Apolo Lira, diretor da Energy Future, plataforma de inovação no setor elétrico, diz que a onda de ataques em massa acendeu a luz amarela para cibersegurança e comenta sobre a ideia de criação de um centro de compartilhamento de informações entre empresas do ramo como forma de proteção
Ideias centrais:
- Com a digitalização das informações sendo feita em larga escala pelas empresas no Brasil e no mundo, a vulnerabilidade a ciberataques só aumenta.
- O setor elétrico, alvo estratégico, demanda uma atuação mais contundente, já que as invasões estão cada vez mais sofisticadas e sendo feitas em várias organizações ao mesmo tempo
- Empresas do segmento querem se unir e criar um hub para trocar informações e criar protocolos de respostas comuns a ataques similares
- Hoje a cibersegurança tem uma demanda de 100 mil vagas de emprego em aberto no país
A guerra da Rússia contra a Ucrânia começou há pouco mais de um mês, mas o sistema elétrico ucraniano é alvo de hackers russos há quase uma década. A primeira grande bomba dessa ofensiva cibernética foi lançada em 2015, quando cerca de 80 mil ucranianos ficaram sem luz no ataque conhecido como “BlackEnergy”. Foram várias ações criminosas desde então e, atualmente, após a invasão, o país do Leste Europeu perdeu o controle do seu sistema energético. Os blackouts são uma das armas de Moscou contra Kiev. Você pode estar se perguntando o que isso tem a ver com o Brasil. A resposta é simples: absolutamente tudo.A habilidade de hackers de diversas nacionalidades – entre eles os russos – para violar sistemas energéticos é realidade no Brasil. Nos últimos dois anos, várias gigantes do setor reportaram violações cibernéticas – entre elas: Copel, Eletronuclear, EDP, Enel, Energisa e Light.
“Todas as empresas [do setor elétrico] já foram alvos de ataques. Todas sofrem ou tentativa o tempo inteiro ou já tiveram tiradas do ar células importantes”, afirma o executivo.
Ele não cita nominalmente empresas, mas explica que hackers invadem sistemas computacionais para derrubar serviços ou roubar dados, bloqueando o acesso das empresas aos próprios servidores para reagir. Em troca, cobram resgate em criptomoedas depositadas em ETF (Exchange Traded Funds). “Soubemos de uma cifra de US$ 10 milhões em um só ataque, há uns dois anos, por um grande distribuidor de energia”, recorda o executivo.
“A busca por cibersegurança será incansável. Com o objetivo das empresas de digitalizar tudo, a cibersegurança é algo muito maior”, diz Apolo Lira, diretor da Energy Future.
O primeiro passo foi dado pelo Operador Nacional do Sistema Elétrico (ONS), que padronizou no ano passado algumas diretrizes de segurança. As companhias, agora, desejam criar um hub para trocar informações e criar protocolos de respostas comuns a ataques similares. O motivo? “Os ataques estão acontecendo em mais de uma empresa simultaneamente”, afirma Lira.
Ele comanda a Energy desde 2019. A empresa foi criada como hub de inovação para atrair startups para desenvolver soluções individuais das empresas e temáticas do setor. O projeto já realizou 2 mil pesquisas e gerou R$ 2 bilhões no aporte por inovação. Cerca de 17% das pesquisas saíram do papel para se tornar ou negócios individuais ou solução para elétricas.
Agora, a Energy está lançando um marketplace para ser uma “vitrine tecnológica”. A ideia é ter na prateleira virtual inovações prontas para facilitar o match entre empresas e startups. Trata-se de uma mudança na forma como vinha atuando, pautando a inovação a partir de demandas isoladas. “A gente começou a receber mais soluções que podem ser plugadas numa rede ou fazer parte do dia a dia”, diz o diretor.
Mas é a cibersegurança que domina a agenda setorial neste momento, como conta Apolo Lira, diretor da Energy Future, plataforma de inovação que desenvolve soluções tecnológicas para o setor de energia elétrica, em entrevista ao EXP.
O que motivou a criação da Energy como hub de inovação por AES Tietê, Energisa, Enel, Equatorial, Light e Santo Antônio?
O Energy Future nasceu há pouco mais de dois anos, nessa grande chamada para a inovação aberta. Até então, o setor elétrico cooperava de maneira mandatória pela Aneel nos projetos cooperados de P&D. Isso continua, mas como as empresas do Energy são de capital privado elas estavam com um anseio maior de procurar projetos no setor elétrico para levar a bandeira do P&D, cuja verba regulada é de altíssima relevância para o setor na ordem de R$ 500 milhões a R$ 700 milhões por ano. É o valor obrigatório regulado e pago pelo consumidor. As empresas questionavam por que não colocar um pouco mais de oxigênio nesses recursos, pois eram sempre os mesmos centros de pesquisas, projetos e proponentes que ganhavam as concorrências. Nós criamos uma visão um pouco maior de tentar entender grandes temas: digitalização, geração distribuída, smart meters (medidores inteligentes). Temas que faziam sentido há dois anos, mas hoje temos uma cabeça um pouco diferente. Fazemos uma nova agenda setorial.
Cite algumas soluções criadas para empresas via Energy?
A Votorantim Energia, por exemplo, fez conosco um desafio de startups para que pudessem plugar soluções dentro da sua rede de clientes. Ela queria startups que resolvessem dores dos clientes num ponto de vista mais pung and play, na operação de cobrança. Foram mais de 50 propostas em 30 dias. Fizemos outro desafio bem grande para a Equatorial Energia, onde fomos entender o aspecto social e de desenvolvimento tecnológico de áreas bem degradada de Alagoas. O que nós conhecemos no Sudeste como favelas, em Maceió são chamadas de ‘grotas’. Diferentemente do Rio de Janeiro, onde as comunidades são verticais, em Alagoas elas são o inverso, ficam em grotas. Isso cria um desafio muito maior para a rede de energia chegar. [O Desafio Equatorial 365 recebeu mais de 100 propostas, tendo selecionado cinco para otimizar o fornecimento de energia na capital alagoana]. Furnas nos escolheu para pesquisa sobre gerenciamento das áreas e das linhas de transmissão das linhas interligadas, que às vezes precisam de um voo de helicóptero para ver se tem algum equipamento que não faz sentido. Conseguimos promover novidades em termos de monitoramento com drones com pilotos e autônomos.
Quais os principais itens da nova agenda setorial elaborada por vocês?
Praticamente 100% das empresas falam da preparação para os ‘Três D’: descarbonização, descentralização e a digitalização. Tudo o que acontece hoje no setor elétrico está pautado neles. Essa foi uma pauta antiga das empresas e hoje vemos muito no dia a dia do DNA das equipes de segurança.
O que tem sido feito para reduzir emissões de carbono?
Isso tem se intensificado, saído do discurso. Tem grupos que promovem a descarbonização através da busca por novas matrizes energéticas. Começamos a falar de matriz energética de hidrogênio. Vemos uma exploração maior do hidrogênio verde, com o Ceará sendo um espaço geográfico com grande atrativo para produção da hidrólise – inclusive com a energia renovável sendo uma das formas do hidrogênio verde funcionar. Há empresas do setor elétrico criando as primeiras plantas de produção do hidrogênio verde. [a EDP investe R$ 42 milhões na instalação da primeira usina de hidrogênio do país, no Porto do Pecém].
Qual é a descentralização procurada pelo setor?
Ela está vindo pela energia distribuída, que tem a ver com a entrada do mercado livre de energia. Isso é um benefício, hoje, para os grandes consumidores de energia. Mas está mudando. A Aneel soltou alguns pareceres novos e há uma previsão de que, em 2024, o mercado de fato abra completamente. Ou seja, a compra de energia antecipada como tem na Europa, nos EUA e uma série de países onde você pode comprar energia por aplicativo de celular comparando o melhor preço.
E a digitalização envolve quais novidades?
É o que mais estamos vendo em larga escala. Tudo está sendo digitalizado. O setor elétrico funciona com 300 empresas de geração, transmissão e distribuição de energia e mais de 400 comercializadoras. Está todo mundo digitalizando, temos uma rede interligando e um país que depende dessa energia plugada na rede. Mas aí entramos em cibersegurança.
Como as empresas trabalham a cibersegurança para se antecipar a ataques hackers e não ficar apenas ‘correndo atrás do rabo’?
É como em um acidente aéreo. A cada acidente aéreo se acumula mais informação, mais conhecimento para tentar evitar novos acidentes. É um pouco o que acontece hoje com o setor elétrico. Às vezes a gente acha que o problema está na empresa, mas temos uma série de serviços terceirizados ou quarteirizados. O último ataque tornado público, que foi em duas distribuidoras de energia, ocorreu no atendimento de call center. Os hackers derrubaram o atendimento do que chamam de sistema de segundo nível, ou seja, uma área que o pessoal de tecnologia não olhava [risco]. Uma das empresas teve de contratar uma consultoria externa para resolver o problema em menor tempo, porque o fornecedor próprio não estava dando conta.
A Energy Future desenvolve projetos em cibersegurança?
Temos hoje o primeiro ciclo de cibersegurança em que chamamos as empresas para serem embaixadoras. São nove empresas embaixadoras – como a Accenture, que fez um trabalho muito bom com a Febraban. Pegamos parte desse know how para entender um pouco mais no setor elétrico. No final, estamos falando de treinamento [de pessoal] e ataque de hanson, que é uma das formas principais de abertura de portas. [Ransomware ou ataque de hanson é a invasão que criptografa arquivos de um computador, impedindo o usuário de acessá-lo]. Hoje há uma rede de hardwares relativamente velha, que possuem portas abertas o tempo inteiro. Então, a falta de atualização de um firmware de um hardware faz com que possa existir lacuna para que um grupo de hackers invada. [Firmware é o software responsável por guardar informações para protegê-las]. A visão que a gente construiu de três garotos num quarto brincando de atacar as pessoas como um hacker é ficção. São grupos criminosos complexos e grandes, inclusive um dos relatórios que se usa mesmo para relatar o que aconteceu são relatório de tracking.
Como esse histórico de ação hacker é elaborado?
Toda vez que há um ataque, começa um relatório para entender a origem do grupo, o que queria fazer, por onde entrou [no sistema], qual porta acessou. Isso está sendo colocado na nossa agenda como uma informação que deveria ser espalhada para o setor elétrico. Ou seja, como a gente pega esse ‘telefone vermelho’ para falar com vários diretores de tecnologia ou cibersegurança para entender o que está acontecendo, pois geralmente esse ataque ocorre em massa.
Os ataques estão ocorrendo em mais de uma empresa ao mesmo tempo?
Sim. Geralmente são ataques em massa, ou seja, em mais de uma empresa simultaneamente. A Aneel, por exemplo, sofre tentativas de ataque diariamente. Desde tentar derrubar o site da agência até o sistema. Isso pode comprometer o nosso país. O ONS criou um marco regulatório, principalmente, por entender essa questão por outra ótica. Ele entende que um ataque vai derrubar sim [a energia] em grandes áreas e provocar uma série de problemas se conseguir desligar um sistema elétrico. Isso ainda não ocorreu no país, como visto na guerra entre Ucrânia e Rússia. Hoje grupos de hackers controlam o sistema elétrico ucraniano e conseguem desligar a energia do país a hora que quiserem. Não temos visto isso no Brasil, mas a busca por cibersegurança será incansável. Para o objetivo das empresas de digitalizar tudo, a cibersegurança é algo muito maior porque todas as empresas já foram alvos de ataque. Todas sofrem ou tentativa o tempo inteiro ou já tiveram tirada do ar células importantes.
O sequestro de dados para pedido de resgate em criptomoedas ainda está acontecendo?
Sim, com 100% dos resgates acontecendo em criptomoeda, sendo que 75% são sacados por Exchange [fundos ETF], que ninguém consegue rastrear. São dados sobre a dimensão do problema que começamos a ter quando iniciamos essa agenda de cyber.
Qual foi o maior resgate pago pelo setor elétrico brasileiro?
Soubemos de uma cifra de US$ 10 milhões em um só ataque, há uns dois anos atrás, por um grande distribuidor de energia. Hoje, outros distribuidores têm mais recurso para investir em cyber do que para investir em P&D como um todo de tão evidente que está esse problema nas corporações.
Como, objetivamente, o setor se organiza para evitar ataques?
Há cinco grandes objetivos: aumentar e melhorar a resiliência cibernética do setor; coordenar a resposta [coletiva] a ataques cibernéticos se uma empresa estiver sob ataque; desenvolvimento de talentos, porque hoje cibersegurança tem uma demanda de 100 mil vagas de emprego em aberto no país; reduzir os impactos causados por incidentes cibernético, ou seja, em quanto tempo conseguimos minimizar o transtorno, fechar a torneira e tentar reestabelecer o sistema. Por fim, suportar o cyber by design pela inovação. Tudo isso pode ser evitado se as novas soluções já forem elaboradas pensando nos cuidados da aplicação antes dela existir.
Essa interlocução das empresas está regulamentada juridicamente?
Está no começo. O ONS deu o primeiro passo com o relatório. Mas entendemos, como plataforma de inovação, que há gaps funcionando em outros mercados tão sensíveis quanto o de energia. É o caso da Febraban, junto com a Accenture, que criou um hub de cibersegurança apoiado pelos bancos. Nesse hub, os bancos conseguem ter a comunicação centralizada, ter relatórios de tracking sobre o que está acontecendo de maneira profunda. Eles conseguem fazer simulação de ataque e isso é muito importante, porque imagine como é a cabeça de um executivo quando começa um ataque: qual porta fechar primeiro, qual o primeiro gerente que vai ligar, com quem mais falar. Tudo isso é muito complexo no organismo das empresas de energia, onde todas têm mais de 10 mil pessoas trabalhando e atendem mais de 10 milhões de clientes na sua maioria. O grupo começa a trabalhar padrões de segurança pensando nos principais equipamentos plugados na rede. Vamos supor, por exemplo, que tenha uma subestação da ABB [fornecedora de equipamentos] em 40% das subestações do setor elétrico com um firmware desatualizado. Se a gente entra para criar um novo padrão, atualizar aquele firmware, você consegue fechar as brechas em larga escala.
Então, as elétricas pretendem criar um centro de compartilhamento sobre ataques hackers como o da Febraban?
Temos a orientação do ONS, mas estamos vivendo algo muito novo. Há espaço para algumas melhorias. A criação desse centro compartilhado é um dos objetivos que temos na Energy Future
Texto: Nivaldo Souza
Foto: Freepik.com/Divulgação
