Solução da Cisco reforça a segurança na rede elétrica da CPFL Energia

Os ataques cibernéticos às empresas de energia eléctrica estão aumentando. De 2020 a 2022, os ataques semanais mais que duplicaram. Um ataque que explora uma vulnerabilidade em dispositivos eletrônicos inteligentes (IEDs), como unidades de distribuição de energia, relés e disjuntores, pode desligar as luzes de um bairro ou de uma cidade inteira. “Superficialmente, parece bastante simples remediar vulnerabilidades assim que elas são relatadas – por exemplo, atualizando o firmware. O fato é que detectar e remediar vulnerabilidades na tecnologia operacional (TO) representa um desafio enorme para as concessionárias”, disse Fabien Maisl, gerente sênior de Marketing de Segurança de IoT da Cisco, em um artigo no blog da companhia em que conta um case envolvendo a concessionária brasileira CPFL Energia.

Segundo contou, a CPFL queria reforçar a postura de segurança nas suas mais de 600 subestações de distribuição, onde a eletricidade de alta tensão é transformada em tensão mais baixa para distribuição a residências e empresas. “O obstáculo? Você não pode proteger o que não pode ver, e a equipe de operações da CPFL não sabia exatamente quais IEDs foram implantados nas subestações. Apenas colocar os pés em uma subestação no Brasil exige um longo processo de aprovação, por isso algumas subestações não eram visitadas há meses. A visibilidade da TO tornou-se urgente em 2021, quando o operador nacional da rede ONS exigiu que as empresas de serviços públicos conduzissem uma avaliação da vulnerabilidade da segurança cibernética”, comentou Maisl.

A equipe de operações da concessionária sabia que não tinha conhecimento em segurança cibernética para avaliar e mitigar riscos. A equipe de TI tinha o conhecimento de segurança cibernética, mas não entendia os detalhes das operações da subestação, como quais protocolos industriais poderiam ser bloqueados para reduzir a superfície de ataque. Assim, operações e TI decidiram se unir, reunindo seus pontos fortes. A equipe de TI viu o projeto de segurança de TO como uma oportunidade para atingir outro objetivo de longa data: atualizar os switches antigos nas subestações para aproveitar avanços como energia sobre Ethernet (PoE) e automação de gerenciamento.

“A CPFL alcançou ambos os objetivos – avaliação de vulnerabilidades e modernização da rede – com uma solução: os switches industriais da Cisco. Incluído nos switches está o Cisco Cyber ​​Vision, um software que identifica automaticamente todos os ativos industriais e de TI conectados à rede, incluindo características detalhadas e atividades de comunicação. A solução dois em um é muito mais simples e menos dispendiosa do que outras alternativas da CPFL: comprar um aparelho de visibilidade separado para cada subestação ou então replicar o tráfego de rede para um centro de controle com um aparelho de visibilidade centralizado. Os switches industriais da Cisco atendem aos rigorosos requisitos das concessionárias, incluindo a capacidade de suportar ambientes agressivos, certificação IEC 61850 para operar em ambientes de alta tensão e suporte para protocolos industriais como DNP3 e ​​Modbus TCP/IP”, explicou Maisl.

20 infecções por malware descobertas

Hoje, todas as subestações de transmissão e distribuição foram atualizadas para switches Cisco Catalyst IE3400 Rugged Series com Cyber ​​Vision integrado. Com uma rápida olhada no console do Cyber ​​Vision, a equipe de operações da CPFL pode visualizar um inventário detalhado de todos os IEDs e estações de trabalho conectados, incluindo suas vulnerabilidades de software.

“Imediatamente a Cyber ​​Vision identificou mais de 20 casos de malware na rede OT, bem como muitas atividades e protocolos de comunicação desnecessários que poderíamos encerrar para reduzir a superfície de ataque”, disse Emerson Cardoso, diretor de Segurança da Informação da CPFL. “Agora temos visibilidade da nossa rede crítica, o primeiro passo para mitigar vulnerabilidades e melhorar a nossa postura de segurança”, observou.

Os analistas de segurança da CPFL agora recebem alertas em tempo real sobre eventos críticos porque a CPFL integrou o Cyber ​​Vision ao seu sistema de gerenciamento de informações e eventos de segurança (SIEM). Para evitar a fadiga dos alertas e garantir que os eventos críticos sejam resolvidos rapidamente, as equipes de TI e TO trabalharam juntas para definir 20 tipos de eventos de segurança que geram alertas. “A Cyber ​​Vision nos ajudou a superar o desafio de integrar a TO ao nosso centro de operações de segurança (SOC)”, explicou Cardoso. “Nossos analistas de segurança agora têm visibilidade tanto de TI quanto de TO para agir de acordo com os alertas, gerenciar riscos e aplicar políticas de segurança em nossas redes”, completou.

Ao implementar os novos switches industriais da Cisco, a CPFL também implementou o Cisco Secure Firewalls para filtrar o tráfego de rede industrial entre subestações e centros de controle. Isso deu à TI a capacidade de conter atividades maliciosas e evitar que ameaças se espalhassem por toda a infraestrutura caso ocorresse uma violação.

Serviço
www.cisco.com