strommast-5581755_1280.jpg

Prazo de rotina de cibersegurança do setor elétrico vence hoje

Empresas de geração, transmissão e distribuição e energia do país ainda não cumpriram os requisitos estabelecidos pelo Operador Nacional do Sistema Elétrico (ONS)
Da Redação
07/01/2023

As empresas de geração, transmissão e distribuição e energia do país têm até esta segunda-feira, 9, para concluir a primeira parte da adequação à rotina operacional que estabelece os controles mínimos de segurança cibernética determinados pelo Operador Nacional do Sistema Elétrico (ONS) no Ambiente Regulado Cibernético (ARCiber). 

O ARCiber é o conjunto de redes e equipamentos que estão considerados no escopo da rotina operacional e é composto pelos centros de operação das empresas de energia; equipamentos que fazem parte da infraestrutura de envio ou recebimento de dados e voz para os ambientes operativos do ONS ou para os centros de operação de outros agentes do setor; e o ambiente operativo do próprio ONS. 

Marcelo Branquinho, CEO da TI Safe, explica que a normativa do ONS entrou em vigor há quase dois anos, em julho de 2021, com um prazo de 27 meses para ser cumprido e uma primeira etapa em 18 meses. Contudo, segundo ele, grande parte dos agentes que compõem o setor elétrico não se atentou para o prazo desta primeira fase e, agora, corre o risco é de não conseguirem se adequar às novas regras determinadas pelo órgão. 

O ponto mais crítico para o CEO da TI Safe de deixar para última hora é deixar vulnerável o ambiente de missão crítica, que é o fornecimento de energia elétrica. “Alguns requerimentos especificados na rotina requerem intervenções críticas nas redes operativas como, por exemplo, implementar o controle de acesso com senhas fortes em sistemas de controle, trocar endereçamento de redes em funcionamento, trocar senhas de banco de dados, trocar senhas de dispositivos, ter um sistema de diretórios para automação e outras melhorias que, se feitas sem o devido cuidado, podem acarretar paradas na operação. O desafio é enorme e o prazo cada vez mais curto. Agora só faltam nove meses. Por isso, o melhor é não adiar”, ressalta. 

O atendimento do restante da normativa é obrigatório até outubro deste ano, prazo que completa os 27 meses da data publicação. “Ou seja, ainda há muito a se fazer durante o ano”, esclarece Branquinho. A TI Safe desenvolveu uma solução que atende a todos os controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo ONS no ARCiber.

Veja isso
Setor de energia está atrasado em segurança cibernética
Gigante espanhola de energia Iberdrola sofre ciberataque

Confira, a seguir, os oito itens da rotina operacional do ONS precisam ser implementados até esta segunda-feira:

1) Todos os agentes do setor elétrico que compõem o ARCiber não devem ser diretamente acessíveis através da internet, mesmo que protegido por um ou mais firewalls. Também seus ativos não devem ser visíveis nem ser acessíveis a partir da internet, exceto nos casos previstos em: 4.1.3 (abaixo) e não devem ser capazes de se conectar com a internet. 

2) O acesso ao ARCiber a partir de redes externas à organização (como, por exemplo, a internet) somente deve ser permitido para o desempenho de atividades autorizadas. Este acesso deve ser realizado por meio de Rede Privada Virtual (VPN), ou tecnologia similar, através de um gateway ou serviço que ofereça controles de segurança. 

Governança e segurança da informação 

3)  Deve ser nomeado pelo menos um gestor e um suplente, responsáveis pela segurança cibernética do agente do ARCiber para atuar como ponto de contato externo. 

4)  Também deverá ser estabelecida uma política que defina papéis e responsabilidades em relação à segurança cibernética da empresa. 

Inventário de ativos 

5)  Todos os ativos, softwares e hardwares, conectados ao ARCiber devem ser inventariado a cada 24 meses e considerar: tipo de dispositivo, fabricante do equipamento, função; endereço IP ou MAC Address e protocolo de aplicação e/ou porta de serviço, versão do firmware ou sistema operacional quando aplicável. 

6)  O inventário dos ativos deve ser armazenado de forma segura, com políticas de armazenamento bem definidas, com acesso restrito às pessoas que necessitem das informações para o exercício de suas funções. 

7)  Padrões de configuração segura (hardening) devem ser criados conforme política de segurança do agente para os sistemas operacionais, firmwares, banco de dados e demais versões de softwares existentes no ARCiber: a) Mecanismos de monitoramento da conformidade destes padrões no ARCiber produtivo, automatizados ou manuais, devem ser implementados. 

Monitoramento e respostas a incidentes 

8) Os ativos do ARCiber devem estar configurados para gerar logs de segurança apropriados para suportar investigações e a reconstrução de possíveis incidentes de segurança. Esses logs devem ser armazenados por prazo definido nas políticas de segurança cibernética da organização. Os demais requisitos que deverão estar totalmente implementados até o fim deste ano estão descritos na tabela da norma.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)