O Brasil entrou definitivamente no radar dos cibercriminosos para ataques em sistemas de energia. Os crimes, antes limitados às áreas de tecnologia de informação (TI), agora escalam para os domínios da tecnologia de operação (TO), segundo especialistas que monitoram o segmento elétrico. A paralisação de usinas hidrelétricas, por meio de um ciberataque, por exemplo, deixou de ser uma possibilidade distante.
Na avaliação de Alexandre Freire, especialista da Nozomi Networks, já existem relatos de hackers internacionais tentando invadir a infraestrutura operacional de concessionárias locais de energia, repetindo um padrão comum fora do país. O processo pode começar em elementos de rede inteligente e escalar para áreas mais internas e sensíveis de distribuidoras, transmissoras e mesmo geradoras de energia.
Russos e ucranianos chamam a atenção
O relato feito por Freire para o site Energia Hoje indica movimentações de cibercriminosos russos e iranianos, respectivamente os grupos Grizzly Steppe e APT 34.
O primeiro tem sido apontado como líder em campanhas de ciberataques a setores de infraestrutura mundial de energia. O segundo, cujo sigla significa Ameaça Persistente Avançada, seria mais agressivo, mas manteria o mesmo foco do grupo russo, ou seja: a infraestrutura crítica de energia. Portanto, não estamos falando mais de ransonware (sequestro de dados), um tipo de ataque comum e que ocorre diariamente.
Malware próprio para ataques em energia
Aliás, o setor elétrico tem seu próprio malware, o ‘Industroyer’, que a reportagem aponta como tendo sido criado para invadir áreas operacionais, como foi o caso da paralisação de uma usina de energia em Kiev, na Ucrânia, em 2016.
Criado antes da guerra, o Industroyer já tem a versão 2. Ao ser analisado por especialistas da Nozomi, o novo modelo mostrou se comportar como um centro de controle de infraestrutura de energia.
Invasão em catracas de portaria e CFTV
As invasões não se restringem a dispositivos de rede inteligente de energia (smart grids). Pelo contrário, na lista de incidentes mantidos pela Claroty, outra empresa especializada em cibersegurança, há casos onde o processo começou pelas câmeras do circuito fechado de TV de subestações e foi entrando em outras áreas da concessionária de energia.
As catracas de portarias são outro canal de entrada para os ataques cibernéticos, sendo que o Brasil computa incidentes envolvendo esse caminho em parques eólicos nacionais.
Outro especialista no tema, Rodrigo Riella, do centro de pesquisa e tecnologia Lactec, avaliou que os ataques ao TO de forma coordenada ainda não são realidade no Brasil, ao contrário do registrado em outros países. Mas, ele não descarta que isso possa vir a acontecer aqui.
O ponto de vista também foi apresentado em outra reportagem do Energia Hoje, indicando que a paralisação de usinas geradoras não deve ser descartada nesse tipo de incidente.
Leia também:
– O papel da inteligencia artificial na cibersegurança
Sistema Scada na mira dos criminosos
Para Riella, o ataque no ambiente de TO seria catastrófico, uma vez que existe a possibilidade de tomada de controle do sistema Scada. Com isso, os invasores teriam a possibilidade de realizar operações como a desconexão de equipamentos. O especialista lembrou o caso já citado na Ucrânia, que só não escalou para algo mais sério porque os gestores da usina desligaram os sistemas automatizados e realizaram a operação no manual.
Mesmo a área de comercialização não está fora de perigo. Para Erick Kumagai, especialista da consultoria Accenture, essa parte do sistema elétrico não está sendo considerada por muitas concessionárias, embora tenha uma alta criticidade.
A interface com clientes corporativos permite o acesso a uma série de dados em mão dupla. Na prática, trata-se da ampliação da área de superfície de ataques, indicando que ainda que não existe lugar seguro para os cibercriminosos.
Proteção do SIN contra ataques em energia
Riella, do Lactec, explicou que é preciso definir processos de proteção alinhados entre as áreas de TI e TO. Iniciativas como essas criam rotinas de cibersegurança, que indicam claramente as ações que devem ser tomadas em casos de invasão e o papel de cada departamento na resposta. Ele destacou que o setor tem se aperfeiçoado na busca de proteção cibernética, inclusive pressionado pela regulamentação atual da Aneel e do ONS.
As normas das duas instituições indicam procedimentos básicos que precisam ser seguidos por todo o segmento, principalmente nos centros de operação que possuem contato direto com o Sistema Interligado Nacional (SIN). Para os especialistas, trata-se ainda de uma cartilha básica que as concessionárias devem seguir. Muitas delas já estão extrapolando para ações mais sofisticadas de proteção.