As redes de distribuição automatizadas de hoje estão sob pressão para melhorar significativamente a rede e a eficiência operacional, ao mesmo tempo em que garantem a confiabilidade da infraestrutura crítica. Sobretudo, a transformação dos ativos de serviços públicos existentes graças à convergência dos sistemas de TI e OT, por meio da Internet das Coisas (IoT) e a descentralização dos sistemas de energia, deixa a porta aberta para o aumento da vulnerabilidade cibernética. É então que destaca-se a necessidade de desenvolvimento de estratégias de risco focadas na Segurança Cibernética para a Rede Inteligente.
A digitalização, a implantação generalizada de sensores conectados a dispositivos de comunicação e a mudança para plataformas de comunicação abertas, tais como Ethernet e IP, introduzem riscos que ameaçam o progresso em direção ao objetivo da Segurança Cibernética.
Com as habilidades certas, agentes maliciosos podem invadir os sistemas das empresas de serviços públicos e interromper o controle da rede com sérias consequências energéticas e econômicas para todos que dependem dessa energia. Não é uma ameaça hipotética, veja o ataque cibernético à rede na Ucrânia.
Os responsáveis pela infraestrutura de serviços públicos críticos estão explorando diferentes abordagens de segurança e frequentemente buscam orientação das práticas de Segurança Cibernética mais especializadas desenvolvidas pela indústria de TI. Muitas vezes, esse não é o melhor plano, porque os serviços públicos têm restrições operacionais únicas e devem levar em conta a interseção na qual os sistemas de TI e OT se encontram.
Uma abordagem de segurança que se encaixa em um lado, necessariamente se adapta ao outro. Dentro do ambiente da subestação, dispositivos proprietários antes dedicados a aplicações especializadas agora estão vulneráveis. Nesse sentido, informações sensíveis sobre como esses dispositivos funcionam podem ser acessadas on-line por qualquer pessoa, inclusive aquelas com más intenções.
Sobretudo, é necessário desenvolver equipes multifuncionais capazes de lidar com os desafios únicos da tecnologia de segurança cibernética que abrange ambos os mundos. A proteção contra as ameaças cibernéticas atuais exige esforços interdisciplinares onde engenheiros, gerentes de TI e gerentes de segurança compartilham seus conhecimentos.
Outra abordagem comum para a implantação de sistemas de grade de segurança cibernética é o foco no cumprimento de normas e regulamentos, como a Proteção de Infraestrutura Crítica da Corporação de Confiabilidade Elétrica da América do Norte (NERC CIP – North American Electric Reliability Corporation Critical Infrastructure Protection) e o Programa Europeu para Proteção de Infraestrutura Crítica (EPCIP – European Programme for Critical Infrastructure Protection).
A conformidade regulatória e a adesão às normas são boas, mas não o suficiente. À medida que a complexidade da rede cresce a partir da maior penetração de recursos energéticos distribuídos e da automação mais sofisticada dos alimentadores, uma nova abordagem à segurança cibernética da rede é uma necessidade, ou seja, uma abordagem orientada para o gerenciamento de riscos.
A minimização de riscos de Segurança Cibernética é um processo contínuo: avaliar, projetar, implementar e gerenciar. Não é uma questão de ter “alcançado” um estado de cibersegurança. Isso é impossível.
Acompanhar a tecnologia de TI e OT em constante evolução e lutar contra a constante busca de alguns para enfraquecer sua segurança e identificar vulnerabilidades requer um processo de mitigação de riscos circular e iterativo que envolve mais do que apenas tecnologia. Ele precisa de uma abordagem organizacional que lide com pessoas, processos e tecnologias.
Recomendamos que os serviços públicos comecem por adotar uma abordagem de 4 pontos:
- Conduzir uma avaliação de riscos;
- Projetar políticas e processos de segurança;
- Executar projetos que implementem o plano de mitigação de riscos; e
- Gerenciar o programa de segurança.
Para saber mais sobre nossos sistemas integrados de automação de subestações cibernéticas seguras, assista a este vídeo.
Confira: 3 etapas para a segurança cibernética em um mundo digital
Adicione um comentário