Os investimentos das empresas de energia, governança e estratégias de proteção contra ataques de hackers vão somar cerca de US$ 1,87 bilhão a partir de 2018. A programação do grande volume de investimento tem o objetivo de fazer frente a uma realidade cada vez mais presente nas empresas do segmento de energia (hidro, eólica, biomassa, solar, petróleo, gás, entre outras). De acordo com um estudo da consultoria de risco e corretora de seguros americana Marsh, em parceria com a Swiss Re, durante o ano de 2016, 80% das companhias de 40 países no mundo (incluindo Brasil), participantes do levantamento, já sofreram ataques cibernéticos.

As empresas dos 40 países analisadas no estudo são membro do Conselho Mundial de Energia (World Energy Council), entidade sediada em Londres que se dedica a estudos e desenvolvimento de novas tecnologias para geração e distribuição de energia.

Os investimentos em segurança contra riscos cibernéticos devem-se às constantes mudanças na gestão das empresas, em especial à automatização dos Sistemas de Controle (SDSC – Sistema Digital de Supervisão e Controle), que trouxe mais competividade para às companhias.

O aumento do uso da internet e das tecnologias em rede facilita a gestão eficiente para estas empresas, oferecendo aos gestores diversas oportunidades de melhorar diversos aspectos na operação e manutenção das plantas. Entretanto, na mesma medida que o controle tem ficado mais preciso, abre-se também brechas para ataques cibernéticos aos SDSCs. O erro humano é muitas vezes um fator-chave no sucesso dos ataques cibernéticos, devido à insuficiente conscientização dos riscos cibernéticos entre os funcionários em todos os níveis da organização.

Em 2015, um caso emblemático sobre o potencial da atuação de hackers nessa indústria aconteceu com a Kyivoblenergo, companhia ucraniana de distribuição de energia elétrica. Houve uma invasão nos computadores e sistema SCADA da companhia causando uma interrupção de 3 horas para cerca de 80.000 clientes.

Outro exemplo é o caso da usina nuclear em Ohio nos Estados Unidos, que sofreu em 2003 um ataque por um malware chamado “Slammer” que desativou o sistema de monitoramento de segurança por cinco horas. Este ataque também afetou outras 5 plantas da companhia.

Riscos cibernéticos no Brasil

A gestão de riscos cibernéticos no setor elétrico no Brasil ainda é incipiente, principalmente devido à falta de histórico de ocorrências no país. Como as ocorrências são mais comuns no exterior, percebe-se um movimento das multinacionais com operações no Brasil no sentido de buscar verificar as reais vulnerabilidades de seus sistemas de proteção e controle.

Entendo que a maior mudança que teremos no setor elétrico em relação a riscos cibernéticos, ocorrerá com entendimento das áreas de engenharia das empresas, que sistemas operacionais dedicados ou embarcados atualmente não podem ser considerados como uma prevenção a este tipo de ataque.

Os grandes fabricantes de relés de proteção e sistemas de controle, já estão comercializando equipamentos para reduzir o risco de ataques cibernéticos e a existência destes equipamentos já indicam uma crescente preocupação com o tema.