O apagão elétrico de grandes proporções que afetou Portugal, Espanha e parte da França ainda não teve a causa encontrada. No entanto, foi especulado que o motivo poderia ser um ataque cibernético. A situação colocou em evidência a necessidade de proteção dos serviços de energia contra ataques virtuais. Diante disso, o Metrópoles procurou fontes para entender o nível de segurança no Brasil.
No Brasil, o sistema de abastecimento é coordenado pelo Operador Nacional do Sistema (ONS). Portanto, um ataque de grandes proporções precisaria afetar várias unidades locais ou o próprio ONS.
Vice-presidente do Conselho Regional de Engenharia e Agronomia do Ceará (Crea-CE), o engenheiro eletricista Jamil Cavalcante Kerbage explicou ao Metrópoles que o sistema elétrico brasileiro possui desde equipamentos que são totalmente manuais a dispositivos conectados a uma rede de comunicação, que, em teoria poderiam ser hackeados.
“Não seria uma tarefa fácil, seria bem complicado. O sistema é muito redundante por natureza. Então, além de ser algo muito bem feito, seria extremamente difícil e você poderia, por exemplo, desligar (apenas) uma linha”, explica o especialista.
Torres de energia
Getty Images
Linhas de transmissão de energia elétrica
Vinícius Schmidt/Metrópoles
Linha de transmissão
Vinícius Schmidt/Metrópoles
Rafaela Felicciano/Metrópoles
Subestação de energia elétrica
Vinicius Schmidt/Metrópoles
Marcello Casal Jr/Agência Brasil
Jamil afirma que os equipamentos são testados pelas fabricantes multinacionais contra tentativas de invasões e que os comandos após se conseguir acessar os equipamentos são muito difíceis.
“Tem que ter algo muito grande, muito bem coordenado para a gente ter algo com impacto grande”, explica ele.
Em julho de 2024, houve um apagão cibernético que afetou sistemas em várias partes do mundo. No entanto, Agência Nacional de Energia Elétrica (Aneel) fez uma publicação na qual destacou que os sistemas computacionais, bases de dados e plataformas de atendimento ao consumidor da Aneel não sofreram impactos. Mesma informação fornecida pela Associação Brasileira de Distribuidores de Energia Elétrica (Abradee).
Manual estabelece regras de segurança
Na internet, a reportagem conseguiu localizar um Manual de Procedimentos da Operação de 2021 que trata do assunto “Controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético”. O documento foi elaborado pelo ONS para utilização de uma ferramenta composta pelas redes internas, o Ambiente Regulado Cibernético (ARCiber).
No documento do ONS há orientações tanto para a construção de redes de comunicação do serviço bem como para acesso externo, ou seja, via internet. O acesso via internet deve acontecer para usos específicos. “Este acesso deve ser realizado por meio de rede privada virtual (VPN), ou tecnologia similar, através de um gateway ou serviço que ofereça controles de segurança”, diz trecho do manual.
O manual do ONS também trata de gestão de vulnerabilidades, gestão de acessos e monitoramento e resposta a incidentes. No que diz respeito aos acessos, por exemplo, ficou estabelecido que haja orientações sobre “tamanho mínimo, complexidade, necessidade de ser diferente da senha padrão do fabricante”, por exemplo.
O Metrópoles formalizou um questionário ao ONS sobre como funcionam os mecanismos de proteção. No entanto, o órgão respondeu genericamente, por meio da assessoria de imprensa, que há um sistema robusto com várias camadas de proteção e também plano de contingência para contornar possíveis situações de ataque.
A segurança virtual do governo é monitorada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR), que abrange todas as esferas da adminsitração pública federal.
O CTIR contabiliza que de 2021 a 2025 houve 52.485 casos de incidentes e verificação de vulnerabilidades. O caso mais comum foi o de vulnerabilidades, com 12.782 registros, seguido por vazamentos de dados (10.481) e abuso de site da web (9.021).
Legislação
As linhas gerais da segurança cibernética no âmbito de sistemas elétricos é tratada em várias legislações e normatizações ao menos desde 2018. Parte das determinações se aplica a toda a administração pública.
A resolução nº 964/2021 da Aneel, por exemplo, estabelece que vários integrantes do setor elétrico, como responsáveis pela operação do sistema, pela comercialização de energia elétrica elaborem uma política de segurança cibernética. O objetivo do documento é prevenir, mitigar e recuperar incidentes cibernéticos.
Veja normativas sobre o assunto:
Resolução normativa Aneel nº 964, de 14 de dezembro de 2021
Decreto Nº 10.222, de 5 de fevereiro de 2020
Decreto Nº 9.573, de 22 de novembro de 2018
Resolução nº 24, de 20 de outubro de 2021