A evolução do setor elétrico diante das ameaças cibernéticas nos ambientes de missão crítica

A indústria de energia é uma das poucas que apresentam atualmente boas perspectivas, com oportunidades consistentes para crescimento de investimentos internacionais, especialmente relacionados às fontes de energias renováveis, como a solar, eólica e biomassa. O choque profundo na demanda durante a pandemia impactou toda a cadeia, mas o segmento se reinventou rapidamente. Desde o início do isolamento, foram tomadas medidas que permitiram, em pouco tempo, avançar anos na digitalização do atendimento. Um caminho sem volta para as empresas, mas que precisa ser acompanhado por um plano de segurança cibernética ágil e estruturado.

Os desafios do setor elétrico em cibersegurança

As novas tecnologias, como inteligência artificial (IA), robótica, machine learning e Internet das Coisas (IoT), entre outras, permitiram avanços no ambiente de automação, como a possibilidade de operar grandes instalações, plantas e subestações de forma remota e centralizada, mas também aumentaram drasticamente a exposição das empresas a ameaças e os riscos de segurança cibernética.

Observamos um aumento de incidentes de segurança cibernética no setor elétrico, o que pode causar grande impacto para a sociedade, gerar multas regulatórias e prejudicar significativamente a reputação das empresas, em virtude de possíveis paralisações parciais ou totais dos serviços.

Diante das ameaças cibernéticas, empresas de energia em todo o mundo têm investido cada vez mais na segurança digital. Segundo a pesquisa Digital Trust Insights, 58% das empresas do setor pretendem aumentar o orçamento de cibersegurança em 2021.

Intenção de investimento das empresas do setor de Energia em todo mundo nos próximos 3 anos em consequência da crise da Covid-19

Fonte: 24ª CEO Survey, PwC.

O que propõe o ONS

No Brasil, ainda não há uma regulamentação específica sobre segurança cibernética para as infraestruturas do setor elétrico. O Operador Nacional do Sistema Elétrico (ONS) submeteu à Agência Nacional de Energia Elétrica (Aneel), em abril de 2020, uma proposta de procedimento de rede com critérios e requisitos mínimos para a operação segura do Sistema Interligado Nacional (SIN). Em maio de 2020, a Aneel abriu consulta pública visando obter contribuições para essa regulamentação na atividade nº 103 da Agenda Regulatória 2020/2021. O procedimento sugerido compreende requisitos para os principais domínios de segurança: arquitetura, gestão de acesso e de vulnerabilidades, inventário de ativos e resposta a incidentes cibernéticos.

Uma jornada para transformação do ambiente de missão crítica no setor elétrico

Para melhor detectar e responder a ataques cibernéticos, além de se preparar para as futuras obrigações regulatórias, empresas do setor elétrico devem se comprometer com o financiamento, desenvolvimento e melhoria de um programa proativo de segurança cibernética.

O processo de transformação para uma empresa segura no âmbito digital passa por três dimensões de análise e quatro grupos de ações.

As três dimensões de análise

Um bom programa de segurança cibernética, estruturado nessas três dimensões de análise e alinhado aos objetivos do negócio, pode alavancar as capacidades de identificação, preparação e resiliência das organizações contra as ameaças cibernéticas no ambiente de missão crítica e atender às novas regulamentações no setor.

Estratégico

Neste primeiro estágio de análise, é preciso entender a dimensão da sua estrutura atual de segurança e o quanto ela está alinhada ao plano de negócio da empresa.

Ações de governança cibernética para tecnologia operacional (TO):

  • Visão de risco e maturidade atual
  • Estrutura organizacional de cyber para TO
  • Papéis e responsabilidades definidos
  • Conhecimento dos ativos críticos
  • Diretrizes para o ambiente de missão crítica
  • Conscientização e treinamentos específicos

Tático

Esta dimensão engloba de forma estruturada as ações que serão executadas e monitoradas para alavancar a estratégia definida no início da jornada.

Ações de conformidade e gestão de ameaças:

  • Adesão ao ONS e melhores práticas
  • Arquitetura tecnológica segura
  • Controle de acessos e ações privilegiadas
  • Gestão de vulnerabilidades e ameaças
  • Inventário de ativos

Ações de gestão de riscos para missão crítica:

  • Gestão dos riscos cibernéticos críticos para o negócio
  • Programa para identificação, análise, tratamento e mitigação dos riscos identificados
  • Gestão do mapa de riscos estabelecido

Operacional

A análise operacional aponta o nível do monitoramento de ameaças e gestão dos riscos da empresa.

Ações de monitoramento contínuo e gestão de crise:

  • Monitoramento contra ameaças cibernéticas no ambiente de missão crítica
  • Programa de gestão e resposta a crises e incidentes cibernéticos
  • Exercícios e simulados considerando a necessidade de negócio diante de uma crise cibernética

Contatos

Ronaldo Valino

Ronaldo Valino

Sócio e líder do setor de energia e serviços de utilidade pública, PwC Brasil

Tel: +55 (21) 3232 6112

Eduardo  Batista

Eduardo Batista

Sócio, PwC Brasil

Tel: +55 (11) 3674 2000

Magnus Santos

Magnus Santos

Sócio, PwC Brasil

Tel: +55 (11) 3674 2921

Siga-nos