Apresentação realizada no UTCAL Summit 2016 em Florianópolis no dia 06/04/2016 no painel de cibersegurança. Trás uma visão geral do problema de cibersegurança no setor elétrico, o que os EUA e CE estão fazendo para tratar o problema e uma proposta de mitigar o risco no Brasil através da construção de Plano Nacional de Cibersegurança para o Setor Elétrico Brasileiro.

1. Cibersegurança no Setor
Elétrico: Ações internacionais
e proposta para mitigar o
problema no Brasil
José Reynaldo Formigoni Filho, MSc
Gerente de Desenvolvimento de Tecnologias de Segurança da Informação

2. Contexto
Ações internacionais
Ações no Brasil
Proposta para mitigação do problema
Comentários finais
AGENDA

3. O CPqD atua
nos setores...
COMUNICAÇÃO
E MULTIMÍDIA

4. NOSSAS CREDENCIAS NO SETOR
• Fornecimento de Serviços e
Produtos para Empresas do Setor
• Mais 140 projetos de P&D ANEEL
• 17 P&Ds no tema Smart Grid
• Telecomunicações
• Automação avançada
• Geração distribuída – fontes altenativas
• Armazenamento de energia
• Mobilidade elétrica
• Medição eletrônica de energia
• Interação com o consumidor
• Subestação inteligente
• Monitoramento e sensoriamento
• Sustentabilidade ambiental
• Modelos de referência
• Cibersegurança

5. Atuação do em
CPqD Segurança
da Informação no
Setor Elétrico...
COMUNICAÇÃO
E MULTIMÍDIA
• BLOCO 5 - TI E TELECOM: POLÍTICAS DE
SEGURANÇA DA INFORMAÇÃO (2011)
• - PROJETO SMART GRID CIDADE DO FUTURO:
PRIVACIDADE (2012)
• - PROJETO AVALIAÇÃO DE SEGURANÇA
EM MEDIDORES (2013 E 2014)
• ESTUDOS SOBRE SEGURANÇA NO SETOR ELÉTRICO
• Coordenação de painel sobre segurança em Scada no
IV Seminário Nacional de Segurança da Informação e
Criptografia (SENASIC) em 2013
• Coordenação do workshop de segurança em Scada no
CDCiber do Exército Brasileiro em 2014
• Benchmarking internacional

6. Contexto
Ações internacionais
Ações no Brasil
Proposta para mitigação do problema
Comentários finais
AGENDA

7. CONTEXTO
Modernização da rede elétrica:
• Maior eficiência operacional
• Oferta de novos serviços
• Maior interação com o cliente
Mais vulnerabilidade de
sw e hw e, consequente,
risco de ataques bem-
sucedidos.
Fevereiro 2013 a Maio 2014

8. CONTEXTO – EXEMPLOS
São mais raros que roubo de dados
Potencialmente, muito mais destrutivos

9. CONTEXTO – PRINCIPAIS BARREIRAS
• Imprevisibilidade dos ataques cibernéticos e evoluem mais rápido que as
contramedidas
• Dificuldade de implantar atualizações de segurança no legado
• Dificuldade de realizar testes de simulação de ataque e avaliação de
vulnerabilidade
• Compartilhamento de informações de ameaças, vulnerabilidades, incidentes e
mitigação
• Segurança da informação para a maioria das concessionárias é custo
• Incertezas regulatórias (ou inexistência regulatória) em cibersegurança para o
setor de energia

10. Contexto
Ações internacionais
Ações no Brasil
Proposta para mitigação do problema
Comentários finais
AGENDA

11. AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS E
PADRONIZAÇÕES
International
Electrotechnical
Commission
ENERGY

12. AÇÕES INTERNACIONAIS – MELHORES PRÁTICAS

13. AÇÕES INTERNACIONAIS – CERTIFICAÇÕES E
FERRAMENTAS
ENERGY
TACIT – Threat Assesment Framework
for Critical Infraestructure Protection
Simulation tool for Smart Grids Cyber
Attacks - The final version has been
released!

14. Contexto
Ações internacionais
Ações no Brasil
Proposta para mitigação do problema
Comentários finais
AGENDA

15. AÇÕES NO BRASIL
Padronização:
• Instituto Nacional de Metrologia, Qualidade e Tecnologia –
INMETRO. RTM 586 - Regulamento Técnico Metrológico –
2012: RTM de software para medidor eletrônico de energia
elétrica e software para sistema distribuído de medição de
energia elétrica – 01/11/2012
• Projetos de P&D Aneel
• Painel e workshop nos eventos da Renasic no CDCiber do Exército Brasileiro
• Criação do Grupo de Infraestruturas Críticas pelo COMITÊ GESTOR DE
SEGURANÇA DA INFORMAÇÃO do GSI – Gabinete de Segurança Institucional
da Presidência da República - PORTARIA No - 41, DE 9 DE OUTUBRO DE 2014
• UTCAL (Utilities Telecom Council América Latina) – primeira reunião do GT de
Cybersecurity: 05/08/2015

16. Contexto
Ações internacionais
Ações no Brasil
Proposta para mitigação do problema
Comentários finais
AGENDA

17. PROGRAMA BRASILEIRO DE CIBERSEGURANÇA E PRIVACIDADE
PARA O SETOR ELÉTRICO
Framework de segurança do setor elétrico
Análise de vulnerabilidades e simulações
Desenvolvimento de Tecnologias e Soluções de
segurança
• Arquitetura funcional de
segurança
• Requisitos de Alto Nível
• Aspectos regulatórios
• Análise de Riscos
• Modelo de Maturidade
• Modelo de padronização e
certificação
• Modelo de ISC-CERT
• Capacitação
• Estrutura laboratorial
• Simulação de ataques
• Metodologias de análise
de vulnerabilidade em sw
e hw
• Capacitação
• Estrutura de comunicação segura
• Medidor seguro
• Protocolos
• Encriptação de dados
• Mecanismos de autenticação
+

18. PROGRAMA BRASILEIRO DE CIBERSEGURANÇA E PRIVACIDADE
PARA O SETOR ELÉTRICO – FASE 1
Bloco 1: Governança e integração do
projeto
Bloco 2: Melhores práticas, arquitetura de
segurança e modelos de padronização
Bloco 3: Mapeamento de risco e nível de
maturidade de segurança
Bloco 4: Monitoramento de Ciberataques
e Resposta a Incidentes
Bloco 5: Capacitação e treinamento
Dispositivos
Telecomunicações
MediçãoeBigData
Aplicações(TO)
Corporativo(TI)

19. COMENTÁRIOS FINAIS
• As ações de mitigação dos riscos por parte do governo e
concessionárias são pulverizadas
• As questões de cibersegurança nas concessionárias devem ser
tratadas de forma estratégica e unificada
• Necessidade da concepção de um programa abrangente envolvendo os
diferentes atores: governo, concessionárias, órgãos de padronização e
fornecedores
• Modelo a ser desenvolvido deve contemplar as novas tecnologias e os
novos modelos de negócio

20. Reynaldo Formigoni
reynaldo@cpqd.com.br