Os investimentos das empresas de energia em governança e estratégias de proteção contra ataques de hackers vão somar US$ 1,87 bilhão em 2018. O grande volume de gastos tem o objetivo de fazer frente a uma realidade cada vez mais presente nas empresas do segmento de energia —hidro, eólica, biomassa, solar, petróleo, gás, entre outras. De acordo com um estudo da consultoria de risco e corretora de seguros americana Marsh & McLennan, realizada no ano passado em parceria com a Swiss Re, 80% das companhias de 40 países no mundo, incluindo o Brasil, já sofreram ataques cibernéticos.
As empresas analisadas são membros do Conselho Mundial de Energia (World Energy Council), entidade sediada em Londres que se dedica a estudos e desenvolvimento de novas tecnologias para geração e distribuição de energia.
Os investimentos em segurança contra riscos cibernéticos se devem às constantes mudanças na gestão das empresas, em especial à automatização dos sistemas de controle (SDSC – Sistema Digital de Supervisão e Controle), que trouxe mais competividade para as companhias.
O aumento do uso da internet e das tecnologias em rede facilita a gestão eficiente para essas empresas, oferecendo aos gestores diversas oportunidades de melhorar diversos aspectos na operação e manutenção das plantas. Entretanto, na mesma medida que o controle tem ficado mais preciso, abre-se também brechas para ataques cibernéticos aos SDSCs. O erro humano, muitas vezes, é um fator-chave para o sucesso dos ataques cibernéticos, devido à insuficiente conscientização dos riscos cibernéticos entre os funcionários em todos os níveis da organização.
Em 2015, um caso emblemático sobre o potencial da atuação de hackers nessa indústria aconteceu com a Kyivoblenergo, companhia ucraniana de distribuição de energia elétrica. Houve uma invasão nos computadores e no sistema SCADA da companhia causando uma interrupção de três horas para cerca de 80 mil clientes.
Outro exemplo é o caso da usina nuclear em Ohio nos Estados Unidos, que sofreu em 2003 um ataque por um malware chamado “Slammer”” que desativou o sistema de monitoramento de segurança por cinco horas. Este ataque também afetou outras cinco plantas da companhia.
Riscos cibernéticos no Brasil
A gestão de riscos cibernéticos no setor elétrico no Brasil ainda é incipiente, principalmente devido à falta de histórico de ocorrências no país. Como as ocorrências são mais comuns no exterior, percebe-se um movimento das multinacionais com operações no Brasil no sentido de buscar verificar as reais vulnerabilidades de seus sistemas de proteção e controle.
A maior mudança que teremos no setor elétrico em relação a riscos cibernéticos, ocorrerá com entendimento das áreas de engenharia das empresas, que sistemas operacionais dedicados ou embarcados atualmente não podem ser considerados como uma prevenção a este tipo de ataque.
