Setor elétrico deve ampliar investimento em cibersegurança após ataques, diz PwC
Empresas de geração, transmissão e distribuição de energia elétrica devem ampliar investimentos em segurança digital em 2021, inclusive no Brasil, embaladas pelo forte aumento nos casos de ataques de hackers sobre empresas do setor visto desde ano passado, disse a consultoria PwC após pesquisa sobre o tema.
Especialistas têm afirmado que medidas restritivas e de precaução relacionadas à pandemia de coronavírus têm facilitado a ocorrência de ataques cibernéticos, uma vez que muitas empresas colocaram funcionários para trabalhar de casa, aumentando a vulnerabilidade de seus sistemas.
Apenas neste ano a paranaense Copel (CPLE6) e a estatal federal Eletronuclear, da Eletrobras (ELET3,ELET6)–que opera as usinas atômicas de Angra 1 e 2–, revelaram ter sido alvos de tentativas de invasão, embora infraestruturas relacionadas aos serviços de energia não tenham sido afetadas.
Em 2020, empresas brasileiras como Energisa (ENGI11) e Light (LIGT3) haviam relatado ocorrências, também sem impacto à rede elétrica, assim como as europeias Enel e EDP, que possuem unidades no país.
Segundo a PwC, um levantamento com elétricas pelo mundo mostrou que 58% delas acreditam que seus serviços de nuvem sofrerão tentativas de ataque cibernético nos próximos 12 meses, enquanto 57% temem violações por ransonware –que bloqueia acesso a dados e computadores, geralmente em troca de resgate.
“Diante dessas ameaças, empresas de energia em todo o mundo têm investido cada vez mais em segurança digital. Ainda segundo a pesquisa, 58% das empresas do setor pretendem aumentar o orçamento de cibersegurança em 2021”, afirmou a consultoria.
No Brasil, o tema ganhou espaço na agenda de empresas, mas também do governo, reguladores e órgãos técnicos da indústria de energia, disse o diretor de cibersegurança da PwC Brasil, Magnus Santos.
“Aqui, até por esses grandes ataques recentes, vemos que existe uma orientação de expansão dos investimentos também. Se pensar nos últimos anos, era algo mais isolado, acontecia com espaço de tempo maior. É um ponto interessante que as empresas vão ter que buscar se adequar”, afirmou ele.
O Operador Nacional do Sistema Elétrico (ONS), responsável por coordenar o acionamento de usinas e o uso de linhas de transmissão para atendimento à demanda, começou em abril passado discussões para propor critérios e requisitos mínimos de segurança cibernética para o setor.
Uma proposta nesse sentido foi apresentada pelo órgão à Agência Nacional de Energia Elétrica (Aneel), com previsão de implementação em três ondas, em períodos de 18, 27 e 36 meses após aprovação pelo regulador.
A Aneel, por sua vez, iniciou processo conhecido como tomada de subsídios para discutir o assunto junto a agentes do setor, que recebeu contribuições até o fim de julho passado.
Mais recentemente, em fevereiro, o Conselho Nacional de Política Energética (CNPE), formado por diversos membros do governo e liderado pelo ministro de Minas e Energia, aprovou a criação de grupo de trabalho para discutir medidas de segurança cibernética no setor, com duração prevista de 60 dias, prazo que pode ser prorrogado.
“O regulador de alguma forma se sente incomodado com esse cenário de risco, e isso transborda para o governo. Diferente de um e-commerce, esses ambientes de geração de energia, do sistema elétrico, têm uma necessidade e uma importância de segurança nacional para país”, acrescentou Santos, da PwC.
A consultoria apoiou o ONS na definição de uma proposta inicial de controles mínimos contra ciberataques no setor de energia, que compreende requisitos relacionados aos principais temas de segurança digital: arquitetura das redes, gestão de acesso e de vulnerabilidade, inventário de ativos e resposta a incidentes cibernéticos.
Além do óbvio perigo de invasão de sistemas utilizados para controle de operações de usinas ou ativos de transmissão ou distribuição, as empresas do setor de eletricidade também precisam se preocupar com possíveis vazamentos de informações de clientes, que podem gerar punições pela Lei Geral de Proteção de Dados (LGPD) ou mesmo processos judiciais.
Segundo a LGPD, vazamentos de dados podem gerar de advertência a multa de até 50 milhões de reais por infração.