O setor de energia na América Latina está passando por uma transformação digital significativa, impulsionada pela demanda crescente por fontes de energia renováveis e pela modernização das infraestruturas. Este avanço, no entanto, traz consigo desafios críticos de cibersegurança.
Neste artigo vamos analisar o relatório recente publicado pela McKinsey & Company, onde foi destacado que a cibersegurança do setor de energia deve ser uma prioridade estratégica para as empresas da região. A integração de medidas robustas de proteção é essencial para garantir a segurança e a resiliência dessas infraestruturas críticas.
Principais Desafios de Cibersegurança
O relatório da McKinsey destaca três características que tornam o setor de energia especialmente vulnerável a ameaças cibernéticas:
- Aumento do Número de Ameaças: As empresas de energia são alvos atraentes para atores estatais e cibercriminosos devido ao valor econômico do setor. Ataques a essas empresas podem causar disrupções significativas nas operações, impactando a economia e a segurança nacional.
- Complexidade Geográfica e Organizacional: A estrutura descentralizada e a complexidade das operações dificultam a implementação de medidas de segurança coesas e integradas. A diversidade geográfica e a liderança fragmentada em cibersegurança no setor de energia aumentam os desafios de coordenação.
- Interdependência entre Infraestruturas Físicas e Cibernéticas: A interconexão entre sistemas físicos e cibernéticos cria vulnerabilidades adicionais. Ataques cibernéticos podem resultar em danos físicos aos equipamentos ou interrupções na geração, transmissão e distribuição de energia.
Ameaças Cibernéticas Crescentes e Atividades Maliciosas
Os atores estatais e cibercriminosos estão cada vez mais direcionando seus esforços para atacar provedores de infraestrutura como parte de suas campanhas mais amplas. A medida que as empresas de energia da América Latina expandem o uso de medidores inteligentes, a necessidade de mitigar essas ameaças se torna crucial, quando a região já experimentou vários ataques cibernéticos significativos, sublinhando a necessidade urgente de reforçar a cibersegurança no setor de energia:
- Junho de 2020: a Light SA foi alvo de um ataque de ransomware, com os atacantes exigindo um resgate de 7 milhões de dólares.
- Abril de 2020: ainda no Brasil, a CEMIG sofreu um ataque cibernético que deixou muitos serviços offline por vários dias.
- 2017: a Petrobras foi afetada pelo ataque de ransomware WannaCry, resultando na desconexão de sistemas da internet para evitar a propagação do ransomware.
Além disso, hacktivistas, embora geralmente menos sofisticados, ainda podem causar grandes interrupções nas operações de energia elétrica e gás, como através de ataques distribuídos de negação de serviço (DDoS). A McKinsey observa que, embora muitas concessionárias estejam cientes dos riscos associados à cibersegurança, ainda existem inconsistências nos investimentos em controles de cibersegurança para o setor de energia para TI e OT e no desenvolvimento de estratégias coordenadas.
Vulnerabilidades ao Longo de Toda a Cadeia de Suprimentos
O relatório da McKinsey enfatiza que as vulnerabilidades de cibersegurança no setor de energia podem ocorrer em toda a cadeia de suprimentos, incluindo geração, transmissão, distribuição e a própria rede de comunicação.
- Geração: Usinas de energia renovável, como solares e eólicas, dependem de sistemas digitais para monitoramento e controle. Ataques a esses sistemas podem interromper a produção de energia.
- Transmissão: As linhas de transmissão são vitais para levar energia das usinas aos centros de consumo. Vulnerabilidades nesse estágio podem resultar em interrupções em larga escala.
- Distribuição: O sistema de distribuição entrega energia diretamente aos consumidores. Ataques aqui podem causar apagões localizados ou generalizados, afetando significativamente a sociedade e a economia.
- Rede/Network: A rede digital que conecta todos esses sistemas é um ponto central de vulnerabilidade. Ataques a essa rede podem ter efeitos cascata, comprometendo várias partes da infraestrutura de energia simultaneamente.
As concessionárias de energia, por sua natureza, operam uma infraestrutura geograficamente distribuída por muitos locais. Por exemplo, o Brasil abriga a linha de transmissão de corrente contínua de alta voltagem mais longa do mundo. Grandes pegadas geográficas tornam difícil manter a visibilidade necessária em sistemas de TI e OT.
Muitas concessionárias dependem de várias unidades de negócios diferentes para refinar, gerar, transmitir e distribuir energia e recursos. Isso, combinado com o grande número de funcionários, contratados e fornecedores que requerem acesso aos sites e sistemas da empresa, torna as políticas de segurança de TI, incluindo a gestão de identidade e acesso, especialmente difíceis.
Medidas de Proteção Recomendadas pela McKinsey
Para enfrentar esses desafios, a McKinsey recomenda uma abordagem integrada e abrangente de cibersegurança para o setor de energia, ou seja, uma verdadeira “Teia de Proteção” com uma abordagem estruturada que aplica frameworks de comunicação, organizacionais e de processos, juntamente com melhorias técnicas em algumas áreas, que pode reduzir significativamente os riscos relacionados a cibersegurança para concessionárias de energia, incluindo:
- Treinamento e Capacitação: É fundamental educar e treinar funcionários para reconhecer e responder a ameaças cibernéticas. A conscientização é a primeira linha de defesa contra ataques cibernéticos.
- Inteligência de Ameaças Estratégica: As empresas devem continuar a adotar uma visão proativa e preemptiva do panorama de ameaças variadas e avançadas. Empregar equipes analíticas que possam fornecer uma visão holística e proativa, monitorando ameaças em toda a indústria e região, incluindo inteligência sobre vulnerabilidades técnicas e os vários fatores que moldam o ambiente de ameaças, é crucial.
- Colaboração Internacional: Trabalhar em conjunto com parceiros internacionais permite o compartilhamento de informações sobre ameaças e melhores práticas. A colaboração global é essencial para enfrentar ameaças cibernéticas transnacionais.
- Inovação e Investimento: Investir em novas tecnologias de segurança cibernética para proteger infraestruturas críticas contra ameaças emergentes. Soluções inovadoras podem oferecer camadas adicionais de proteção e melhorar a resiliência cibernética.
Transformação Digital Acelerada
As empresas de energia da América Latina estão digitalizando rapidamente suas operações para atender à complexidade e escala das demandas energéticas de fontes mais distribuídas e menos previsíveis, como energia eólica e solar. Enquanto esses novos sistemas permitem que as empresas correspondam a oferta e demanda de maneira mais eficiente, eles também aumentam a exposição a diferentes tipos de ameaças cibernéticas dentro do setor de energia.
De acordo com o relatório da McKinsey, a sabedoria convencional de manter uma separação completa entre redes de Tecnologia da Informação (IT) e Tecnologia Operacional (OT) não é a mais eficaz para garantir a segurança de infraestruturas críticas. Elementos cruciais, como sistemas de controle de turbinas e equipamentos de monitoramento, necessitam de conectividade com a internet para fornecedores e outras partes externas. Além disso, os sistemas OT nunca estão totalmente isolados, pois existem caminhos não intencionais que conectam redes OT a sistemas e dispositivos TI.
Essa integração já foi discutida em nosso artigo A Importância da Integração entre IT e OT: Maximizando o Potencial do SOC. Na Munio Security, essa abordagem integrada é uma parte fundamental da nossa estratégia de segurança cibernética, garantindo que ambos os domínios estejam protegidos e possam operar de forma eficiente e segura. Ao invés de um isolamento total, a McKinsey recomenda que as empresas de utilidade pública adotem uma abordagem que projete zonas de segregação claras entre redes IT e OT, com uma mentalidade voltada para a segurança. Por exemplo, sistemas de manutenção e ticketing para sistemas OT, ambas funções de IT, devem ser colocados em uma zona de segurança separada para garantir proteção adicional em caso de comprometimento da rede IT mais ampla.
Programa de Inteligência de Ameaças
Para estabelecer uma abordagem integrada de segurança e adotar uma abordagem abrangente para ameaças convergentes, as empresas devem iniciar com uma avaliação holística de maturidade em cibersegurança no setor de energia. Esta avaliação deve:
- Avaliar a maturidade atual de cibersegurança e comparar capacidades com pares da indústria.
- Mapear funções de negócios chave em uma cadeia de valor, permitindo que unidades de negócios priorizem e protejam os ativos e sistemas de informação mais críticos.
- Garantir que o programa de cibersegurança seja robusto e que os sistemas estejam protegidos contra ameaças emergentes.
As empresas de utilidade pública devem continuar a adotar uma visão proativa e preventiva do panorama de ameaças variadas e avançadas. Organizações devem empregar equipes analíticas que possam fornecer uma visão holística e proativa, monitorando ameaças em toda a indústria e região. Este programa deve identificar oportunidades com base no programa existente de inteligência de ameaças, aumentando a consciência situacional, definir um programa robusto de inteligência de ameaças, incluindo tópicos de inteligência tática, operacional e estratégica, realizar uma revisão detalhada dos facilitadores do programa de inteligência de ameaças.
A Importância da Rotina Operacional do ONS no Brasil
No Brasil, o Operador Nacional do Sistema Elétrico (ONS) estabeleceu uma rotina operacional obrigatória em 2022, que se alinha com os princípios de segurança cibernética destacados pelo Departamento de Energia dos EUA (DOE) e pelo relatório da McKinsey. A rotina operacional do ONS inclui diretrizes para:
- Identificação de Vulnerabilidades: Avaliar e identificar vulnerabilidades em toda a cadeia de suprimentos, garantindo que todos os pontos de entrada e sistemas críticos sejam protegidos.
- Monitoramento Contínuo: Implementar sistemas de monitoramento contínuo para detectar atividades suspeitas em tempo real, permitindo uma resposta rápida e eficaz a incidentes cibernéticos.
- Resiliência e Recuperação: Desenvolver planos robustos de resposta a incidentes e recuperação para minimizar o impacto de ataques cibernéticos e garantir a continuidade das operações.
Impacto e Benefícios para o Brasil
A adoção dessas medidas de cibersegurança no setor de energia não apenas protege as operações no Brasil, mas também traz benefícios adicionais, como a segurança aprimorada com a implementação de medidas robustas de segurança cibernética que melhoram significativamente a capacidade de detectar, responder e mitigar ameaças cibernéticas. Isso protege ativos valiosos e operações críticas, reduzindo o risco de interrupções e danos.
Desenvolver planos robustos de recuperação é crucial para garantir a continuidade das operações mesmo em caso de ataque cibernético. Isso inclui a criação de estratégias de resposta rápida e a implementação de sistemas redundantes para manter os serviços operacionais durante incidentes. E aderir a normas como a ISO 27001 e a IEC 62443, além das diretrizes da ONS, garante que as empresas estejam alinhadas com os padrões globais de segurança. Isso não apenas aumenta a confiança dos stakeholders, mas também assegura a conformidade com os requisitos regulatórios.
A segurança cibernética no setor de energia é uma prioridade vital para garantir a continuidade e a segurança das operações. Com o aumento das ameaças cibernéticas, é crucial que as empresas adotem uma abordagem proativa e integrada para proteger suas infraestruturas críticas. O relatório da McKinsey serve como um lembrete da importância de estar vigilante e preparado.
Para saber mais sobre como proteger suas operações críticas e adotar medidas eficazes de cibersegurança, visite nosso site ou entre em contato conosco. Na Munio Security, estamos comprometidos em ajudar sua empresa a enfrentar os desafios da era digital com confiança e segurança.