Segurança cibernética e a transformação energética
by Judith Wunschik, Chief Cyber Security Officer na Siemens Energy
A crescente digitalização e conectividade dos sistemas de energia também tem um lado negativo: isso aumenta a vulnerabilidade desses sistemas a ataques cibernéticos. A chave é uma abordagem holística de segurança cibernética.
Terroristas têm acesso a medidores elétricos inteligentes, provocam uma queda de energia em toda a área na Europa e espalham o caos, a ansiedade e o medo. Essa visão distópica foi uma característica do best-seller de 2012, BLACKOUT. Tomorrow will be too late. Embora os cenários de blecaute retratados pelo romancista Marc Elsberg possam ser fictícios e o escopo do desastre resultante possa parecer exagerado, a história destaca uma coisa: nossas infraestruturas de energia são cada vez mais moldadas pela conectividade digital – e, portanto, também são altamente vulneráveis digitalmente.
A segurança cibernética há muito tempo abandonou a abordagem ponto a ponto de promover segurança somente para usinas de energia individuais, componentes de rede e linhas de energia. As conexões entre os sistemas de geração, distribuição e recebimento de eletricidade estão aumentando a cada dia – inúmeros componentes conectados de maneira online estão sendo encaixados em uma rede gigantesca. Mas a contagem de gateways de ataque e a vulnerabilidade a ameaças cibernéticas estão crescendo no mesmo ritmo. Estima-se que o número de dispositivos em rede subirá para cerca de 50 milhões este ano, e crescerá dez vezes até 2030. Cerca de dois bilhões e meio de dispositivos e sistemas industriais serão conectados em rede apenas nos próximos dois anos.
A segurança cibernética há muito abandonou a abordagem ponto a ponto de promover segurança somente para usinas de energia individuais, componentes de rede e linhas de energia.
Judith Wunschik
Chief Cyber Security Officer na Siemens Energy
Infraestruturas críticas em foco
Se infraestruturas críticas – incluindo sistemas de fornecimento de energia – se tornarem alvo de crimes cibernéticos, o dano poderá ser muito maior do que apenas perdas econômicas. Mas os próprios riscos financeiros já são consideráveis. Por exemplo, um estudo da Consultoria Accenture concluiu que, depois do setor bancário e financeiro, o setor e fornecimento de energia é o setor que corre maior risco de ataque cibernético. O valor cumulativo em risco para o setor mundial de energia e fornecimento de energia é estimado em USD 425 bilhões (EUR 359 bilhões) para o período de 2019 a 2023. O Escritório Federal de Segurança da Informação da Alemanha, BSI (Germany’s Federal Office for Information Security), divulgou recentemente um relatório de situação sobre segurança de TI na Alemanha para o ano de 2020, e observa que os operadores de infraestruturas críticas preencheram 419 relatórios de ataques “relevantes para a segurança” – em comparação com 252 no ano anterior (em 2018 foram 145). E esse número nem mesmo inclui o grande número de incidentes presumidos de menor porte em que o relatório não é necessário, como phishing generalizado. O número de ataques bem-sucedidos que não são relatados por motivos de reputação é considerado alto.
O que este desenvolvimento mostra? Devido à sua importância fundamental para nossa infraestrutura, geradores e fornecedores de energia são um alvo atraente para o crime cibernético. Nesse contexto, o BSI menciona um aumento na quantidade observada de “varredura ativa de vulnerabilidades em sistemas conectados diretamente à Internet”. Os invasores não estão limitados por fronteiras geográficas nacionais ou esferas políticas de influência. Os objetivos monetários, na forma de chantagem – como no caso de ataques de ransomware – podem ser um dos motivos, como recentemente se mostrou novamente via ataques aos sistemas de TI em empresas de serviços públicos administradas pelo município. O que significa que as pequenas e médias empresas a nível regional, especialmente, devem ser incluídas nas medidas de precaução adequadas.
Mas um ataque montado digitalmente seria incomparavelmente mais sério e mais destrutivo se causasse danos físicos, do que um “acidente com o máximo de credibilidade” em nosso mundo real. Imagine comprometer usinas elétricas, estações transformadoras e redes inteiras até o consumidor final ou em indústrias. Isso nos aproximaria de um cenário como o de Marc Elsberg. O fato é que, quanto mais alto o nível de digitalização, mais pontos de ataque existem em nosso sistema de energia – o mais importante é adotar uma abordagem profissional para derrotar os ataques cibernéticos.
Relevância da segurança cibernética no cenário de energia conectada
Por outro lado, a segurança cibernética desempenha um papel crucial no projeto de um sistema de energia resiliente e na garantia de um fornecimento de energia seguro. O exemplo da Siemens Energy deixa claro o quão significativo os produtos, soluções e serviços de segurança cibernética, em toda a cadeia de valor da energia, podem ser para os sistemas: cerca de 1/6 de toda a eletricidade gerada no mundo é baseada nas tecnologias da Siemens Energy. É por isso que a segurança cibernética também desempenha um papel crucial na estratégia da empresa para todos os processos essenciais aos negócios; é parte integrante da transformação digital.
Por exemplo, a “Charter of Trust”, iniciada pela Siemens AG em 2018, que agora lista 17 empresas globais e líderes de mercado mundial como seus signatários, exigiu regras e padrões vinculativos para construir confiança na segurança cibernética – e tornar nosso mundo digital mais seguro. Os princípios básicos da Charter of Trust incluem a construção de uma linha de defesa que percorre toda a cadeia de valor e a proteção contra hackers aplicando hardware e software seguros. Cruzando as fronteiras corporativas e nacionais, e independentemente dos modelos de negócios, a esperança é que este esforço leve ao desenvolvimento de padrões comparáveis para a aplicação de estratégias eficazes de defesa cibernética e para proteger nossa saúde e infraestruturas de forma rápida e confiável em uma situação de crise.
Uma visão holística da segurança cibernética, é claro, deve incluir todos os envolvidos e todos os aspectos. Devem ser tidas em consideração as infraestruturas e instalações produtivas próprias da empresa e de seus colaboradores, bem como clientes, fornecedores, parceiros de negócio e público em geral. As empresas, especialmente as de energia, devem se conscientizar hoje da importância da segurança em todo o ecossistema em que operam. Cada indivíduo, processo e produto deve ser incorporado o mais perfeitamente possível em um sistema bem protegido que permita uma operação totalmente cibernética. Afinal, milhões de unidades descentralizadas já estão se comunicando hoje. Ao mesmo tempo, os muitos sistemas inteligentes conectados por meio da Internet da Energia aumentaram sua complexidade; nossas cadeias de valor de energia e, portanto, nosso fornecimento de energia, estão ficando mais vulneráveis a ataques.
A segurança cibernética desempenha um papel crucial no projeto de um sistema de energia resiliente e na garantia de um fornecimento de energia seguro.
Construindo e fortalecendo a prontidão digital
É por isso que é tão importante não apenas educar e capacitar os próprios colaboradores em segurança cibernética, mas oferecer produtos e serviços de consultoria para ajudar fornecedores, clientes e parceiros a fortalecer sua própria “prontidão digital”. Testes de segurança, por exemplo, de sistemas de controle técnico e instrumentação e espaços de trabalho de escritório, fazem parte disso; o mesmo ocorre com a execução de análises de risco e requisitos de segurança para fornecedores, monitoramento de incidentes de segurança e planejamento de medidas a serem tomadas em caso de catástrofe. No ambiente de automação industrial, os métodos analíticos mais recentes estão sendo aplicados para obter uma visão geral da maturidade cibernética individual de um sistema, seus pontos fortes e fracos. As lacunas que esses métodos revelam ajudam a identificar riscos e preparar conceitos de segurança adequados que abordam os aspectos de segurança da instalação, rede e sistema. Estes são os principais parâmetros para proteger os sistemas industriais e infraestruturas críticas de ataques cibernéticos internos e externos.
Os pontos principais a serem lembrados são os seguintes: a digitalização não só oferece muitas oportunidades, mas também cria novos riscos para o setor de energia. A Internet da Energia – assim como a “Internet das Coisas Industrial” (IIoT) – não pode funcionar sem segurança cibernética. Em um mundo moldado por mais e mais redes e automação, comprometer um único dispositivo terminal digital é suficiente para se infiltrar em sistemas inteiros e causar grandes danos. Portanto, para garantir um fornecimento de energia confiável, acessível e sustentável, precisamos de proteção cibernética abrangente que não pare nas fronteiras corporativas ou nacionais.
1 de dezembro de 2020
Dra. Judith Wunschik é Chief Cyber Security Officer na Siemens Energy e responsável por garantir a segurança das operações de negócios, produtos, dados e ativos da empresa. Ela é uma conhecida oradora pública e membro respeitado de prestigiosos comitês de segurança internacionais.
Créditos de imagem combinados: Siemens Energy
Este artigo foi publicado originalmente no Handelsblatt Journal na Alemanha.
Assine nossa Newsletter
Assine nossa Newsletter do Stories para acompanhar as tendências e tecnologias que moldam a transformação energética.
