As infraestruturas de energia, um ativo estratégico que deve ser protegido

O contexto geopolítico nos lembra que proteger os sistemas de controle das infraestruturas de energia se tornou uma questão estratégica. Dois princípios devem orientar uma estratégia robusta de cibersegurança: o “Zero Trust” e a “Defense in Depth”.

“As infraestruturas energéticas são cada vez mais visadas”, o que significa que a continuidade do abastecimento está comprometida.

Na primavera passada, o mundo da cibersegurança foi abalado por diversos anúncios. Em 17 de abril, o governo dos EUA, através da Agência americana de Cibersegurança e Segurança das Infraestruturas (CISA), apelou a todos os operadores de infraestruturas críticas para reforçarem imediatamente a segurança de seus dispositivos e redes de ICS/SCADA (Industrial Control Systems/Supervisory Control And Data Acquisition), após um ataque de malware contra os sistemas industriais.

Alguns dias antes, as autoridades ucranianas haviam anunciado terem contrariado um grande ataque contra a rede elétrica do país. A Ucrânia suspeitou imediatamente do serviço de inteligência militar russo. “Todos os fornecedores de energia (…) deveriam se interessar por este ataque e se perguntar se os hackers poderiam atacar a infraestrutura dos Estados Unidos ou de outros países“, declarou então Andrii Bezverkhyi, CEO e fundador da SOC Prime, uma empresa especializada em detecção de ameaças.

“Garantir uma infraestrutura energética é um processo que precisa ser adaptado à estratégia, arquitetura e ambiente de rede de cada cliente”.

Além da guerra na Ucrânia, “é importante notar que não apenas a Ucrânia e os Estados Unidos estão na lista de alvos, mas também outros membros atuais e/ou potenciais da OTAN e outros países que apoiam esta organização internacional“, julga Naiara Pabo Busto, International Business Development Manager da Axians, a marca TIC da VINCI Energies.

A energia na linha de frente

Ela constata que “as infraestruturas energéticas são cada vez mais visadas“, significando, conclui ela, que “a segurança energética está comprometida, assim como a continuidade do abastecimento e outros fatores de risco associados“. Esta ameaça crescente salienta a que ponto a segurança das infraestruturas de energia em qualquer país é vital.

As redes de transmissão e distribuição de energia utilizam tecnologias operacionais (OT, Operational Technology) e de comunicações críticas (SCADA, proteção remota, etc.) para gerenciar hardware e software destinados a controlar equipamentos industriais.

“A digitalização da rede proporciona benefícios comerciais e operacionais sem precedentes, em particular a automação da rede e a integração de novas aplicações de valor agregado. A norma IEC 61850* proporciona interoperabilidade e benefícios significativos com a digitalização. Mas a digitalização e a padronização expõem os sistemas a ataques maliciosos, pois todos os dispositivos, equipamentos, softwares e processos estão agora conectados à rede. Isto os torna mais vulneráveis a ciberataques“, explica Naiara Pabo Busto.

Segurança sob medida

Garantir a segurança de uma infraestrutura de energia, mais além da sua mera resiliência, requer também um conhecimento e compreensão profundos dos vários processos, ativos e comunicações que ela implementa, desde a produção até o medidor.

“Garantir uma infraestrutura energética é um processo que precisa ser adaptado à estratégia, arquitetura e ambiente de rede de cada cliente“, diz Naiara Pabo Busto. Ela recomenda o uso de uma metodologia passo a passo conforme as normas atuais, como a IEC 62443**, e as estruturas de cibersegurança como a do National Institute of Standards and Technology (NIST) americano.

“O primeiro passo, explica a especialista da Axians, é auditar todo o ambiente da infraestrutura energética para obter total visibilidade da rede. Este é um grande desafio, pois muitos dos dispositivos instalados nas subestações são obsoletos e não há como reforçar sua segurança (criptografia, autenticação, etc.).”

Dois pilares estratégicos

Uma estratégia robusta de cibersegurança para aumentar a robustez e a segurança das infraestruturas energéticas baseia-se em dois grandes princípios: a “Zero Trust” (Confiança Zero) e “Defense in Depth”  (Defesa em Profundidade).

“Uma mentalidade “Zero Trust” implica que somente os dispositivos informáticos IoT e OT conhecidos e legítimos e as comunicações de seus usuários são explicitamente permitidos, explica Naiara Pabo Busto. A “Defense in Depth” é um conceito oriundo do setor militar. Foi exportado com sucesso para a cibersegurança, que envolve muitos mecanismos e camadas de proteção para garantir dados, ativos e comunicações críticos. A “Defense in Depth” proporciona mecanismos de redundância e resiliência para neutralizar um amplo leque de ciberataques”.

Para Laurent Chilaud, Chefe de Desenvolvimento & Engenharia na SDEL Contrôle Commande (VINCI Energies – Omexom), “esta proteção em profundidade, projetada para integrar camadas sucessivas para tornar mais complexo o acesso a ataques potenciais, pode usar uma multiplicidade de soluções: sistemas de firewall, IDS/IPS (sondas de detecção de intrusão/proteção), Role Based-Access Control, VLAN, criptografia”. Mas o especialista lembra que “é essencial realizar previamente uma análise de risco/custo para melhor adaptar o sistema de proteção para a máxima eficiência“.

* Norma internacional que define os protocolos de comunicação para dispositivos eletrônicos inteligentes em subestações elétricas.

** Conjunto de recomendações padrão para a cibersegurança em instalações industriais.

14/12/2022