Ataques cibernéticos ameaçam o setor de energia

As inovações advindas de novas tecnologias, como inteligência artificial (IC), machine learning, Internet das Coisas (IoT) e robótica, influenciaram diretamente a capacidade de automação e operação de grandes instalações, plantas e subestações de forma remota e centralizada.

Essa crescente digitalização, potencializada pelo isolamento e distanciamento social durante a pandemia, reduz custos e aumenta a eficiência operacional, sendo adotada por diversos setores. Por outro lado, os ambientes de automação, em especial aqueles em ascensão, podem ser alvos de violações cibernéticas.

As ameaças são várias: defacements (desfiguração de página de web), espionagem e ransomwares, extorsão que condiciona a desinstalação de um malware ao pagamento de resgate sob pena de divulgação de informações, ato conhecido como happy blog, ataques à cadeia logística, infiltração em sistema por meio de parceiro ou fornecedor de serviços que fornece acesso aos sistemas e dados do alvo, e o ciberterrorismo, que pode envolver terrorismo de Estado.

Nesse sentido, o risco cibernético torna-se uma discussão geopolítica, levantando questões como: (1) o que ocorre no ciberespaço se sobrepõe ou não às demandas concretas que existem entre territórios delimitados por fronteiras físicas e regras de convivência; e (2) há a necessidade de securitizar a demanda, ou seja, de o Estado entendê-la como uma ameaça para si e intervir com ação emergencial, pontual e localizada fora da política comum, cotidiana, de governo?

Um setor que vem sendo alvo de incidentes de segurança cibernética de forma crescente é o de energia. Segundo o estudo Digital Trust Insights 2021, da PwC, “58% das empresas de energia e serviços públicos acreditavam que os serviços de nuvem sofreriam tentativas de ataques cibernéticos nos 12 meses seguintes à pesquisa, enquanto 57% temiam violações por ransomware”. Dentre os alvos, empresas de energia de todo o mundo, inclusive de países desenvolvidos e com grande investimento em tecnologia e inovação como os Estados Unidos.

O caso Colonial Pipeline

Nos Estados Unidos, os sistemas de distribuição e transmissão local são regulados pelos estados, não havendo, assim, uniformidade nas obrigações quanto à segurança cibernética. Por outro lado, os grandes geradores e transmissores de energia, equivalentes à rede básica do Sistema Elétrico Brasileiro, são regulados pelas regras internacionais da Critical Infrastructure Protection (CIP). Além disso, o National Institute of Standards and Technology (NIST) emite diretrizes que servem como recomendações para agências como a Federal Energy Regulatory Commission (FERC), vinculada à North American Electric Reliability Corporation (NERC).

Apesar desse cenário, recentemente, o país sofreu um ataque cibernético de grandes proporções. Em 7 de maio de 2021, a Colonial Pipeline, transportadora de combustível de aviação por sistema de oleoduto, parou completamente suas operações após ser alvo de ransomware.

O ataque, que se valeu do vazamento de senha (sem autenticação multifator) para acesso à conta privada de acesso remoto, foi atribuído a um grupo localizado na Rússia. Isso levou o presidente Joe Biden a afirmar que a Rússia possuía responsabilidade sobre o ocorrido, apesar da ausência de indícios de coordenação do ataque pelo país oriental.

As proporções do ataque foram alarmantes. Interromper as operações dos oleodutos de quase nove mil km de extensão significou parar aproximadamente 45% de todo o combustível consumido na costa leste norte-americana. O governo decretou estado de emergência para facilitar o transporte de combustível por outros meios, principalmente rodoviários. O ataque cooptou quase 100 gigabytes de dados das redes corporativas da Colonial e ameaçou vazá-los sob pena de resgate de mais de 4 milhões de dólares, exigidos em criptomoeda.

No total, seis dias de paralisação – e mais alguns para que as atividades retomassem à normalidade. Apesar de a Colonial ter pagado pelo resgate, cerca de metade do valor foi recuperado pela polícia graças à publicidade gerada pela tecnologia blockchain, característica de criptomoedas.

O caso Colonial Pipeline fez com que o Departamento de Energia dos Estados Unidos (DOE) solicitasse ao Congresso um aumento orçamentário para 2022 de US$ 201 milhões, em comparação aos US$ 157 milhões de 2021.

O objetivo é corrigir vulnerabilidades cibernéticas, empregando mais esforços, especialmente na identificação de lacunas em toda a cadeia logística e infraestrutura tecnológica, além da necessidade de atualizar e aprimorar softwares e políticas de segurança existentes. Como observado por Michael Tran em entrevista para a The Economist: “óleo pode ser fungível, mas infraestrutura não é”; ou seja, o combustível que gera energia é substituível, mas a infraestrutura que gera a energia, não.

Segurança cibernética e o cenário brasileiro

No Brasil, eventuais falhas de segurança cibernética no setor de energia não foram oficialmente atribuídas a ataques, mas a erros operacionais e/ou de equipamentos. Ainda assim, em 2017, foi realizado um defacement na página da Agência Nacional de Energia Elétrica (Aneel) como forma de protesto devido ao aumento das tarifas de energia elétrica.

Em 2020, algumas empresas sofreram ataques. Não houve notícia de problemas na distribuição ou fornecimento de energia, porém, dados foram vazados e sistemas administrativos, afetados. O segmento de óleo e gás (O&G), que lida com hidrocarbonetos, elementos altamente inflamáveis, e corre o risco de danos irreparáveis nas bases, sofre ataques cibernéticos a cada 39 segundos, segundo Raphael Moura, diretor geral interino da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP).

A crescente dos incidentes de segurança pode ser explicada por alguns fatores:

• O setor de energia presta um serviço continuado: no Brasil, a energia elétrica é um serviço público essencial, cuja universalidade e continuidade é mitigada apenas em casos muito específicos, de acordo com entendimentos do STJ. A interrupção de seu fornecimento pode prejudicar significativamente a reputação das empresas, gerar perda de receitas e informações, prejuízos operacionais, além de levar à aplicação de sanções legais e administrativas, dado o prejuízo direto causado ao consumidor final.

• A baixa maturidade cibernética do setor, definida em cinco dimensões: política e estratégia de segurança cibernética; cultura cibernética e de sociedade; educação, de treinamento e de habilidades em segurança cibernética; marcos legais e regulatórios; e padrões, organizações e tecnologias. Ela decorre de aspectos, como a escassa regulação do tema – diferentemente, por exemplo, do setor bancário, que possui regulação específica de cibersegurança –, e a heterogeneidade dos agentes.

• A dimensão estratégica que o setor de energia possui para a segurança e soberania nacional, bem como para a integração e o desenvolvimento econômico sustentável do País: uma invasão que possa corromper, apagar ou substituir arquivos usados no processo de automação cerceia a capacidade de uma companhia de tomar decisões operacionais, podendo afetar diretamente o Estado em si, bem como suas relações com outros Estados, a sociedade e o meio-ambiente.

Por essas razões, energia é uma área de proteção prioritária, uma infraestrutura crítica que, no Brasil, significa “instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança nacional”, segundo o artigo 2º, caput, da Portaria nº. 2 de 08/02/2008, do Gabinete de Segurança Institucional da Presidência da República.

Por isso, faz-se necessário o investimento em segurança cibernética, definida no Brasil pelos termos do Glossário de Segurança da Informação como “ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”.

Normas aplicáveis à cibersegurança

Para concretizar a segurança cibernética brasileira, em especial no setor de energia, passos fundamentais foram dados. Em 2010, foi publicado o Livro verde: segurança cibernética no Brasil, reunindo diretrizes básicas sobre a temática e mapeando oportunidades, desafios e sugestões sobre infraestruturas críticas.

Em novembro de 2018, foi publicado o decreto nº 9.573, que estabeleceu a Política Nacional de Segurança de Infraestruturas Críticas (PNSIC) e que delegou, em seu artigo 13º, a elaboração da Estratégia Nacional de Segurança de Infraestruturas Críticas e do Plano Nacional de Segurança de Infraestruturas Críticas, no prazo de dois anos da data de publicação da PNSIC, à Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo (CREDEN).

Em 2019, houve a criação da Lei nº. 13.848, que estabelece o novo marco legal das agências reguladoras no Brasil, como a Aneel, e norteia sua atuação. No final de 2019, o Operador Nacional do Sistema (ONS) encaminhou à Aneel uma proposta de submódulo dos Procedimentos de Rede que abrange os agentes do Ambiente Regulado Cibernético (ARCiber).

Em dezembro de 2020, foi publicada, através do decreto nº 10.569, a Estratégia Nacional de Segurança de Infraestruturas Críticas (Ensic). No mesmo ano, a Aneel promoveu a Tomada de Subsídio nº 007/2020 para avaliar a necessidade de intervenção regulatória para a segurança cibernética do Sistema Elétrico Brasileiro. Em seguida, anunciou a Consulta Pública nº 007/2021, encerrada em 26 de abril de 2021, visando obter subsídios para a Análise de Impacto Regulatório (AIR) sobre a segurança cibernética no Setor Elétrico Brasileiro e complementar a AIR nº. 2/2021-SRT-SGI-SRD-SRG-ANEEL, resultado de um estudo interno para análise da questão por meio da abordagem de design thinking.

Por fim, também houve a promulgação de leis que possibilitam aplicação de sanções e penalidades a grupos ou pessoas que cometem ataques cibernéticos. Entre elas, a Lei dos Crimes Cibernéticos, conhecida como “Lei Carolina Dieckmann” o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD), que incorre na necessidade de investimentos, por parte das organizações, em novas estruturas e criação de normas internas adequadas à segurança de dados pessoais.

No próximo artigo, será abordada uma proposta regulatória para o setor de energia e as expectativas do setor brasileiro sobre o fortalecimento de toda a indústria para garantia da segurança cibernética.

O Fórum: Direito digital é uma coprodução de MIT Sloan Review Brasil e Pinheiro Neto Advogados.