Cotesa

Transmissoras e geradoras de energia devem se adequar às normas de segurança cibernética até 8 de janeiro

As empresas de transmissão e geração de energia têm até 8 de janeiro para estarem adaptadas aos controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético, estabelecidos pelo Operador Nacional do Sistema Elétrico (ONS). As normas estão vigentes desde 9 de julho de 2021 e os ativos serão fiscalizados também pela Aneel.

Com a medida, o órgão exige que os centros de operações dos agentes e instalações da rede de operação do SIN adotem as ferramentas para evitar invasões de hackers, como em janeiro de 2021, quando foram vazados mais de 220 milhões de dados de brasileiros de órgãos federais, como o Sistema Único de Saúde (SUS). O Brasil, inclusive, foi o 1º país com mais vazamento de informações pessoais do mundo em 2021.

As adequações nos centros de operação devem ser implantadas com uma consultoria de segurança, que realizará análise dos ambientes internos, identificar vulnerabilidades, seguir os conceitos descritos pelos ONS na norma, além de treinar os operadores e equipes de TI.

CEO da COTESA Engenharia, Adriano Vignoli alerta que quem ainda não começou a implantação não vai estar adequado no prazo correto, gerando uma possível exposição do agente. “Todo o processo de adequação é estudado e personalizado para cada centro de operações e cada ativo, mas especialmente há uma falta dos equipamentos no mercado, que acaba atrasando a conclusão dos trabalhos”, explica Vignoli.

As normas de segurança cibernética

Confira, abaixo, as principais normas exigidas pelo ONS para o Ambiente Regulado Cibernético (ARCiber).

1 – Arquitetura tecnológica

As redes devem ser segregadas em zonas de segurança, de acordo com a sua função, e o ARCiber não deve ser diretamente acessível através da internet mesmo que protegido por um ou mais firewalls. O acesso ao ARCiber a partir de redes externas à organização somente será permitido para o desempenho de atividades autorizadas e deve ser realizado por meio de Rede Privada Virtual (VPN), ou tecnologia similar, através de um gateway ou serviço que ofereça controles de segurança. As soluções Antimalware devem ser implementadas no ARCiber e mantidas atualizadas.

2 – Governança de Segurança da Informação

Deve ser nomeado pelo menos um gestor e um suplente, responsáveis pela segurança cibernética do ARCiber e atuar como ponto de contato externo, com definição de papéis e responsabilidades.

3 – Inventário de ativos

Todos os ativos, softwares e hardwares conectados ao ARCiber devem ser inventariados minimamente a cada 24 meses e com acesso restrito às pessoas que necessitem das informações para o exercício de suas funções.

4 – Gestão de vulnerabilidades

A política de segurança da organização deverá contemplar a gestão de pacotes de correção de segurança para todas as tecnologias conectadas ao ARCiber. Novos ativos também somente deverão ser conectados ao ARCiber após a aplicação de todos os pacotes de correção de segurança disponíveis.

5 – Gestão de acessos

Credenciais de acesso devem ser individuais e aprovadas pela alçada competente, com políticas rígidas de criação e trocas de senhas.

6 – Monitoramento e respostas a incidentes

Os ativos do ARCiber devem estar configurados para gerar logs de segurança apropriados para suportar investigações e a reconstrução de possíveis incidentes de segurança. Esses logs devem ser armazenados por prazo definido nas políticas de segurança cibernética da organização.

Pular para o conteúdo