O aumento dos ataques cibernéticos, consequência direta da digitalização forçada pela pandemia do novo coronavírus, preocupa companhias e órgãos públicos responsáveis por infraestruturas consideradas críticas.
O ataque contra o Colonial Pipeline, nos Estados Unidos, ou ao Superior Tribunal de Justiça (STJ), no Brasil, mostram as consequências práticas que um colapso operacional pode ter ao atingir um serviço essencial.
Em um contexto no qual cibersegurança ganha contornos geopolíticos, empresas e setores considerados estratégicos viram um aumento de ataques, seja do chamado “ransomware” ou de outras categorias de softwares maliciosos. O setor de energia é um dos mais visados.
Neste ano, Marcelo Prais, diretor de tecnologia de informação, relacionamento com agentes e assuntos regulatórios do Operador Nacional do Sistema Elétrico (ONS), diz ter presenciado “graves incidentes cibernéticos em inúmeras organizações” do setor.
“Testemunhamos ataques que atingiram algumas grandes empresas e, apesar não ter havido comprometimento das capacidades dessas empresas em operar suas instalações, sem danos à operação do Sistema Interligado Nacional, em alguns desses casos houve severo impacto sobre as redes corporativas”, comenta.
A preocupação do setor elétrico com cibersegurança não é nova e foi intensificada na pandemia, com o aumento dos ataques, diz Alexei Vivan, diretor-presidente da Associação Brasileira de Companhias de Energia Elétrica (ABCE). Ele explica que a modernização e informatização das empresas vem aumentando o risco cibernético, por alargar a porta de entrada aos criminosos virtuais.
“Temos que lembrar que o setor elétrico é muito heterogêneo, tem três áreas de atuação (geração, transmissão e distribuição) e com empresas de todos os tipos e tamanhos. Isso acaba deixando o sistema elétrico suscetível a ataques”, comenta. Ele destaca que é importante conscientizar principalmente pequenas e médias empresas do setor da importância de fazer investimentos em cibersegurança e seguir os protocolos estatais.
As distribuidoras, por atuarem diretamente com o consumidor final, são as mais visadas dentro do setor por deter em seus servidores dados básicos dos clientes, muito visados por criminosos, que os vendem a preços elevados na “deep web”.
Com tentativas de ataque recorrentes, a regulação foi reforçada para restringir o tipo de informação que essas empresas podem guardar nos seus bancos.
“Do ponto de vista prático os ataques têm pouco ou nenhum sucesso, seja pelo alto grau de segurança das empresas, seja pela quantidade limitada de dados disponíveis”, diz Wagner Ferreira, diretor jurídico e institucional da Associação Brasileira de Distribuidores de Energia Elétrica (Abradee). “Tanto a Aneel quanto o ONS fazem treinamentos constantes para aumentar a conscientização e o preparo das empresas nessas situações.”
A reportagem entrou em contato com algumas das empresas que sofreram ataques recentemente, como a Companhia Paranaense de Energia (Copel), EDP Brasil e Enel Brasil, mas elas preferiram não participar por questões de segurança operacional.
Nos Estados Unidos, o governo Joe Biden criou em abril um plano para aumentar a segurança cibernética do sistema elétrico do país. A justificativa é que o aumento expressivo de ataques vindos de grupos russos e chineses criou a necessidade de evitar que os serviços à população sejam comprometidos.
O Gabinete de Segurança Institucional da Presidência da República (GSI), que cuida da cibersegurança no âmbito da administração pública federal, diz que está atento ao viés geopolítico que os ataques cibernéticos podem ter, acompanhando debates e buscando soluções de consenso entre os países.
Entre os maiores problemas apontados por especialistas no setor público está o uso dos chamados sistemas legados, sistemas operacionais ou qualquer programa que deixou de receber atualizações de segurança e acabam se tornando vulneráveis. Como uma empresa depende de licitações e decisões orçamentárias para agir, muitas vezes os sistemas que ela usa estão desatualizados ou até mesmo em desuso, o que facilita a entrada de criminosos.
Se os problemas enfrentados pelos setores privado e público são basicamente iguais em termos de cibersegurança, a diferença fica na resolução. “Uma empresa privada tem flexibilidade para escalar recursos em uma situação de ataque, já o setor público é mais travado por causa do seu modelo”, diz Cristiano Lincoln Mattos, diretor-presidente da Tempest Security Intelligence, empresa brasileira de cibersegurança que tem entre seus sócios a Embraer.
O desafio, para o GSI, é estabelecer uma governança nacional da segurança cibernética que defina princípios, objetivos, instrumentos e responsabilidades, com clareza de papéis das diferentes esferas do poder público e do setor privado.
“É importante ressaltar que cada órgão é responsável pela segurança dos seus ativos de informação e pelos serviços que presta”, destaca a pasta, em entrevista por e-mail. Essa pulverização de políticas de cibersegurança também é um problema, ponderam os analistas, pois trazem dificuldade de padronização e comunicação sobre o tema.
Na Petrobras, uma gerência executiva para tratar de cibersegurança foi criada em 2019. Desde o início de 2020, a estatal implementou um programa de segurança cibernética para o ambiente corporativo e para os ambientes de automação industrial. “A percepção do conselho com relação à importância do tema fortaleceu a priorização do tratamento dos riscos de segurança da informação, incluindo-os na matriz de riscos corporativos”, diz Márcia Tosta, gerente executiva de segurança da informação.
Fonte: Valor
