Objetivo é aumentar resiliência dos sistemas usados pelo setor de energia elétrica. Medidas podem garantir continuidade dos serviços e segurança de dados críticos. A Agência Nacional de Energia Elétrica (Aneel) aprovou nesta terça-feira (14) a política de segurança cibernética a ser adotada pelos agentes do setor de energia elétrica.
O objetivo é aumentar resiliência dos sistemas usados pelo setor, garantindo a continuidade da prestação dos serviços e a segurança de dados considerados críticos.
Em outubro, o Conselho Nacional de Energia Elétrica (CNPE) já tinha aprovado as diretrizes para a política de segurança cibernética, mas essas normas ainda dependiam de uma regulamentação da Aneel para entrar em vigor.
A aprovação acontece menos de uma semana após os sistemas do Ministério da Saúde terem sido alvos de um ataque hacker. O ConecteSUS – plataforma que mostra comprovantes de vacinação contra a Covid-19, entre outros – seguia indisponível até a tarde desta terça.
Veja no vídeo abaixo mais informações sobre a segurança cibernética nas redes domésticas:
Segurança cibernética: quem usa internet em casa pode estar exposto a invasores
Diretrizes
A resolução aprovada nesta terça traz a regulamentação das diretrizes, os parâmetros mínimos a serem adotados, assim como orientações sobre melhores práticas para o setor elétrico.
Caberá a cada agente do setor elétrico, o que inclui geradoras, distribuidoras e transmissoras, adotar sistemas internos de segurança. O prazo é de 180 dias, a partir da publicação da norma, o que deve acontecer ainda nesta semana. Entre os requisitos estabelecidos, estão:
obrigatoriedade de informar à Aneel casos de crise em segurança cibernética;
obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a Aneel;
obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória;
segmentação de redes de operação de TI e Internet;
procedimentos de resposta rápida para contenção de incidentes; e
processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
Segundo a Aneel, a política de segurança cibernética foi criada devido ao aumento dos ataques hackers, à falta de uma norma regulamentadora adequada e por causa da maior conectividade dos sistemas do setor elétrico.
A ausência de uma política, diz a Aneel, poderia aumentar os casos de interrupção do fornecimento de energia e de extravio de dados.
“Momento atual é mais que propício, cada vez mais estamos conectando os sistemas, as estações são assistidas remotamente, pra isso se faz uso de redes lógicas que precisam estar protegidas de ataques cibernéticos”, afirmou o diretor Sandoval Araújo Feitosa, relator do processo.
Feitosa disse que a conclusão do trabalho foi antecipada em seis meses diante da importância do tema.
“São dois anos de trabalho. Na verdade, seriam dois anos e meio, mas antecipamos em seis meses. A razão para essa antecipação primeiro foi um conjunto de normativos emanados pelo governo federal, segundo a quantidade de ataques cibernéticos que se avolumavam a cada dia, [terceiro] a preocupação do Operador Nacional do Sistema Elétrica em ter diretrizes, normas para que ele pudesse buscar maior segurança na sua rede”, explicou.
O diretor-geral da agência, André Pepitone, disse que a medida é um primeiro passo para que se “enfrente essa questão da segurança cibernética que se faz cada vez mais presente”.