O ano de 2021 foi marcado por algumas iniciativas relacionadas à segurança cibernética para o setor elétrico no Brasil. O ONS (Operador Nacional do Sistema Elétrico) lançou a rotina operacional RO-CB.BR.01, que define as diretrizes que os agentes devem implementar para a proteção do ARCiber (Ambiente Regulado Cibernético). Por outro lado, a ANEEL (Agência Nacional de Energia Elétrica) divulgou a resolução normativa 964, que estabelece os pilares da cibersegurança para os agentes do setor.
Ampliando este tema para o âmbito mundial, a segurança cibernética para o setor elétrico já vem sendo desenvolvida há algum tempo. Nos EUA, foi criada a norma NERC-CIP que possui 12 itens principais conhecidos como CIPs ou Critical Infrastructure Protection. Este padrão aborda não apenas a segurança virtual, a segmentação de rede e a gestão de incidentes, mas também o treinamento de pessoas, a segurança física e a gestão de mudanças. Publicado inicialmente em 2008, este padrão vem se modernizando não apenas nos CIPs já existentes, mas também com a adição de novos itens, como é o caso do CIP-13, que trata da gestão de riscos para cadeia de suprimentos. Este CIP esteve em foco devido ao evento de segurança ocorrido com a empresa SolarWinds, no qual hackers injetaram código malicioso no produto chamado Orion, contaminando assim um vasto número de empresas que o utilizavam, incluindo entidades públicas e privadas.
Na América Latina, o NERC-CIP foi estendido para adoção no México em 2018, devido à grande sobreposição entre os sistemas elétricos desses dois países. Colômbia e Chile também adotaram um padrão de segurança cibernética para o setor elétrico praticamente idêntico ao NERC-CIP, utilizando uma estrutura de CIPs com a mesma numeração e nomes do padrão existente nos EUA.
A rotina operacional do ONS
No Brasil, optou-se por um outro caminho. Após diversos meses de trabalho e algumas consultas públicas, o ONS iniciou a jornada de segurança cibernética em meados de julho, com a publicação do documento “Controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético”. Conforme o nome indica, estes são controles básicos e visam a segurança do ONS e, de maneira indireta, a segurança dos agentes em si. Os prazos para a adoção da rotina operacional (RO) são divididos em duas ondas: 09/01/2023 e 09/10/2023.
Abaixo estão os principais pontos da RO:
4.1 – Arquitetura Tecnológica para o Ambiente – Trata de segmentação das redes, acesso remoto e proteção de endpoints;
4.2 – Governança de Segurança da Informação – Criação de política de segurança, além da definição do responsável pela segurança no ARCiber;
4.3 – Inventário de Ativos – Gerenciamento do inventário de ativos, incluindo versões de software, e hardening (desligamento de serviços desnecessários e mitigação de vulnerabilidades);
4.4 – Gestão de Vulnerabilidades – Identificação e tratamento de vulnerabilidades, incluindo cronograma de atualizações;
4.5 – Gestão de Acessos – Política de gestão de acesso, definição de complexidade de senha, controle de revogação de acesso e uso de MFA – Multiple Factor Authentication;
4.6 – Monitoramento e Resposta a Incidentes – Gestão de eventos e incidentes de segurança cibernética, bem como realização de testes recorrentes.
A normativa 964 da ANEEL
Próximo ao fim do ano, a ANEEL lançou a normativa 964 com foco específico na segurança cibernética dos agentes do setor. A normativa aborda de maneira ampla a questão da adoção de uma política de segurança da informação. Há pontos comuns com a rotina operacional, como o item 4.2, que trata de governança, e o item 4.6 que trata do monitoramento e resposta a incidentes. Porém, a normativa da ANEEL vai além e cobre outros temas, como o treinamento de pessoas, conforme especificado no artigo 4º inciso IX, e o compartilhamento de informações entre os agentes do setor, detalhado no seu artigo 7º.
Um ponto crítico com relação à normativa é o fato de que a mesma entra em vigor a partir do dia 1º de julho de 2022, o que significa que os agentes têm pouco mais de 6 meses para estar em conformidade.
Para fazer uma correlação de alto nível entre a NERC-CIP (EUA), a rotina operacional do ONS, e a normativa 964 (ANEEL), segue um quadro comparativo entre as três. Trata-se de uma comparação aproximada, já que a NERC-CIP é muito detalhada e ampla em suas definições, dificultando assim essa correlação direta entre seus itens.
NERC-CIP | ONS RC-CB.BR.01 | Normativa 964 ANEEL |
CIP-002 – BES Cybersystem Categorization | ||
CIP-003 – Security Management Controls | X | X |
CIP-004 – Personnel & Training | X | |
CIP-005 – Electronic Security Perimeter | X | |
CIP-006 – Physical Security of BES Cyber Systems | ||
CIP-007 – System Security Management | X | |
CIP-008 – Incident Reporting and Response Planning | X | X |
CIP-009 – Recovery Plans for BES Cyber Systems | ||
CIP-010 – Configuration Change Management and Vulnerability Assessments | X | |
CIP-011 – Information Protection | ||
CIP-013 – Supply Chain Risk Management | ||
CIP-014 – Physical Security |
Assim, é possível identificar alguns pontos em comum entre estes documentos e outros que ainda não foram abordados. Há um ponto sobre a comparação acima que precisa ser destacado: a RO é válida para os pontos de interconexão com o ONS, enquanto a NERC-CIP se aplica a todos os agentes de geração e transmissão dos Estados Unidos e México. Na Colômbia e Chile, se aplica à geração, transmissão e distribuição. Portanto, também é possível dizer que há uma maior quantidade de empresas que precisam se adequar à NERC-CIP.
Jornada para a maturidade cibernética – A publicação dos documentos do ONS e da ANEEL representam um marco histórico para a segurança cibernética no setor elétrico, iniciando um novo capítulo que é resultado do trabalho e pesquisa realizados nos anos anteriores. O poder inerente de uma resolução normativa fará com que o nível de maturidade cibernética do setor seja elevado, o que irá certamente contribuir para a qualidade e a disponibilidade do serviço oferecido à população e às empresas. Contudo, é importante ressaltar que se trata de um primeiro passo neste sentido, e as iniciativas devem continuar em um processo de evolução tanto em amplitude como em profundidade, já que os riscos e ameaças não se acomodam com o passar do tempo.
Finalmente, é importante ressaltar que o sucesso destas iniciativas depende de uma implementação que leve em conta a tríade tecnologia-recursos-processos. O setor elétrico brasileiro iniciou uma importante jornada para a maturidade cibernética, que vai beneficiar a todos – empresas, governo e população.
Autor:
Por Leonardo Moreira, engenheiro de Sistemas OT para Brasil e América Latina da Fortinet.