ONS: agentes e operadores em conformidade com a rotina cibernética
O Operador Nacional do Setor Elétrico estabeleceu normas de adequação, as quais preveem um controle mínimo de segurança para o ambiente regulado cibernético e devem ser consideradas nos centros de operação e equipamentos de infraestrutura.
Apenas no primeiro mês de 2021 foram vazados mais de 220 milhões de dados de brasileiros em um ataque que ficou conhecido como megavazamento de dados. Ao longo do ano, diversas instituições federais sofreram com a ação de agentes mal-intencionados, que invadiram os sistemas, como o do SUS, da Controladoria-Geral da União (CGU), da Polícia Rodoviária Federal (PRF) e do Instituto Federal do Paraná (IFPR).
Ao passo que o registro dessas ações foram aumentando, setores críticos da infraestrutura começaram a acelerar o fortalecimento das políticas de segurança, como a nova rotina cibernética estabelecida aos agentes e operadores nacionais pelo Operador Nacional do Setor Elétrico (ONS).
Este é o órgão responsável por coordenar e controlar a operação das instalações de geração e transmissão de energia elétrica no Sistema Interligado Nacional (SIN) e por planejar a operação dos sistemas isolados do país, sendo fiscalizado e regulado pela Agência Nacional de Energia Elétrica (Aneel).
“A Rotina Operacional de Segurança Cibernética é um importante marco para o setor elétrico. Acreditamos que ela irá elevar o nível de segurança cibernética de toda a operação, ajudando os agentes e o ONS a criar políticas de segurança alinhadas às boas práticas mundiais e aos Procedimentos de Rede estabelecidos.”
(Geraldo Fonseca, especialista de Segurança Cibernética do ONS.)
Dada à suma relevância e criticidade da paralisação do fornecimento de energia elétrica em decorrência de um ataque hacker, a ONS determinou o cumprimento de controles de segurança, os quais estão vigentes desde 9 de julho de 2021 e têm o prazo máximo de adequação de 18 meses.
Para atender às normas estabelecidas, a recomendação é que as empresas contem com uma consultoria de segurança e de implementação de soluções, de modo que realizem uma avaliação completa e proponham a estrutura para estar em conformidade.
Além dos impactos internos que uma invasão ou paralisação dos sistemas podem causar, consequências graves poderão ser sentidas em toda a população e na economia diante do corte de fornecimento de energia elétrica à determinadas regiões ou o país inteiro.
O que prevê o documento da ONS
O objetivo principal do Manual de Procedimentos de Operação da ONS é: estabelecer os controles mínimos de segurança cibernética a serem implementados pelos agentes e pela ONS no Ambiente Regulado Cibernético (ARCiber).
Desta forma, cabe aos gestores realizar uma profunda análise dos ambientes internos, identificar potenciais vulnerabilidades e desenhar um projeto de infraestrutura seguindo os conceitos determinados pelo Operador Nacional do Sistema Elétrico e que se ajuste à estrutura de cada agente e operador.
Veja, a seguir, quais são os conceitos:
A. ARCiber (Ambiente Regulado Cibernético) formado pelas redes e equipamentos considerados no escopo da Rotina Operacional.
B. Patch é a atualização periódica de software para corrigir falhas e vulnerabilidades.
C. MFA (Múltiplos Fatores de Autenticação) para assegurar mais confiabilidade e dificultar o acesso às informações e sistemas, já que exige que os usuários realizem a confirmação de autenticação mais de uma vez, com tokens e dispositivos biométricos, por exemplo.
D. OTP (One Time Password) autenticação multifatorial válida apenas para uma sessão de login ou transação.
E. VPN (Virtual Private Network) é a conexão de uma infraestrutura pública ou compartilhada e que criptografa os dados para mantê-los seguros.
F. Antimalware é um software que protege os dispositivos contra infecções e/ou arquivos maliciosos.
G. Ambiente Operativo da ONS compreende toda a infraestrutura computacional e de telecomunicações em tempo real e histórico, a qual atende à sala de controle e mais áreas da ONS, a qual é protegida por Firewall.
H. Incidente de Segurança Cibernética é determinado por um ou mais eventos de segurança cibernética indesejados ou inesperados, que podem levar ao comprometimento dos ativos do ARCiber ou prejudicar as operações tanto do ONS ou do agente em questão.
Combinados de forma estratégica e efetiva, os conceitos determinados pela ONS reforçam os dados do estudo da KPMG indicando que 41% das organizações em todo o mundo reportaram aumento na quantidade de incidentes e sofisticação nas ações dos ciberatacantes, que visam obter vantagens financeiras com o pagamento de resgate exigido em caso de sequestro das informações e, até mesmo, de paralisação dos sistemas.
Adequação do Setor Elétrico à Rotina Cibernética
Estar em conformidade com a rotina cibernética do Operador Nacional Elétrico é obrigatório para todos os agentes e operadores. Processo este que precisa ser feito com cautela para atender a todos os requisitos, bem como implantar as soluções, treinar os times de segurança e TI e, principalmente, iniciar a conscientização cibernética de toda a estrutura.
Sendo assim, o primeiro passo é contar com uma consultoria especializada em segurança cibernética. As operações integram análise de negócios, gerenciamento de projetos, garantia de qualidade, suporte técnico e monitoramento 24x7x365 dos sistemas.
Aprimorar a segurança cibernética, otimizar a infraestrutura e os sistemas, manter a operação em compliance são alguns dos benefícios maximizados quando se tem o atendimento de uma consultoria especializada em cibersegurança e em normas de órgãos nacionais.
Dentre os principais serviços, destaque para:
• Arquitetura de infraestrutura e tecnologia para o ambiente;
• Estrutura de governança cibernética interna;
• Inventário e padronização dos ativos;
• Gestão de acessos privilegiados;
• SOC – gestão de monitoramento, identificação de vulnerabilidades e resposta a incidentes em tempo real.
Entre em contato com SECUREWAY para adequar a sua estrutura à rotina cibernética da ONS.