Em abril de 2022, poucos meses após o início do ataque russo à Ucrânia, três empresas de energia eólica na Alemanha foram atingidas por cibercriminosos. Os ataques desativaram milhares de turbinas eólicas controladas digitalmente.
Estima-se que, até 2050, os sistemas energéticos mundiais dependerão de 70% de energia renovável, principalmente proveniente de fontes solares, eólicas, das marés, pluviais e geotérmicas. Estas fontes de energia são tipicamente descentralizadas, geograficamente remotas e relativamente pequenas. Muitas vezes são geridos e operados utilizando tecnologias digitais insuficientemente seguras que estão diretamente ligadas à infraestrutura envelhecida da rede elétrica nacional. Uma situação que abre portas para ataques cibernéticos.
Do risco à resiliência
Para implementar uma resiliência cibernética robusta em sistemas digitais de energias renováveis, é primeiro necessário compreender as áreas de risco. Os 10 mais importantes são os seguintes:
1. Vulnerabilidades de código e configurações incorretas em software embarcado. A procura de energia renovável significa que as tecnologias e aplicações que a suportam são muitas vezes desenvolvidas e implementadas rapidamente, deixando pouco tempo para incorporar controlos ou testes de segurança. Os fornecedores e seus desenvolvedores são especialistas em engenharia elétrica e podem não ter o conhecimento de segurança adequado para fazê-lo. O risco aumenta se o software não for corrigido e atualizado regularmente após relatórios de bugs.
2. APIs não seguras. Outro risco relacionado ao software é que os aplicativos baseados em API podem se comunicar e compartilhar dados e funcionalidades com outros aplicativos, incluindo aplicativos de terceiros. Eles são uma característica comum de sistemas em rede ou acessíveis ao público. A segurança de aplicativos Web e os firewalls são essenciais para evitar que invasores usem APIs para roubar dados, infectar dispositivos e criar botnets.
3. Sistemas de gestão, controlo, reporte e análise. Softwares de gerenciamento e controle como sistemas SCADA (Supervisory Control and Data Acquisition) e outros sistemas que importam, analisam e visualizam dados de fontes de energia são os principais alvos de ataques cibernéticos porque permitem que criminosos acessem todo o sistema, manipulem dados, possibilitem o envio de instruções e mais. Os sistemas que integram dados de fontes de terceiros, como torres meteorológicas, oferecem outra oportunidade de compromisso. Medidas de autenticação robustas, pelo menos a vários níveis, mas idealmente baseadas em confiança zero, juntamente com direitos de acesso limitados, são cruciais para garantir que apenas aqueles que têm autorização possam aceder ao sistema.
4. Automação. Os sistemas de energias renováveis distribuídos e descentralizados, especialmente em grande escala, requerem monitorização e gestão XNUMX horas por dia, XNUMX dias por semana, o que é cada vez mais feito de forma automática. O risco é que estes sistemas não sejam monitorizados com cuidado suficiente para detectar tráfego anómalo ou suspeito que possa indicar a presença de um intruso. Soluções de segurança que oferecem detecção e resposta avançadas, bem como recursos especializados de segurança de IoT podem ajudar aqui.
5. Serviços de acesso remoto. As fontes de energia renováveis estão amplamente dispersas e muitas vezes localizadas em locais isolados. Isso significa que eles precisam de alguma forma de acesso remoto para compartilhar dados e receber instruções e relatórios, por exemplo, por meio de serviços em nuvem ou VPNs. Os serviços de acesso remoto são notoriamente vulneráveis a ataques cibernéticos e medidas robustas de autenticação e acesso são essenciais.
6. Localização Física. Outro risco geográfico é que a localização pode retardar os tempos de resposta e recuperação após um incidente. A logística de viagem de e para um parque eólico offshore, por exemplo, para reparar ou recriar imagens de sensores, pode ser complexa, demorada e cara. As pessoas que viajam para locais remotos normalmente não são profissionais de TI, portanto, é essencial uma solução de segurança que seja fácil de instalar e substituir por um profissional que não seja de segurança. Um eletricista deve ser capaz de substituir um aparelho quebrado no domingo à noite.
7. Tráfego de rede. Todos os dados que passam pela rede devem ser monitorados e criptografados. Em sistemas de energia conectados, o tráfego de dados entre um dispositivo e a aplicação central geralmente não é criptografado e é vulnerável a adulterações. Os invasores podem interceptar dados em repouso e em movimento. Ou os ataques DoS sobrecarregam os sistemas de tráfego.
8. Conexão com a Internet. As centrais eléctricas tradicionais, como as centrais eléctricas alimentadas a gás, normalmente não estão ligadas à Internet e possuem a chamada infra-estrutura “air-gap”, o que reduz o risco de um ataque cibernético. No entanto, como as fontes de energia renováveis estão ligadas à Internet, geralmente não têm esta proteção. Todos os sistemas conectados à Internet devem ser protegidos.
9. Infraestrutura de rede elétrica desatualizada. Na maioria dos países, uma parte significativa da rede elétrica estará desatualizada e, portanto, incapaz de receber atualizações de segurança. A melhor maneira de proteger esses sistemas é envolvê-los em fortes medidas de autenticação e acesso.
10. Falta de regulamentação e coordenação de segurança. Para uma segurança a longo prazo, as leis e regulamentos – como o NIS 2.0 na Europa – devem garantir a existência de normas rigorosas para as instalações de energias renováveis, por mais pequenas que sejam. Além disso, a tecnologia das energias renováveis está a evoluir rapidamente e as cadeias de abastecimento são complexas – o que pode gerar confusão sobre quem é responsável pela segurança. O modelo de “responsabilidade compartilhada” que se aplica aos provedores de nuvem também poderia ajudar aqui.
Segurança sustentável
De certa forma, os sistemas de energia renovável não são muito diferentes de outros sistemas IoT. Os invasores podem procurar e atacar componentes vulneráveis, software não corrigido, configurações padrão inseguras e conexões desprotegidas. Uma indústria de energia renovável sustentável e conectada deve ser construída com segurança e resiliência cibernética desde o início - e depois mantida continuamente, passo a passo.
Proteger um ambiente complexo não precisa ser complicado. Vale a pena considerar o SASE (Secure Access Service Edge), uma solução integrada que conecta pessoas, dispositivos e coisas com segurança às suas aplicações, não importa onde estejam. Adicione a isso a segmentação de rede e o treinamento de usuários e as organizações terão uma base sólida de resiliência cibernética não apenas para prevenir um ataque, mas também para mitigar o impacto caso ele ocorra.
Comentário de Stefan Schachinger, gerente sênior de produtos, segurança de rede da Barracuda Networks
Sobre a Barracuda Networks A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.
Artigos relacionados ao tema