação.

Ataques cibernéticos no setor de energia

Princípios de Segurança Cibernética para o Setor de Energia Elétrica

Governança de segurança cibernética

Segurança pelo design

Indo além da conformidade

Avaliação e priorização de risco sistêmico

Responsabilidade corporativa pela segurança cibernética

Colaboração com todo o ecossistema

Planos de segurança cibernética com todo o ecossistema

Frederico Gonçalves

Pesquisar

Posts Popular

Como se tornar um QA? Nosso especialista explica!

Qual é a diferença entre UI e UX e porque investir

O que são GANs?

Darkmode e os benefícios para a experiência do usuário

Quer saber como usar o QR Code em sua empresa? Veja 6 aplicações!

8 Aplicações de Inteligência Artificial no Setor de Energia

Entenda a relação entre ESG e Inteligência Artificial

Tags

Ataques cibernéticos no setor de energia

Princípios de Segurança Cibernética para o Setor de Energia Elétrica

Governança de segurança cibernética

Segurança pelo design

Indo além da conformidade

Avaliação e priorização de risco sistêmico

Responsabilidade corporativa pela segurança cibernética

Colaboração com todo o ecossistema

Planos de segurança cibernética com todo o ecossistema

Frederico Gonçalves

Pesquisar

Categorias

Posts Popular

Como se tornar um QA? Nosso especialista explica!

Qual é a diferença entre UI e UX e porque investir

O que são GANs?

Darkmode e os benefícios para a experiência do usuário

Quer saber como usar o QR Code em sua empresa? Veja 6 aplicações!

8 Aplicações de Inteligência Artificial no Setor de Energia

Entenda a relação entre ESG e Inteligência Artificial

Tags

Arquivos