Rio de Janeiro – H� cerca de um ano e meio, a Eletrosul, empresa p�blica controlada pela Eletrobras com atua��o nas �reas de gera��o e transmiss�o de energia na Regi�o Sul e em Mato Grosso do Sul, decidiu colocar em pr�tica algumas a��es para se proteger de ciberataques. Naquela �poca, relata o diretor de Opera��es Rog�rio Bonnie, a empresa percebeu que o setor de energia apresentava fragilidades em rela��o a esse tipo de amea�a e se tornava alvo f�cil de ataques de hackers.
Um ano atr�s, houve uma tentativa de invas�o do sistema da Eletrosul, mas sem sucesso, segundo Bonnie. A��es como essa t�m v�rias motiva��es. V�o desde a tentativa de fraudar a medi��o do consumo de energia de uma empresa, passando pelo roubo de dados da empresa (ou de seus clientes), que pode incluir pedidos de resgate para que o ataque seja suspenso.
H� tamb�m motiva��es ligadas ao ciberterrorismo ou � pol�tica, como a interrup��o de energia motivada por um protesto ou com o objetivo de causar danos aos ativos da concession�ria. Em muitos casos, o consumidor final nem chega a perceber algum problema na presta��o de servi�o da companhia, mas at� uma varia��o de energia quase impercept�vel pode ser causada pela a��o de um hacker na rede el�trica.
O tema da seguran�a das redes no setor foi levado � Associa��o Brasileira das Empresas de Transmiss�o de Energia El�trica (Abrate), conta o executivo. A entidade criou uma esp�cie de for�a-tarefa para discutir como as empresas podem se proteger de ciberataques. “O setor precisa de uma padroniza��o para evitar que cada companhia se proteja de um jeito, o que acaba deixando muitas delas ainda expostas aos riscos”, explica. O plano da associa��o � ter at� o fim do ano um documento com propostas para unificar os procedimentos de prote��o no setor el�trico.
A UTC Am�rica Latina (UTCAL), associa��o voltada a empresas e profissionais de telecomunica��es das �reas de energia, g�s e �gua, segue na mesma dire��o da Abrate e tamb�m vem defendendo h� cerca de dois anos que a Ag�ncia Nacional de Energia El�trica (Aneel) e o Minist�rio de Minas e Energia criem uma esp�cie de manual de conduta para minimizar os riscos de ataques cibern�ticos no Brasil.
Esse tipo de discuss�o sobre regras para prote��o de redes de energia de ataques cibern�ticos, explica Dymitr Wajsman, presidente da UTCAL, come�ou a ocorrer nos Estados Unidos h� pelo menos dez anos e logo depois na Uni�o Europeia. Ambos j� t�m protocolos de seguran�a que devem ser obrigatoriamente seguidos pelas empresas. “Imagine os efeitos de um ataque cibern�tico que, por exemplo, deixe uma cidade no escuro por horas, com as pessoas sem condi��es de se deslocar, hospitais e outros servi�os essenciais suspensos e o risco de aumento de furtos e at� de assassinatos”, lembra Wajsman. “� um perigo muito grande”, alerta.
Estudo
A entidade encomendou um estudo junto ao CPqD que mostra o impacto desse tipo de a��o de hackers. Em uma simula��o de ataque que abalasse durante cinco horas o abastecimento de energia das empresas CEB-DIS, Cemig-D, Eletropaulo e Light, o preju�zo seria de R$ 642 milh�es. “Hoje percebemos que falta uma regra comum para padronizar as a��es contra a a��o de hackers. E sem um programa governamental, as empresas preferem n�o compartilhar seus dados, o que dificulta muito o diagn�stico e a preven��o do problema”, explica.
Al�m de um programa de seguran�a para o setor el�trico, a UTCAL defende que a Aneel autorize que parte do valor aplicado pelas empresas de gera��o, transmiss�o e distribui��o de energia para pesquisa e desenvolvimento (P&D) seja usado em seguran�a de redes. Por lei, elas s�o obrigadas a investir 1% de suas receitas nesses projetos. Hoje, segundo Wajsman, muitas companhias do setor de energia v�m enfrentando dificuldades de caixa e poderiam ter nessa flexibiliza��o do uso dos recursos de P&D em programas de ciberseguran�a uma forma de se protegerem e, ao mesmo tempo, atender a exig�ncia da lei.
De acordo com o representante da UTCAL, muitas empresas t�m sentido dificuldade em investir em P&D por falta de projetos que atendam as exig�ncias da Aneel. Quando elas n�o utilizam os recursos previstos em lei, s�o obrigadas da destinar o que sobrar para a ag�ncia.
Para Carlos Alberto Calixto Mattar, superintendente de Regula��o dos Servi�os de Distribui��o da Aneel, uma alternativa para as empresas � que elas desenvolvam projetos de P&D ligados a ciberseguran�a. Assim, poderiam aproveitar os recursos obrigat�rios na prote��o de suas redes.
Segundo o superintendente, por enquanto a discuss�o sobre essa flexibiliza��o do uso dos recursos dos projetos de P&D para evitar ciberataques ainda n�o est� entre as prioridades da Aneel. “N�o temos prazo para discutir a poss�vel aprova��o dessa mudan�a”, diz. No m�s passado, uma falha t�cnica causou um apag�o de aproximadamente tr�s horas no Norte e no Nordeste. S� nesse evento, segundo Wajsman, o preju�zo teria chegado a cerca de R$ 77 milh�es.
Para o presidente da UTCAL, a��es de hackers (n�o foi o caso do apag�o ocorrido em mar�o) podem ter alcance em toda a cadeia da empresa de energia. H� o risco, por exemplo, de corte de comunica��o entre ela e os clientes ou, em um caso extremo, interrup��o do abastecimento el�trico por tempo indeterminado. Esse tipo de amea�a come�ou a se intensificar nos �ltimos anos por conta do avan�o dos sistemas digitais nas empresas do setor. A come�ar dos medidores de energia nas resid�ncias, que n�o s�o mais anal�gicos, mas sim digitais e interligados a centrais das distribuidoras.
"Black Energ" causou apag�o na Ucr�nia
A Ucr�nia foi v�tima de dois graves ciberataques � sua rede el�trica em um intervalo de dois anos. O primeiro deles foi em dezembro de 2015. O segundo ocorreu em dezembro de 2017. O ataque cibern�tico causou um apag�o e tamb�m o corte de uma parte do abastecimento de energia da capital do pa�s, Kiev, e foi feito por hackers.
O malware que causou o apag�o � o “Black Energy”. Apesar dos estragos, empresas da �rea de seguran�a informaram na �poca que o ataque de 2017 foi menos agressivo (durou cerca de uma hora) que o de 2015, quando os invasores conseguiram destruir os terminais dos operadores e impossibilitaram que o sistema fosse reparado de forma remota. A solu��o foi que os t�cnicos fossem at� as subesta��es para religar o abastecimento de energia. Autoridades ucranianas culparam a R�ssia pelos incidentes.
Em 2016, os russos tamb�m foram acusados de um ataque a uma estatal do setor el�trico dos Estados Unidos. O v�rus foi localizado em um notebook e isolado para que n�o contaminasse o sistema e afetasse o abastecimento de energia.
*A jornalista viajou a convite da UTCAL Summit 2018