SEGURANÇA CIBERNÉTICA EM PROJETOS DE ENGENHARIA DE ENERGIA

Existem regras para as atividades de coordenação e controle da operação da geração e transmissão de energia e dentre essas regras, controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético (ARCiber). Há também diretrizes e políticas de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica.

Focados nessas regras e diretrizes de segurança cibernética industrial, atuamos na fase inicial de um projeto executivo desde a análise de uma arquitetura e documentos que devam atender aos requisitos normativos, até após a finalização de comissionamento, treinamentos e entrega à O&M do empreendimento, contando com uma equipe de Tecnologia da Automação, alinhada aos profissionais de Tecnologia da Informação.

Na fase de projeto executivo da área de energia, seja ele para uma UFV – Fotovoltaica, EOL - Eólica, PCH/UHE - Hidráulica, UTE – Térmica, diversas entregas devem ser feitas ao cliente ou orientadas à ele para registro e conhecimento dos estudos e análises, realizados neste tempo, para monitoramento, controle e validação do ambiente industrial de tecnologia de automação e informação proposto nestes projetos com o propósito na eficiência e eficácia da segurança cibernética sob o que orienta as regras no ARCiber.


Apresentamos aqui alguns destes procedimentos e suas entregas, os quais devem ser aplicados na fase de projeto executivo observando o melhor momento para aplicação do que exige os planos e regras para segurança cibernética.

ANÁLISE DE VULNERABILIDADE E AMEAÇAS: É o processo para identificação de possíveis brechas que potencializam falhas ou ameaças à segurança do sistema industrial, bem como identificação dos ativos a serem protegidos e dos riscos aos quais estariam sujeitos. Dentre as atividades de análise de vulnerabilidade também devem constar política para gestão e aplicação de pacotes de correção de segurança. Esta atividade tem uma relação direta com o inventariado pois se orienta por ele para aplicação das correções de segurança previstas no cronograma. Nesta fase de projeto, um estudo do ambiente industrial de tecnologia de TA/TI é realizado e a ferramenta de análise SWOT (Strengths-Forças, Weaknesses-Fraquezas, Opportunities-Oportunidades, Threats-Ameaças), bem conhecida, também é aplicada.

HAZOP DE CIBERSEGURANÇA E RISCOS A INCIDENTES: Com o mesmo objetivo da Análise de Vulnerabilidade e Ameaças, sendo outro caminho para a identificação dos riscos que possam comprometer a segurança industrial cibernética, a metodologia HAZOP (Hazard and Operability Study – Estudo de Perigos e Operabilidade) pode ser aplicada na fase do projeto executivo ao final do mesmo tendo como entrega este estudo de HAZOP e um plano de resposta aos incidentes. Esta metodologia é compatível com o que é solicitado para análise de riscos na norma ANSI/ISA-IEC62443 – Segurança para Medição e Controle de Processos Industriais – Segurança da Rede e do Sistema.

Apresentamos aqui alguns destes procedimentos e suas entregas, os quais devem ser aplicados na fase de projeto executivo observando o melhor momento para aplicação do que exige os planos e regras para segurança cibernética.

ANÁLISE DE VULNERABILIDADE E AMEAÇAS: É o processo para identificação de possíveis brechas que potencializam falhas ou ameaças à segurança do sistema industrial, bem como identificação dos ativos a serem protegidos e dos riscos aos quais estariam sujeitos. Dentre as atividades de análise de vulnerabilidade também devem constar política para gestão e aplicação de pacotes de correção de segurança. Esta atividade tem uma relação direta com o inventariado pois se orienta por ele para aplicação das correções de segurança previstas no cronograma. Nesta fase de projeto, um estudo do ambiente industrial de tecnologia de TA/TI é realizado e a ferramenta de análise SWOT (Strengths-Forças, Weaknesses-Fraquezas, Opportunities-Oportunidades, Threats-Ameaças), bem conhecida, também é aplicada.

HAZOP DE CIBERSEGURANÇA E RISCOS A INCIDENTES: Com o mesmo objetivo da Análise de Vulnerabilidade e Ameaças, sendo outro caminho para a identificação dos riscos que possam comprometer a segurança industrial cibernética, a metodologia HAZOP (Hazard and Operability Study – Estudo de Perigos e Operabilidade) pode ser aplicada na fase do projeto executivo ao final do mesmo tendo como entrega este estudo de HAZOP e um plano de resposta aos incidentes. Esta metodologia é compatível com o que é solicitado para análise de riscos na norma ANSI/ISA-IEC62443 – Segurança para Medição e Controle de Processos Industriais – Segurança da Rede e do Sistema.

SIMULAÇÃO DE CENÁRIOS: São solicitadas nas normas a simulação de cenários para identificação de possíveis ameaças e levantamento das respostas aos incidentes. São identificados os riscos, classificados, especificadas estratégias de tratamento dos mesmos, o que soma ao plano de resposta a incidentes cibernéticos daquele projeto. Esta é uma ferramenta que associada à análise de vulnerabilidades e ameaças e ao HAZOP contribui significativamente com segurança cibernética industrial no setor de energia.

Essas são apenas algumas ferramentas destacadas entre várias possibilidades existentes para o monitoramento e controle da segurança cibernética no ambiente industrial de energia. Os serviços não se limitam à essas entregas e um leque de atividades é encontrado neste setor e as próprias regulamentações exigem muito mais, o que podemos apresentar em outros momentos.


SNEF BRASIL possui uma engenharia preparada para atender as demandas dos nossos clientes, com experiência e expertise adquirida em mais de 40 anos de atividades e projetos de geração de energia que somam mais de 2 GW, distribuídos entre hidroelétricas, pequenas centrais hidroelétricas, termelétrica, parques fotovoltaicos.