Uma avaliação do cenário da gestão de riscos cibernéticos no setor elétrico brasileiro sob a ótica da Rotina Operacional do ONS RO-CB.BR.01

Abstract

O avanço tecnológico pelo qual o Sistema Elétrico de Potência – SEP vem passando inseriu uma série de novas variáveis e questões importantes nesse ambiente que devem ser consideradas. Uma delas é a segurança dos dados trafegados entre as geradoras, transmissoras e distribuidoras de energia elétrica e seus Sistemas de Proteção, Comando, Aquisição de Dados e Supervisão (SPCS/SCADA). O planejamento e a gestão de riscos cibernéticos passaram a atuar fortemente em prevenção e recuperação. O Operador Nacional do Sistema Elétrico – ONS, visando estabelecer controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo próprio ONS, definiu o Ambiente Regulado Cibernético – ARCiber, inserido no Manual de Procedimentos da Operação - Módulo 5 – Submódulo 5.13, por meio da Rotina Operacional RO-CB.BR.01 R00, de 09/07/2022, o qual estipulou uma série de orientações que deverão ser obrigatoriamente seguidas pelos agentes do Setor Elétrico Brasileiro – SEB. Com base no ambiente de Segurança Cibernética ARCiber, definido pela RO, este trabalho tem por objetivo analisar o cenário da gestão de riscos cibernéticos do SEB. Para tanto, se buscou dois objetivos específicos, quais sejam: em primeiro plano a realização de uma comparação qualitativa entre os controles propostos pelo Framework CIS CSC e os controles mínimos necessários definidos pelo ARCiber e, em segundo plano, a realização de uma análise de conteúdo do Manual SCADA Win CC 7.5 SP2 da Siemens [1] para avaliar a abrangência dos procedimentos de backup e recuperação de dados do sistema SCADA e sua conformidade com os controles definidos no Macrocontrole 11 – Recuperação de Dados do Framework CIS CSC. Os resultados mostram que apenas um dos dezoito grupos de controle que o ONS recomenda excede as exigências desse Framework. Em contraponto, cinco outros grupos de controle não são mencionados pelas recomendações do ONS, dentre eles o Macrocontrole 11 – Recuperação de Dados, e, para os outros grupos, os requisitos do ONS ficam aquém da estrutura do CIS CSC. Apesar de se ter verificado a conformidade entre o Framework CIS CSC e os aspectos funcionais e tecnológicos existentes no processo de recuperação de dados do sistema SCADA, não é possível garantir que empresas do setor elétrico brasileiro executem as rotinas de recuperação de forma sistemática. A relevância desse trabalho está na possibilidade da construção de um debate acerca do tema, diante das recentes ações do ONS para enfrentar os riscos cibernéticos associados à infraestrutura operacional do SEB, que, conforme os resultados, ainda necessitam de melhorias em sua maturidade operacional e de gestão.