A dificuldade de fornecer acesso remoto seguro a ativos de energia, imprescindível na crise causada pelo coronavírus
Estamos passando por um momento de crise mundial com a evolução da pandemia causada pelo coronavírus, que está exigindo mudanças de grande impacto no modo de vida das pessoas e também na forma de trabalho de muitas organizações. O desafio de manter suas operações em contínuo funcionamento e de se adaptar, ao mesmo tempo, a uma nova forma de trabalho remoto dificulta ainda mais as ações de mudança e a garantia da segurança tecnológica do negócio e de seus colaboradores. Essa crise pegou muitas organizações despreparadas para essa rápida mudança tecnológica, principalmente as que atuam com ambientes de missão crítica, como o setor elétrico. Por ser uma fonte de serviços essenciais, o setor não pode parar suas operações, principalmente nesta fase de crise, por ser a base de um suprimento essencial para todas as áreas de apoio mais importantes atualmente: energia.
A transformação digital do setor elétrico já estava em desenvolvimento, mas caminhando em passos lentos. Por ser um mercado regulado e com perfil conservador, aumentam as dificuldades de uma mudança ágil e da adoção de novas tecnologias que impactem diretamente nos processos operativos, proporcionando novas formas de se trabalhar. Não se trata apenas da adoção de novas tecnologia, mais sim de uma atualização das competências técnicas necessárias para este novo modelo de trabalho e operação, maximizando as competências de tecnologia, comunicação e relações humanas. O que podemos vislumbrar com essa crise é que a transformação digital global e, claro, no setor elétrico ganhará grande velocidade e será um fator extremamente estratégico para a continuidade dos negócios.
Com a necessidade de fornecer uma rápida solução de acesso remoto aos seus colaboradores, através da infraestrutura atual de seus ativos, diversos empreendimentos não estavam preparados para fornecê-la em larga escala e com segurança. Assim, muitas empresas acabam usando tecnologias que não oferecem segurança adequada: sem criptografia de dados, sem controle de acesso por usuários, permitindo acesso total aos domínios de rede corporativos e operativos, abrindo grandes brechas de segurança e facilitando acessos indevidos de hackers, infecção de vírus, malwares e colocando o ativo e a operação em risco. Outro grande ponto de atenção a ser avaliado é que muitas empresas se viram na necessidade de fornecer rapidamente acesso remoto para os ambientes de home office e tiveram que utilizar, em muitos casos, computadores pessoais dos colaboradores; estes, via de regra, não estavam preparados com os requisitos mínimos de aplicações e segurança tecnológica para garantir acesso seguro ao ambiente da organização, aumentando ainda mais o risco ao ativo.
Fornecer acesso remoto seguro para ambientes de missão crítica industrial e principalmente para ativos de energia não é uma atividade simples: além de tecnologias adequadas, uma cultura operativa de segurança da informação organizacional faz-se essencial. Não adianta ter a melhor tecnologia do mundo se os colaboradores não estão capacitados e não sabem utilizá-la corretamente e com segurança. Nesse caso, a importância de se ter um CSMS (Cyber Security Management System) e um plano de contingência – ambos desenvolvidos, implantados e testados periodicamente por colaboradores capacitados- conforme recomendado pelo framework de segurança da informação NIST (National Institute of Technology and Standards), está se demonstrando extremamente essencial para garantia da continuidade operacional no setor elétrico. Esse planejamento é tão importante que, recentemente, o ONS atualizou o procedimento de rede 10.14 – Requisitos operacionais especiais para os centros de operação, subestações e usinas da rede de operação, exigindo que as infraestruturas englobadas pelo documento possuam soluções implantadas e comprovadas de alta disponibilidade (duplicação de equipamentos e sistemas, por exemplo), camada de segurança cibernética, plano de manutenção dos serviços auxiliares e plano de contingência para continuidade operacional. São atualizações que buscam maior confiabilidade e segurança aos ativos e à operação do SIN .
A necessidade de acesso remoto aos ativos de energia geralmente são divididos em 3 grupos de usuários: corporativos, operativos e engenharia (manutenção). Esses grupos podem mudar de acordo com o padrão de cada organização. Cada grupo possui uma necessidade de acesso à sua zona de rede e aplicações, onde cada zona deve estar segmentada (física ou logicamente) e seu acesso controlado por camadas de firewalls – prática conhecida como “defesa em profundidade” e recomendada pela norma de segurança cibernética industrial ISA-62443 (ISA99).
A maior atenção de acesso seguro se dá ao grupo de usuários operativos e engenharia, que necessitam ter acesso às zonas de maior criticidade e com maior risco a operação dos ativos (níveis 0, 1, e 2). A imagem abaixo ilustra os níveis de zonas envolvidas numa estrutura operacional de ativos de geração e transmissão de energia.
Já a tabela abaixo resume a necessidade de cada grupo aos seus respectivos níveis de acessos e aplicações necessárias para garantir continuamente o funcionamento dos setores da organização:
Grupo de usuário | Níveis de acesso | Aplicações |
Corporativo | 4 e 5 | – Arquivos – Contratos – Relatórios |
Operação e Manutenção | 2 e 3 | – Arquivos – PCM – SCADA – Banco de dados – SMF CCEE – Torres anemométricas – Telecomunicações – Hotlines – CFTV |
Engenharia | 0, 1 e 2 | – SCADA – Banco de dados – SMF CCEE – Torres anemométricas – SPCS (automação) – IEDs, PLCs, Relés – Equipamentos de pátio |
As normas de segurança da informação, como ISA-99 e NERC CIP, recomendam algumas boas práticas e tecnologias que garantem acesso seguro aos ambientes de missão crítica. Logo abaixo listo as recomendações mínimas que devem ser aplicadas nesse cenário atual de crise:
- Camada de firewall para cada nível de acesso;
- Controlador de domínio de usuário para controle e permissão de acesso;
- Autenticação de usuários em dois fatores;
- Política de senhas seguras com no mínimo 8 caracteres (letras, números e símbolos);
- Políticas periódicas de atualização de senhas;
- Acesso remoto sempre utilizando soluções de VPN com criptografia;
- Utilizar, sempre que possível, zona de salto (jump server) para acesso às zonas de rede 0, 1 e 2;
- Atualização constante dos sistemas operacionais, sistemas e aplicações;
- Monitoramento constante da infraestrutura e acessos em tempo real.
Como podemos ver, fornecer um acesso remoto seguro para ativos de energia não é uma tarefa simples. Tanto uma solução tecnológica que contenha os requisitos exigidos pelas normas e boas práticas de mercado para segurança da informação, quanto uma infraestrutura adequada e planejada para ser operada remotamente são indispensáveis para fornecer a solução de acesso remoto ao principal componente da engrenagem de tudo que discutimos aqui: pessoas capacitadas. É sabido que a crise atual do coronavírus não proporcionou tempo adequado para as organizações se prepararem, mas, além disso, também dificultou ainda mais as ações corretivas emergenciais, pois a necessidade de isolamento social afetou fornecedores, logísticas das companhias e forçou as organizações a enfrentarem o momento atual de crise com as ferramentas que tinham.
Fica cada vez mais claro e evidente a importância de desenvolver bons projetos de infraestrutura de ativos de energia e, para isso precisamos contemplar as boas práticas de mercados e as normas para ambientes de missão crítica, aderir a sistemas de gerenciamento da segurança da informação, desenvolver planos de contingências operacionais e, principalmente, capacitar continuamente os colaboradores. Tudo isso tende a proporcionar com mais agilidade e segurança uma mudança que está na iminência de acontecer: a transformação digital do setor elétrico.