Rio de Janeiro – Há cerca de um ano e meio, a Eletrosul, empresa pública controlada pela Eletrobras com atuação nas áreas de geração e transmissão de energia na Região Sul e em Mato Grosso do Sul, decidiu colocar em prática algumas ações para se proteger de ciberataques. Naquela época, relata o diretor de Operações Rogério Bonnie, a empresa percebeu que o setor de energia apresentava fragilidades em relação a esse tipo de ameaça e se tornava alvo fácil de ataques de hackers.
Um ano atrás, houve uma tentativa de invasão do sistema da Eletrosul, mas sem sucesso, segundo Bonnie. Ações como essa têm várias motivações. Vão desde a tentativa de fraudar a medição do consumo de energia de uma empresa, passando pelo roubo de dados da empresa (ou de seus clientes), que pode incluir pedidos de resgate para que o ataque seja suspenso.
Há também motivações ligadas ao ciberterrorismo ou à política, como a interrupção de energia motivada por um protesto ou com o objetivo de causar danos aos ativos da concessionária. Em muitos casos, o consumidor final nem chega a perceber algum problema na prestação de serviço da companhia, mas até uma variação de energia quase imperceptível pode ser causada pela ação de um hacker na rede elétrica.
O tema da segurança das redes no setor foi levado à Associação Brasileira das Empresas de Transmissão de Energia Elétrica (Abrate), conta o executivo. A entidade criou uma espécie de força-tarefa para discutir como as empresas podem se proteger de ciberataques. “O setor precisa de uma padronização para evitar que cada companhia se proteja de um jeito, o que acaba deixando muitas delas ainda expostas aos riscos”, explica. O plano da associação é ter até o fim do ano um documento com propostas para unificar os procedimentos de proteção no setor elétrico.
A UTC América Latina (UTCAL), associação voltada a empresas e profissionais de telecomunicações das áreas de energia, gás e água, segue na mesma direção da Abrate e também vem defendendo há cerca de dois anos que a Agência Nacional de Energia Elétrica (Aneel) e o Ministério de Minas e Energia criem uma espécie de manual de conduta para minimizar os riscos de ataques cibernéticos no Brasil.
Esse tipo de discussão sobre regras para proteção de redes de energia de ataques cibernéticos, explica Dymitr Wajsman, presidente da UTCAL, começou a ocorrer nos Estados Unidos há pelo menos dez anos e logo depois na União Europeia. Ambos já têm protocolos de segurança que devem ser obrigatoriamente seguidos pelas empresas. “Imagine os efeitos de um ataque cibernético que, por exemplo, deixe uma cidade no escuro por horas, com as pessoas sem condições de se deslocar, hospitais e outros serviços essenciais suspensos e o risco de aumento de furtos e até de assassinatos”, lembra Wajsman. “É um perigo muito grande”, alerta.
Estudo
A entidade encomendou um estudo junto ao CPqD que mostra o impacto desse tipo de ação de hackers. Em uma simulação de ataque que abalasse durante cinco horas o abastecimento de energia das empresas CEB-DIS, Cemig-D, Eletropaulo e Light, o prejuízo seria de R$ 642 milhões. “Hoje percebemos que falta uma regra comum para padronizar as ações contra a ação de hackers. E sem um programa governamental, as empresas preferem não compartilhar seus dados, o que dificulta muito o diagnóstico e a prevenção do problema”, explica.
Além de um programa de segurança para o setor elétrico, a UTCAL defende que a Aneel autorize que parte do valor aplicado pelas empresas de geração, transmissão e distribuição de energia para pesquisa e desenvolvimento (P&D) seja usado em segurança de redes. Por lei, elas são obrigadas a investir 1% de suas receitas nesses projetos. Hoje, segundo Wajsman, muitas companhias do setor de energia vêm enfrentando dificuldades de caixa e poderiam ter nessa flexibilização do uso dos recursos de P&D em programas de cibersegurança uma forma de se protegerem e, ao mesmo tempo, atender a exigência da lei.
De acordo com o representante da UTCAL, muitas empresas têm sentido dificuldade em investir em P&D por falta de projetos que atendam as exigências da Aneel. Quando elas não utilizam os recursos previstos em lei, são obrigadas da destinar o que sobrar para a agência.
Para Carlos Alberto Calixto Mattar, superintendente de Regulação dos Serviços de Distribuição da Aneel, uma alternativa para as empresas é que elas desenvolvam projetos de P&D ligados a cibersegurança. Assim, poderiam aproveitar os recursos obrigatórios na proteção de suas redes.
Segundo o superintendente, por enquanto a discussão sobre essa flexibilização do uso dos recursos dos projetos de P&D para evitar ciberataques ainda não está entre as prioridades da Aneel. “Não temos prazo para discutir a possível aprovação dessa mudança”, diz. No mês passado, uma falha técnica causou um apagão de aproximadamente três horas no Norte e no Nordeste. Só nesse evento, segundo Wajsman, o prejuízo teria chegado a cerca de R$ 77 milhões.
Para o presidente da UTCAL, ações de hackers (não foi o caso do apagão ocorrido em março) podem ter alcance em toda a cadeia da empresa de energia. Há o risco, por exemplo, de corte de comunicação entre ela e os clientes ou, em um caso extremo, interrupção do abastecimento elétrico por tempo indeterminado. Esse tipo de ameaça começou a se intensificar nos últimos anos por conta do avanço dos sistemas digitais nas empresas do setor. A começar dos medidores de energia nas residências, que não são mais analógicos, mas sim digitais e interligados a centrais das distribuidoras.
"Black Energ" causou apagão na Ucrânia
A Ucrânia foi vítima de dois graves ciberataques à sua rede elétrica em um intervalo de dois anos. O primeiro deles foi em dezembro de 2015. O segundo ocorreu em dezembro de 2017. O ataque cibernético causou um apagão e também o corte de uma parte do abastecimento de energia da capital do país, Kiev, e foi feito por hackers.
O malware que causou o apagão é o “Black Energy”. Apesar dos estragos, empresas da área de segurança informaram na época que o ataque de 2017 foi menos agressivo (durou cerca de uma hora) que o de 2015, quando os invasores conseguiram destruir os terminais dos operadores e impossibilitaram que o sistema fosse reparado de forma remota. A solução foi que os técnicos fossem até as subestações para religar o abastecimento de energia. Autoridades ucranianas culparam a Rússia pelos incidentes.
Em 2016, os russos também foram acusados de um ataque a uma estatal do setor elétrico dos Estados Unidos. O vírus foi localizado em um notebook e isolado para que não contaminasse o sistema e afetasse o abastecimento de energia.
*A jornalista viajou a convite da UTCAL Summit 2018