Home Tech Digital ANEEL aplicará política de segurança cibernética

ANEEL aplicará política de segurança cibernética



A ANELL por intermédio da resolução 964/2021 começou a regular mais de perto o mercado. Esta resolução visa afastar os ataques das redes operativas, as redes que cuidam diretamente da operação do sistema elétrico.

A resolução tem como objetivo regulamentar as diretrizes aprovadas pelo Conselho Nacional de Política de Energia Elétrica (CNPE) em outubro. A resolução obrigará os agentes a adotar sistemas internos de segurança que cumpram os seguintes requisitos, dentre outros:

 . Obrigatoriedade de informar à ANEEL casos de crise em segurança cibernética;
 . Obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a ANEEL;
 . Obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória;
 . Segmentação de redes de operação de TI e Internet;
 . Procedimentos de resposta rápida para contenção de incidentes; e
 . Processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.



A REN 964/2021 determina como os agentes deverão atuar em caso de incidentes cibernéticos, inclusive criando obrigações de notificações, compartilhamento de informações e manutenção de registros para eventuais casos de fiscalização.

As empresas de energia elétrica também são alvos do crime cibernético. Os ataques promovidos por hackers mal-intencionados, e cibercriminosos no geral também fazem vítimas empresas e órgãos públicos do setor de energia elétrica.

Um estudo desenvolvido pelo Centro de Pesquisa e Desenvolvimento em Telecomunicações CPqD, através de um exercício teórico, estimou que cada minuto de interrupção no fornecimento de energia elétrica no Brasil teria um custo de R$ 5milhões, de modo que um dia inteiro sem eletricidade implicaria em perdas na ordem de R$ 7,3 bilhões. Às perdas financeiras diretas somam-se outros efeitos indiretos de difícil quantificação, como relacionados à saúde, o que reforça e reafirma a segurança cibernética como uma área crítica.

Apenas neste ano a Copel paranaense e a Eletronuclear estatal, da Eletrobras, que opera as usinas atômicas de Angra 1 e 2, revelaram ter sido alvos de invasão, embora infraestruturas relacionadas aos serviços de energia não tenham sido afetadas.

Em 2020, empresas brasileiras como Energisa e Light relataram ocorrências, também sem impacto à rede elétrica, assim como as europeias Enel e EDP, que possuem unidades no país.

A regulação  vem de encontro a um momento delicado que passamos. As questões dos confrontos internacionais voltam a colocar a guerra cibernética no centro das atenções, lembrando que uma variante de um vírus CrashOverride causou um apagão na Ucrânia. A guerra da Rússia contra a Ucrânia começou a pouco, mas o sistema elétrico ucraniano vem sendo alvo dos hackers russos há décadas. A primeira grande bomba dessa ofensiva cibernética foi lançada em 2015 contra a Kyivoblenergo, companhia ucraniana de distribuição de energia elétrica, quando cerca de 80 mil ucranianos ficaram sem luz no ataque conhecido como “BlackEnergy”. Foram várias ações criminosas desde então e, atualmente, após a invasão, o país do Leste Europeu perdeu o controle do seu sistema energético. Os blackouts são uma das armas de Moscou contra Kiev. A habilidade de hackers de diversas nacionalidades, entre eles os russos,  para violar sistemas energéticos é realidade no mundo todo, inclusive no Brasil.

Segundo Ricardo Esper da NESS, empresa especializada em segurança cibernética, os agentes do setor elétrico precisam se conscientizar que a segurança cibernética é um assunto prioritário. Ataques bem-sucedidos nesses campos podem trazer grande alarde, as paralisações podem prejudicar muito o cotidiano da nação. Se o ataque ocorrer nos sistemas de supervisão e aquisição de dados (SCADA) e de dispositivos eletrônicos inteligentes (IEDs) podem impedir a execução de manobras e acionamentos por parte dos operadores. Em um caso mais sério, um ataque ransomware em uma planta, a companhia ficaria sem autonomia alguma para tomar decisões operacionais.

Quais outros impactos no setor?

Existe a questão jurídica do descumprimento da Resolução 964. O operador que descumprir e não se adequar às normas de segurança digital será punido. Segundo Ana Carolina Katlauskas Calil, sócia da área de energia e Carla do Couto Hellu Battilana da área digital e privacidade de dados e segurança cibernética, ambas do escritório Tozzini Freire Advogados, a violação dará causa à aplicação das sanções cabíveis. O artigo 5º da Resolução Normativa ANEEL nº 846/2019 descreve as sanções administrativas aplicáveis às infrações pelo descumprimento da legislação setorial.

As advogadas lembram também que a REN 964/2021 não é a única norma aplicável ao setor, no tema de segurança cibernética. Ela é parte de um sistema legislativo envolvendo o assunto. Dependendo da natureza da informação tratada poderão ser aplicadas outras leis, como a LGPD (Lei Geral de Proteção de Dados) em caso de dados pessoais, o Marco Civil da Internet, em informações trafegadas pela internet e por fim o Código de Defesa do Consumidor.

Como estão os agentes?

As grande empresas já seguem se adequando à resolução da ANEEL, bem como seguindo boas práticas em seu cotidiano nas redes corporativas. Segundo o relatório trazido pelo Centro de Estudos Estratégicos e Internacionais (CSIS) e Trellix 85% sentem que sofreram ataques cibernéticos e apenas 9% dos operadores de infraestrutura crítica não possuem um plano de segurança.

Segundo Saulo Rodrigues, gerente de TI  e responsável por segurança da informação na Alupar, as empresas já buscam a elevação da maturidade da segurança utilizando os frameworks mais conhecidos como a ISO 27001. Para se adequar à nova resolução será necessário a integração de algumas áreas das companhias.

 

 

ANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernéticaANEEL aplicará política de segurança cibernética