Apresentação realizada no UTCAL Summit 2016 em Florianópolis no dia 06/04/2016 no painel de cibersegurança. Trás uma visão geral do problema de cibersegurança no setor elétrico, o que os EUA e CE estão fazendo para tratar o problema e uma proposta de mitigar o risco no Brasil através da construção de Plano Nacional de Cibersegurança para o Setor Elétrico Brasileiro.
Smart grid projects and ciber security in brazil conference
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitigar o problema no Brasil
1. Cibersegurança no Setor
Elétrico: Ações internacionais
e proposta para mitigar o
problema no Brasil
José Reynaldo Formigoni Filho, MSc
Gerente de Desenvolvimento de Tecnologias de Segurança da Informação
4. NOSSAS CREDENCIAS NO SETOR
• Fornecimento de Serviços e
Produtos para Empresas do Setor
• Mais 140 projetos de P&D ANEEL
• 17 P&Ds no tema Smart Grid
• Telecomunicações
• Automação avançada
• Geração distribuída – fontes altenativas
• Armazenamento de energia
• Mobilidade elétrica
• Medição eletrônica de energia
• Interação com o consumidor
• Subestação inteligente
• Monitoramento e sensoriamento
• Sustentabilidade ambiental
• Modelos de referência
• Cibersegurança
5. Atuação do em
CPqD Segurança
da Informação no
Setor Elétrico...
COMUNICAÇÃO
E MULTIMÍDIA
• BLOCO 5 - TI E TELECOM: POLÍTICAS DE
SEGURANÇA DA INFORMAÇÃO (2011)
• - PROJETO SMART GRID CIDADE DO FUTURO:
PRIVACIDADE (2012)
• - PROJETO AVALIAÇÃO DE SEGURANÇA
EM MEDIDORES (2013 E 2014)
• ESTUDOS SOBRE SEGURANÇA NO SETOR ELÉTRICO
• Coordenação de painel sobre segurança em Scada no
IV Seminário Nacional de Segurança da Informação e
Criptografia (SENASIC) em 2013
• Coordenação do workshop de segurança em Scada no
CDCiber do Exército Brasileiro em 2014
• Benchmarking internacional
7. CONTEXTO
Modernização da rede elétrica:
• Maior eficiência operacional
• Oferta de novos serviços
• Maior interação com o cliente
Mais vulnerabilidade de
sw e hw e, consequente,
risco de ataques bem-
sucedidos.
Fevereiro 2013 a Maio 2014
9. CONTEXTO – PRINCIPAIS BARREIRAS
• Imprevisibilidade dos ataques cibernéticos e evoluem mais rápido que as
contramedidas
• Dificuldade de implantar atualizações de segurança no legado
• Dificuldade de realizar testes de simulação de ataque e avaliação de
vulnerabilidade
• Compartilhamento de informações de ameaças, vulnerabilidades, incidentes e
mitigação
• Segurança da informação para a maioria das concessionárias é custo
• Incertezas regulatórias (ou inexistência regulatória) em cibersegurança para o
setor de energia
13. AÇÕES INTERNACIONAIS – CERTIFICAÇÕES E
FERRAMENTAS
ENERGY
TACIT – Threat Assesment Framework
for Critical Infraestructure Protection
Simulation tool for Smart Grids Cyber
Attacks - The final version has been
released!
15. AÇÕES NO BRASIL
Padronização:
• Instituto Nacional de Metrologia, Qualidade e Tecnologia –
INMETRO. RTM 586 - Regulamento Técnico Metrológico –
2012: RTM de software para medidor eletrônico de energia
elétrica e software para sistema distribuído de medição de
energia elétrica – 01/11/2012
• Projetos de P&D Aneel
• Painel e workshop nos eventos da Renasic no CDCiber do Exército Brasileiro
• Criação do Grupo de Infraestruturas Críticas pelo COMITÊ GESTOR DE
SEGURANÇA DA INFORMAÇÃO do GSI – Gabinete de Segurança Institucional
da Presidência da República - PORTARIA No - 41, DE 9 DE OUTUBRO DE 2014
• UTCAL (Utilities Telecom Council América Latina) – primeira reunião do GT de
Cybersecurity: 05/08/2015
17. PROGRAMA BRASILEIRO DE CIBERSEGURANÇA E PRIVACIDADE
PARA O SETOR ELÉTRICO
Framework de segurança do setor elétrico
Análise de vulnerabilidades e simulações
Desenvolvimento de Tecnologias e Soluções de
segurança
• Arquitetura funcional de
segurança
• Requisitos de Alto Nível
• Aspectos regulatórios
• Análise de Riscos
• Modelo de Maturidade
• Modelo de padronização e
certificação
• Modelo de ISC-CERT
• Capacitação
• Estrutura laboratorial
• Simulação de ataques
• Metodologias de análise
de vulnerabilidade em sw
e hw
• Capacitação
• Estrutura de comunicação segura
• Medidor seguro
• Protocolos
• Encriptação de dados
• Mecanismos de autenticação
+
18. PROGRAMA BRASILEIRO DE CIBERSEGURANÇA E PRIVACIDADE
PARA O SETOR ELÉTRICO – FASE 1
Bloco 1: Governança e integração do
projeto
Bloco 2: Melhores práticas, arquitetura de
segurança e modelos de padronização
Bloco 3: Mapeamento de risco e nível de
maturidade de segurança
Bloco 4: Monitoramento de Ciberataques
e Resposta a Incidentes
Bloco 5: Capacitação e treinamento
Dispositivos
Telecomunicações
MediçãoeBigData
Aplicações(TO)
Corporativo(TI)
19. COMENTÁRIOS FINAIS
• As ações de mitigação dos riscos por parte do governo e
concessionárias são pulverizadas
• As questões de cibersegurança nas concessionárias devem ser
tratadas de forma estratégica e unificada
• Necessidade da concepção de um programa abrangente envolvendo os
diferentes atores: governo, concessionárias, órgãos de padronização e
fornecedores
• Modelo a ser desenvolvido deve contemplar as novas tecnologias e os
novos modelos de negócio