Segurança Ciberfísica nas Empresas de Energia

Segurança Ciberfísica nas Empresas de EnergiaTácito Augusto Silva Leite, DSE, ASE, C31000

Sinopse: Este trabalho tem por objetivo mostrar o que tem sido feito e quais as perspectivas futuras na segurança de infraestruturas críticas, no Brasil e no mundo. Descreve em linhas gerais o que é gestão de riscos e oferece um cenário da segurança nessa área, especialmente no setor elétrico. Entendemos que a área de segurança corporativa dessas infraestruturas é a responsável por garantir a proteção e a resiliência da organização. Entretanto, deve ser complementada pelo Estado, que tem a obrigação de garantir os serviços à população.

O cenário desenhado pelos relatórios internacionais aqui apresentados exige atenção: conforme aumenta globalmente o desenvolvimento tecnológico, surgem novos riscos, e os setores encarregados da proteção, tanto os públicos quanto os privados, nem sempre estão preparados ou, então, preparam-se em ritmo mais lento do que o aparecimento de novos riscos. As tecnologias modernas demandam uma segurança que integre a proteção dos ativos físicos e lógicos das empresas – a segurança ciberfísica.

Cabe às empresas do setor elétrico desenvolver e preservar sistemas e processos eficientes para detectar ameaças, controlar vulnerabilidades e garantir a proteção em níveis aceitáveis. Cabe também a elas estar constantemente preparadas para situações adversas, mantendo planos de continuidade de negócios e contingência bem estruturados, com pessoal treinado para agir rapidamente a fim de minimizar perdas, caso os riscos ocorram. Assim elas asseguram um nível adequado de resiliência, garantindo capacidade para se reestabelecer de ocorrências indesejadas.

Nós brasileiros ainda temos muito a aprender com a Espanha e os Estados Unidos, que historicamente investem de forma intensa na segurança da população. Nesses países são tomadas ações governamentais vigorosas que fomentam a criação de uma cultura de segurança nas organizações, em especial aquelas que compõem suas infraestruturas críticas (serviços essenciais).

No Brasil, estão sendo implantados sistemas de energia elétrica cada vez mais sofisticados e inteligentes, em todo o território, o que gera novas ameaças e vulnerabilidades. As empresas concessionárias deveriam praticar uma gestão de riscos avançada, uma vez que a interrupção do abastecimento de energia pode gerar sérios prejuízos para elas mesmas e para a população, qualquer que seja a causa. No governo, estão sendo tomadas ações de proteção, como o projeto Proteger, do Exército, ainda em implantação.

Enquanto isso, em nosso país, segundo os últimos relatórios sobre o tema citados ao longo desse estudo, até mesmo companhias de grande porte deixam a desejar no quesito gerenciamento de riscos. Muitas investem em processos e equipamentos mas negligenciam o treinamento dos colaboradores e a orientação do público quanto à segurança ciberfísica. Poucas dessas companhias estão preparadas para contratar e manter talentos para os cargos executivos de gestão de riscos de segurança ciberfísica.

Abstract: This paper’s main objective is to sketch a global security scenario for critical infrastructures, which are essential service provider organizations (companies that deal with energy, water, telecommunications and others), showing what have been done and future prospects in corporate security. Specifically, this work highlights the electric energy sector’s main challenges in Brazil. This paper offers reflections and guidance from solutions, mistakes and successes found by experienced countries in protecting their critical infrastructures, as United States and Spain. In addition, it discusses on cyberphysical security.

Download