Por Gisele Braga
A sigla RO-CB.BR.01 diz respeito ao documento lançado pelo Operador Nacional do Sistema Elétrico (ONS) em julho de 2021 com o objetivo de criar padrões mínimos de cibersegurança nas empresas que compõem o setor. Em meio a um aumento geral no número de ciberataques e vazamentos de dados, essas regras são mais do que necessárias.
Estamos, afinal, nos referindo a um setor que afeta diretamente a vida de todos! O setor de energia é sensível para todo o mundo: casas, escolas, hospitais, empresas de um modo geral, tudo depende de energia. Por isso, e para além disso, é um setor que guarda dados preciosos e que, assim como o restante do mundo, passa por um processo intenso de digitalização. Uma paralisação no atendimento de energia pode ter um impacto tremendo, causando um apagão nacional.
Em 2020, cinco ataques foram feitos contra empresas de energia. Em fevereiro de 2021, a Companhia Paranaense de Energia (COPEL) e a Eletrobras informaram que sofreram ataques cibernéticos — este último atingiu a subsidiária responsável pelas usinas nucleares de Angra dos Reis, embora a companhia tenha garantido que “o incidente não trouxe impactos para a segurança”.
Os exemplos citados ajudam a compreender o resultado de um estudo da PwC. A pesquisa revelou que “58% das empresas de energia apontaram acreditar que os seus serviços de nuvem sofrerão tentativas de ataques cibernéticos nos próximos 12 meses”. Muito, né?
Os gestores precisam estar com o senso de urgência ligado no alerta máximo. Se ainda não há um plano traçado para alcançar o que é exigido pela nova regulamentação, então, esse processo já está atrasado e é preciso correr atrás do prejuízo.
A mudança proposta pelo ONS vem em ondas. O prazo de adequação para uma parte delas termina em janeiro de 2023. Para o restante, a data limite é outubro do mesmo ano. E já se passaram oito meses desde que as novas regras foram publicadas, praticamente metade do tempo disponível para adaptação. O que as empresas do setor elétrico fizeram até agora? E quantos passos ainda precisam ser dados até que as novas regras sejam plenamente cumpridas?
Os gestores precisam estar com o senso de urgência ligado no alerta máximo. Se ainda não há um plano traçado para alcançar o que é exigido pela nova regulamentação, então, esse processo já está atrasado e é preciso correr atrás do prejuízo. Vale lembrar também que algumas das adaptações demandam novos equipamentos. Como há uma crise mundial de componentes, podem ser necessários meses para que os pedidos sejam entregues — e, depois, ainda haverá toda a fase de rollout da tecnologia, que também demanda tempo.
Mas se a urgência para lidar com as novas regras é um fato, outra pergunta fica no ar: o que mudou? O documento do ONS em si é o básico do básico; não exige nada de mirabolante. A grande questão é que, para o setor, que nunca tinha enfrentado questões de cibersegurança dessa forma, as novas regras são, sim, revolucionárias.
O uso das ferramentas adequadas gera insights de negócios e de segurança. Com elas, é possível dizer: você pode ter um possível ataque a partir de determinada porta de seu sistema e o recurso que você pode usar para impedir é este
O documento diz que é preciso ter uma arquitetura tecnológica para o ambiente de operações. Também, que é preciso cuidar da governança da segurança da informação, com a criação de uma política de segurança cibernética e a definição de um responsável por ela. É necessário fazer o gerenciamento do inventário de ativos, a gestão de vulnerabilidades, o controle de acessos e um monitoramento constante de incidentes de segurança, com uma política para acompanhar as respostas.
Para cada um desses itens há uma forma de agir e existem ferramentas e serviços, no mercado, capazes de responder a essas demandas e apoiar o setor de energia nessa jornada digital pela cibersegurança. O uso das ferramentas adequadas gera insights de negócios e de segurança. Com elas, é possível dizer: você pode ter um possível ataque a partir de determinada porta de seu sistema e o recurso que você pode usar para impedir é este. Com a informação em mãos, a empresa pode determinar qual tipo de ação vai tomar: vai bloquear a porta? Colocar o sistema em quarentena? Automatizar respostas?
Mas vale lembrar que além das ferramentas, adequar os processos é muito importante e este é um desafio ao setor. Adequar procedimentos, preparar pessoas, gerir acessos. De alguma forma, adequar-se às novas regras vai demandar mudança no processo operacional e, consequentemente, mudança no dia a dia das pessoas.
O caminho na direção da cibersegurança não tem volta e empresas da área, dos mais diversos portes, precisam tratar desse assunto com a devida urgência, afinal, investir em segurança é uma conduta não apenas necessária, é uma medida estratégica
Outra questão a ser observada é a relação entre os requisitos de conhecimentos profissionais necessários versus a quantidade de mão de obra qualificada disponível no mercado. Se considerarmos as mais de 700 empresas envolvidas, direta e indiretamente, no setor elétrico e a necessidade de um nível de serviços 24×7 em cada uma dessas empresas, não teremos profissionais qualificados suficientes para atender, em tempo hábil, a cada uma dessas companhias. É, portanto, necessário contar com empresas capazes de apresentar soluções no contexto fim a fim: pessoas, processos e ferramentas.
Em paralelo ao documento do ONS, no final de 2021, a Agência Nacional de Energia Elétrica lançou a normativa 964, que também joga luz à necessidade de mais segurança cibernética para o setor de energia. O caminho na direção da cibersegurança não tem volta e empresas da área, dos mais diversos portes, precisam tratar desse assunto com a devida urgência, afinal, investir em segurança é uma conduta não apenas necessária, é uma medida estratégica.
Leia mais
O aumento dos ciberataques e por que a segurança é um investimento estratégico
Aceleração da transformação digital no pós-pandemia é caminho sem volta