Skip to main content

Cyber Segurança – Regulamentação para Setores de “Missão Crítica” (Infraestruturas Críticas)

*Por Carlos Borella

A pandemia COVID-19 contribuiu para explosão dos casos e incidentes de cyber segurança no Brasil e mundo afora. Não citaremos os incidentes, pois o foco deste artigo será apresentar o que está sendo realizado para elevar o nível de maturidade de setores de missão crítica, mais especificamente para o setor elétrico. As ocorrências foram diversas e muitas destas impactaram diretamente o dia a dia da população mundial, pois em alguns casos atingiram processos de missão crítica. Podemos considerar missão crítica, operações que quando atingidas podem gerar impactos não só financeiros, mas também sociais.

Diante deste cenário, a ANEEL (Agência Nacional de Energia Elétrica) em maio de 2020 realizou a abertura de um processo, através de uma nota técnica (nº 50/2020) e processo (48500.000027/2020-40) para obter contribuições para fomentação de uma regulamentação de segurança cibernética para o Sistema Elétrico Brasileiro.

Ainda que não haja uma regulamentação específica para o setor, em dezembro de 2019 a ONS (Operador Nacional do Sistema, propôs o estabelecimento de controles cibernéticos para os atores (geradores, transmissores, distribuidoras e permissionárias) que compõe o ambiente operativo da ONS. Na sequência o decreto 10.222 de fevereiro de 2020, aprovou a Estratégia Nacional de Segurança Cibernética, de modo a elevar o nível de proteção de infraestruturas críticas nacionais, proporcionando maior resiliência para os serviços de missão crítica.

No cenário internacional, as referências em segurança cibernética para o setor elétrico são os padrões CIP (Critical Infrastructure Protection) da NERC (North American Electric Reliability Corporation) e o framework do NIST (National Institute of Standards and Technology), este segundo citado é utilizado largamente por outros setores, inclusive no Brasil.

Na mesma direção a ANATEL (Agência Nacional de Telecomunicações), através da Consulta Pública nº 13/2020, também procura desenvolver uma regulamentação de segurança cibernética para o setor de telecomunicações.

Para ambas as agências será um grande desafio determinar o tipo de regulação adequada (prescritiva, orientativa, autorregulação, outras), de modo a evitar a determinação de obrigações inexequíveis, engessando o setor e impondo custos desproporcionais aos atores (prestadores) envolvidos, ou alguns casos podendo inibir a adoção de novas soluções tecnológicas.

Neste sentido a ANEEL, dando continuidade ao processo, realizou em março de 2021 a abertura de Consulta Pública com o objetivo de receber subsídios para a Análise de Impacto Regulatório (AIR) sobre a segurança cibernética para o setor. Como resultado do AIR era esperado ter alternativas para a “problema” a ser solucionado – “risco de ocorrência de incidentes de segurança cibernética no setor elétrico”.

Dentre as alternativas previstas (1 – não regular; 2 – orientar e divulgar as melhores práticas para a segurança cibernética para os agentes setoriais; 3 – regulamentar os itens da política de segurança cibernética; e 4 – regulamentar requisitos mais prescritivos para segurança cibernética), a alternativa de número 3 apresentou o melhor desempenho e mostrou-se a mais adequada.

A alternativa definida consiste em criar marcos regulatórios (enforcement regulatório) para estabelecer que agentes do setor estabeleçam uma política de segurança cibernética. Inicialmente, será proposto um processo normativo padrão e na sequência, serão elaboradas e implantadas as políticas de segurança cibernética pelos atores (agentes) do setor, com acompanhamento da ANEEL.

Vale destacar que qualquer nova regulamentação precisará ser aprovada ao final do processo e dada a necessidade de adequações dos sistemas internos dos agentes e outros órgãos do setor elétrico, a estimativa preliminar é que as propostas passem a vigorar a partir do segundo semestre de 2022.

Por fim, é imprescindível que a política de segurança cibernética a ser implementadas pelos atores do setor, levem consideração o tipo de serviço, porte, exposição do ambiente, de modo que avaliem corretamente seu universo de riscos, focando os esforços e aplicando os controles de modo eficiente, sem engessar ou até inviabilizar o negócio.

 

Referência:

Consultas Públicas – ANEEL

 

— Carlos Borella é CEO and Cyber Security Lead Partner at [SAFEWAY]

 

Sobre a [SAFEWAY]

 SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

A Safeway pode ajudar os clientes a entender melhor suas necessidades de Segurança da Informação, bem como as ferramentas necessárias para detectar, responder e mitigar seus riscos envolvendo ameaças e questões regulatórias. Desta maneira, nossos profissionais e consultores especializados podem auxiliar a eliminar pequenos problemas antes que se tornem grandes. A Gestão de Segurança, Vulnerabilidades e Fraudes analisa ativamente a segurança da sua empresa através de atividades de monitoramento, mitigação de riscos e ataques no ambiente de TI.