A ANELL por intermédio da resolução 964/2021 começou a regular mais de perto o mercado. Esta resolução visa afastar os ataques das redes operativas, as redes que cuidam diretamente da operação do sistema elétrico.
A resolução tem como objetivo regulamentar as diretrizes aprovadas pelo Conselho Nacional de Política de Energia Elétrica (CNPE) em outubro. A resolução obrigará os agentes a adotar sistemas internos de segurança que cumpram os seguintes requisitos, dentre outros:
. Obrigatoriedade de informar à ANEEL casos de crise em segurança cibernética;
. Obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a ANEEL;
. Obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória;
. Segmentação de redes de operação de TI e Internet;
. Procedimentos de resposta rápida para contenção de incidentes; e
. Processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
A REN 964/2021 determina como os agentes deverão atuar em caso de incidentes cibernéticos, inclusive criando obrigações de notificações, compartilhamento de informações e manutenção de registros para eventuais casos de fiscalização.
As empresas de energia elétrica também são alvos do crime cibernético. Os ataques promovidos por hackers mal-intencionados, e cibercriminosos no geral também fazem vítimas empresas e órgãos públicos do setor de energia elétrica.
Um estudo desenvolvido pelo Centro de Pesquisa e Desenvolvimento em Telecomunicações CPqD, através de um exercício teórico, estimou que cada minuto de interrupção no fornecimento de energia elétrica no Brasil teria um custo de R$ 5milhões, de modo que um dia inteiro sem eletricidade implicaria em perdas na ordem de R$ 7,3 bilhões. Às perdas financeiras diretas somam-se outros efeitos indiretos de difícil quantificação, como relacionados à saúde, o que reforça e reafirma a segurança cibernética como uma área crítica.
Apenas neste ano a Copel paranaense e a Eletronuclear estatal, da Eletrobras, que opera as usinas atômicas de Angra 1 e 2, revelaram ter sido alvos de invasão, embora infraestruturas relacionadas aos serviços de energia não tenham sido afetadas.
Em 2020, empresas brasileiras como Energisa e Light relataram ocorrências, também sem impacto à rede elétrica, assim como as europeias Enel e EDP, que possuem unidades no país.
A regulação vem de encontro a um momento delicado que passamos. As questões dos confrontos internacionais voltam a colocar a guerra cibernética no centro das atenções, lembrando que uma variante de um vírus CrashOverride causou um apagão na Ucrânia. A guerra da Rússia contra a Ucrânia começou a pouco, mas o sistema elétrico ucraniano vem sendo alvo dos hackers russos há décadas. A primeira grande bomba dessa ofensiva cibernética foi lançada em 2015 contra a Kyivoblenergo, companhia ucraniana de distribuição de energia elétrica, quando cerca de 80 mil ucranianos ficaram sem luz no ataque conhecido como “BlackEnergy”. Foram várias ações criminosas desde então e, atualmente, após a invasão, o país do Leste Europeu perdeu o controle do seu sistema energético. Os blackouts são uma das armas de Moscou contra Kiev. A habilidade de hackers de diversas nacionalidades, entre eles os russos, para violar sistemas energéticos é realidade no mundo todo, inclusive no Brasil.
Segundo Ricardo Esper da NESS, empresa especializada em segurança cibernética, os agentes do setor elétrico precisam se conscientizar que a segurança cibernética é um assunto prioritário. Ataques bem-sucedidos nesses campos podem trazer grande alarde, as paralisações podem prejudicar muito o cotidiano da nação. Se o ataque ocorrer nos sistemas de supervisão e aquisição de dados (SCADA) e de dispositivos eletrônicos inteligentes (IEDs) podem impedir a execução de manobras e acionamentos por parte dos operadores. Em um caso mais sério, um ataque ransomware em uma planta, a companhia ficaria sem autonomia alguma para tomar decisões operacionais.
Quais outros impactos no setor?
Existe a questão jurídica do descumprimento da Resolução 964. O operador que descumprir e não se adequar às normas de segurança digital será punido. Segundo Ana Carolina Katlauskas Calil, sócia da área de energia e Carla do Couto Hellu Battilana da área digital e privacidade de dados e segurança cibernética, ambas do escritório Tozzini Freire Advogados, a violação dará causa à aplicação das sanções cabíveis. O artigo 5º da Resolução Normativa ANEEL nº 846/2019 descreve as sanções administrativas aplicáveis às infrações pelo descumprimento da legislação setorial.
As advogadas lembram também que a REN 964/2021 não é a única norma aplicável ao setor, no tema de segurança cibernética. Ela é parte de um sistema legislativo envolvendo o assunto. Dependendo da natureza da informação tratada poderão ser aplicadas outras leis, como a LGPD (Lei Geral de Proteção de Dados) em caso de dados pessoais, o Marco Civil da Internet, em informações trafegadas pela internet e por fim o Código de Defesa do Consumidor.
Como estão os agentes?
As grande empresas já seguem se adequando à resolução da ANEEL, bem como seguindo boas práticas em seu cotidiano nas redes corporativas. Segundo o relatório trazido pelo Centro de Estudos Estratégicos e Internacionais (CSIS) e Trellix 85% sentem que sofreram ataques cibernéticos e apenas 9% dos operadores de infraestrutura crítica não possuem um plano de segurança.
Segundo Saulo Rodrigues, gerente de TI e responsável por segurança da informação na Alupar, as empresas já buscam a elevação da maturidade da segurança utilizando os frameworks mais conhecidos como a ISO 27001. Para se adequar à nova resolução será necessário a integração de algumas áreas das companhias.