— Estamos evoluindo de um setor que era tipicamente estático para algo imprevisível. Antes, a energia saía da geradora, era transportada e chegava na tomada das casa. Agora temos veículos elétricos, produção distribuída e medidores inteligentes. Um carro elétrico carregando, por exemplo, tem consumo equivalente a 16 apartamentos. Como prever essa demanda? Os clientes estão produzindo energia, alterando o padrão do fluxo nas redes. Essa é a nova realidade do setor elétrico, em qualquer país — explica Medeiros, que está no Rio de Janeiro para o seminário UTCAL Summit 2019, que termina nesta sexta-feira.
Essa nova realidade impõe desafios para a segurança cibernética. Antes, a regra era “isolar o perímetro”, desconectar a infraestrutura crítica — usinas geradoras, linhas de transmissão e subestações... — da internet, com o controle industrial gerido por um sistema conhecido como SCADA (Sistemas de Supervisão e Aquisição de Dados). Segundo Medeiros, isso não é mais suficiente. Em dezembro de 2015, um ataque informático bem-sucedido desligou simultaneamente 30 subestações na Ucrânia, deixando cerca de 230 mil pessoas sem luz por algumas horas, no frio congelante do inverno.
Foi o primeiro e mais grave incidente do tipo já tornado público. No ano passado, o Departamento de Segurança Interna dos EUA reportou que agentes da inteligência russa conseguiram se infiltrar em salas de controle de usinas elétricas americanas. Se desejassem, poderiam simplesmente desligá-las, afetando milhões de pessoas, mas não o fizeram.
— São ataques silenciosos, para identificar vulnerabilidades que podem ser usadas numa situação de conflito — avalia Medeiros. — Na EDP, nós detectamos, principalmente de 2017 para cá, ataques persistentes vindos de alguns países, mas nunca tivemos um caso de intrusão.
Blecautes na Venezuela
Na Venezuela, o presidente Nicolás Maduro alega que os constantes apagões das últimas semanas são provocados por ataques cibernéticos. É uma possibilidade, já que o país se tornou central no palco geopolítico e existem países críticos ao governo com capacidade técnica para tal. Contudo, para Medeiros, a explicação mais provável é o sucateamento e obsolescência da infraestrutura.
— Neste momento, não se pode afirmar que tenha sido um ataque informático. Quem conhece a infraestrutura elétrica da Venezuela diz que ela está muito fragilizada e obsoleta — opina o especialista. — A exploração e manutenção da rede elétrica é uma atividade exigente.
Para a proteção das operações, companhias que atuam no setor elétrico precisam investir em tecnologia, colaborar com parceiros e fornecedores e, principalmente, treinar pessoal. Assim como em outros setores, os funcionários são os elos mais fracos. No ataque contra instalações ucranianas, o vetor de infecção foi uma campanha de “phishing” (técnica usada por criminosos para enganar pessoas em busca de informações sensíveis).
— As organizações precisam inverter a situação, transformando o elo mais fraco numa força de segurança — afirma Medeiros. — Não adianta montar toda uma estratégia de proteção, instalar firewalls poderosos e isolar os sistemas se um funcionário tiver as credenciais anotadas num Post-it colado no monitor.
E as consequências podem ser graves. Na Ucrânia, o fornecimento de energia foi interrompido por algumas horas, mas ataques mais poderosos podem causar impactos de meses. Experimentos em laboratórios já demonstraram a destruição de transformadores com ataques cibernéticos. Uma ação em escala e coordenada pode gerar o caos e desestabilizar um Estado. Sem energia, todos os outros setores econômicos são impactados.
— Este é o pior cenário, a destruição de ativos físicos. A substituição de um transformador pode demorar meses; a construção de uma subestação leva um ano — destaca o especialista. — As organizações possuem planos B, como subestações móveis. Nós temos 500 subestações, e se forem destruídas cem? Nós temos cem subestações móveis? Não.
Coleta de informações
Com o avanço da digitalização, surgem novas preocupações. Os medidores inteligentes transformam as distribuidoras em empresas que coletam informações dos clientes. Por isso, precisam se adequar às leis de proteção de dados pessoais e investir na proteção desse ativo. Se um hacker tiver acesso aos dados dos medidores, é possível, por exemplo, identificar padrões da rotina dos moradores. Quando as pessoas saem de casa, o consumo tende a cair e, com o retorno ao lar, a subir.
Criminosos também podem tentar fraudar os medidores, para reduzir os dados de consumo artificialmente, ou desligar remotamente o fornecimento de energia para um imóvel. E os medidores são novas portas de entrada para os sistemas de gerenciamento da rede.
— Entrar numa subestação não é tão simples como entrar na casa dos clientes — alerta Medeiros. — A instalação de medidores inteligentes é um risco crítico. Temos 6 milhões de consumidores em Portugal, e todos terão um pequeno computador dentro de casa. Potencialmente, são vetores de ataque, portas de entrada para a infraestrutura crítica do sistema elétrico.
Sergio Matsuura, O Globo
