Os ataques cibernéticos às empresas de energia eléctrica estão aumentando. De 2020 a 2022, os ataques semanais mais que duplicaram. Um ataque que explora uma vulnerabilidade em dispositivos eletrônicos inteligentes (IEDs), como unidades de distribuição de energia, relés e disjuntores, pode desligar as luzes de um bairro ou de uma cidade inteira. “Superficialmente, parece bastante simples remediar vulnerabilidades assim que elas são relatadas – por exemplo, atualizando o firmware. O fato é que detectar e remediar vulnerabilidades na tecnologia operacional (TO) representa um desafio enorme para as concessionárias”, disse Fabien Maisl, gerente sênior de Marketing de Segurança de IoT da Cisco, em um artigo no blog da companhia em que conta um case envolvendo a concessionária brasileira CPFL Energia.
Segundo contou, a CPFL queria reforçar a postura de segurança nas suas mais de 600 subestações de distribuição, onde a eletricidade de alta tensão é transformada em tensão mais baixa para distribuição a residências e empresas. “O obstáculo? Você não pode proteger o que não pode ver, e a equipe de operações da CPFL não sabia exatamente quais IEDs foram implantados nas subestações. Apenas colocar os pés em uma subestação no Brasil exige um longo processo de aprovação, por isso algumas subestações não eram visitadas há meses. A visibilidade da TO tornou-se urgente em 2021, quando o operador nacional da rede ONS exigiu que as empresas de serviços públicos conduzissem uma avaliação da vulnerabilidade da segurança cibernética”, comentou Maisl.
A equipe de operações da concessionária sabia que não tinha conhecimento em segurança cibernética para avaliar e mitigar riscos. A equipe de TI tinha o conhecimento de segurança cibernética, mas não entendia os detalhes das operações da subestação, como quais protocolos industriais poderiam ser bloqueados para reduzir a superfície de ataque. Assim, operações e TI decidiram se unir, reunindo seus pontos fortes. A equipe de TI viu o projeto de segurança de TO como uma oportunidade para atingir outro objetivo de longa data: atualizar os switches antigos nas subestações para aproveitar avanços como energia sobre Ethernet (PoE) e automação de gerenciamento.
“A CPFL alcançou ambos os objetivos – avaliação de vulnerabilidades e modernização da rede – com uma solução: os switches industriais da Cisco. Incluído nos switches está o Cisco Cyber Vision, um software que identifica automaticamente todos os ativos industriais e de TI conectados à rede, incluindo características detalhadas e atividades de comunicação. A solução dois em um é muito mais simples e menos dispendiosa do que outras alternativas da CPFL: comprar um aparelho de visibilidade separado para cada subestação ou então replicar o tráfego de rede para um centro de controle com um aparelho de visibilidade centralizado. Os switches industriais da Cisco atendem aos rigorosos requisitos das concessionárias, incluindo a capacidade de suportar ambientes agressivos, certificação IEC 61850 para operar em ambientes de alta tensão e suporte para protocolos industriais como DNP3 e Modbus TCP/IP”, explicou Maisl.
20 infecções por malware descobertas
Hoje, todas as subestações de transmissão e distribuição foram atualizadas para switches Cisco Catalyst IE3400 Rugged Series com Cyber Vision integrado. Com uma rápida olhada no console do Cyber Vision, a equipe de operações da CPFL pode visualizar um inventário detalhado de todos os IEDs e estações de trabalho conectados, incluindo suas vulnerabilidades de software.
“Imediatamente a Cyber Vision identificou mais de 20 casos de malware na rede OT, bem como muitas atividades e protocolos de comunicação desnecessários que poderíamos encerrar para reduzir a superfície de ataque”, disse Emerson Cardoso, diretor de Segurança da Informação da CPFL. “Agora temos visibilidade da nossa rede crítica, o primeiro passo para mitigar vulnerabilidades e melhorar a nossa postura de segurança”, observou.
Os analistas de segurança da CPFL agora recebem alertas em tempo real sobre eventos críticos porque a CPFL integrou o Cyber Vision ao seu sistema de gerenciamento de informações e eventos de segurança (SIEM). Para evitar a fadiga dos alertas e garantir que os eventos críticos sejam resolvidos rapidamente, as equipes de TI e TO trabalharam juntas para definir 20 tipos de eventos de segurança que geram alertas. “A Cyber Vision nos ajudou a superar o desafio de integrar a TO ao nosso centro de operações de segurança (SOC)”, explicou Cardoso. “Nossos analistas de segurança agora têm visibilidade tanto de TI quanto de TO para agir de acordo com os alertas, gerenciar riscos e aplicar políticas de segurança em nossas redes”, completou.
Ao implementar os novos switches industriais da Cisco, a CPFL também implementou o Cisco Secure Firewalls para filtrar o tráfego de rede industrial entre subestações e centros de controle. Isso deu à TI a capacidade de conter atividades maliciosas e evitar que ameaças se espalhassem por toda a infraestrutura caso ocorresse uma violação.
Serviço
www.cisco.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo