O que o setor elétrico pode aprender sobre segurança com o apagão brasileiro?

No mês de agosto, um apagão de grandes proporções deixou a maioria dos estados brasileiros sem energia elétrica por alguns minutos. As investigações seguem em andamento, mas a hipótese melhor aceita até o momento é de que o que ocorreu foi uma sobrecarga no fornecimento do Ceará, que atingiu as demais regiões do País. Ainda que por um curto período, houve repercussões negativas – o setor do varejo, por exemplo, registrou uma queda de quase 5%. Além disso, à medida que a luz demorava para voltar, cresceu o alerta para lugares como hospitais e frigoríficos, onde a energia elétrica é imprescindível.

Vermos um País inteiro ficando sem energia e precisando interromper boa parte de suas atividades por um erro, ao que tudo indica, relativamente bobo, deixa ainda mais notória a necessidade urgente de implementar soluções efetivas de segurança cibernética. Vale pensarmos: e se fosse um ataque orquestrado, feito para durar muito mais do que apenas alguns minutos?

O movimento de digitalização de todos os ramos de negócios traz inúmeros benefícios, mas infelizmente também cria um cenário perfeito para o aumento de ataques. E as infraestruturas críticas, como cidades ou órgãos governamentais, apresentam-se como alvos dos mais atrativos: aqui, paralisar as atividades simplesmente não é uma opção, e isso faz com que os valores de resgate dos dados sejam milionários.

Os criminosos estão cientes disso. Isso nos ajuda a explicar um dado da Kaspersky que aponta para um crescimento de 41% no número de ataques cibernéticos contra empresas de energia na América Latina. Alvos não faltam – grandes empresas, indústrias, ou mesmo estados-nações – e nem motivações – roubo de dados, espionagem, política. O conflito ainda persistente entre Rússia e Ucrânia está aí para nos lembrar de como os ataques cibernéticos se tornaram valiosos membros dos arsenais de guerra.

É importante dizer que medidas estão sendo tomadas. Desde o início de 2023, empresas brasileiras têm passado por regulações impostas pelo Operador Nacional do Sistema Elétrico (ONS) para a prevenção de ataques hacker. Mas ainda é preciso fazer muito mais. Especialmente em setores de alta criticidade, nos quais o interrompimento de atividades afeta profundamente a vida das pessoas, a segurança cibernética precisa ser vista como um investimento, e não um custo.

Sistemas de gerenciamento de identidade e acesso são um dos caminhos. Por meio deles, o controle de quem pode acessar os dados (e quais dos dados) é simplificado, ao mesmo tempo em que mantém os criminosos afastados. Também é necessário pensar na resposta para a pergunta “e se acontecer comigo?”, com planos de resposta e gerenciamento de crise bem definidos e implementados.

E, claro, precisamos olhar para o fator humano, que como bem sabemos, segue sendo problemático. Um relatório publicado pela X-Force Threat Intelligence mostra que ataques de phishing e ransomwares são dois dos principais vetores que originam ataques cibernéticos no setor de energia. Campanhas de conscientização e treinamento precisam ser constantes. Imaginar que uma cidade inteira possa ficar sem energia porque uma pessoa desavisada clicou onde não deveria parece difícil de acreditar, mas é possível, e precisamos estar preparados.

Mais do que qualquer outra coisa, o último apagão brasileiro serve como uma lição – setores críticos da nossa sociedade estão na mira de cibercriminosos, e um ataque bem executado pode ser catastrófico. O episódio tratou-se de uma raríssima oportunidade em que pudemos ver o tamanho do potencial estrago sem que ele de fato acontecesse, então não há motivos para não começarmos o trabalho de prevenção já.