Os ataques cibernéticos dirigidos às concessionárias de energia elétrica têm se intensificado, com um aumento alarmante de ocorrências semanais entre 2020 e 2022, mais que dobrando nesse período. Os hackers têm explorado uma vulnerabilidade em dispositivos eletrônicos inteligentes (IEDs), tais como unidades de distribuição de energia, relés e disjuntores. Lidar prontamente com essas fragilidades é uma tarefa complexa, porém crucial, para as concessionárias.
A CPFL Energia, uma das principais concessionárias do Brasil com 10,3 milhões de clientes, empenhou-se em reforçar a segurança em suas mais de 600 subestações de distribuição, onde a eletricidade de alta tensão é transformada para distribuição em residências e empresas. Para enfrentar esse desafio, a CPFL contou com o suporte das soluções da Cisco para integrar suas operações e obter uma maior eficiência na identificação e combate de ameaças.
Reforço da proteção cibernética
Um dos principais obstáculos enfrentados pela empresa era a falta de visibilidade em suas subestações, o que dificultava a identificação dos IEDs implantados. O acesso a uma subestação exigia um longo processo de aprovação, tornando algumas delas inacessíveis por meses. A necessidade de visibilidade da Tecnologia Operacional (TO) tornou-se evidente em 2021, quando o Operador Nacional do Sistema Elétrico (ONS) demandou que as concessionárias realizassem uma avaliação da vulnerabilidade da segurança cibernética.
Consciente da lacuna de conhecimento em segurança cibernética, a equipe de operações da concessionária trabalhou em colaboração com a equipe de TI. Esta última viu o projeto de segurança de TO como uma oportunidade para alcançar outro objetivo de longa data: a modernização dos switches antigos nas subestações para aproveitar avanços como Power Over Ethernet (PoE) e automação de gerenciamento.
Visibilidade e troca de TO: implementação de switches industriais Cisco
A CPFL atingiu ambos os objetivos – avaliação de vulnerabilidades e modernização da rede – com uma solução única: os switches industriais da Cisco. Esses switches vêm equipados com o Cisco Cyber Vision, um software que identifica automaticamente todos os ativos industriais e de TI conectados à rede, incluindo características detalhadas e atividades de comunicação. Eles atendem aos rigorosos requisitos das concessionárias, incluindo a capacidade de suportar ambientes agressivos, certificação IEC 61850 para operar em ambientes de alta tensão e suporte para protocolos industriais como DNP3 e Modbus TCP/IP.
Com a implementação bem-sucedida dos switches da série Cisco Catalyst IE3400 Rugged, integrados com o Cyber Vision, a CPFL alcançou uma visão detalhada de todos os IEDs e estações de trabalho conectados.
“Imediatamente, o Cyber Vision identificou mais de 20 casos de malware na rede de TO, bem como muitas atividades e protocolos de comunicação desnecessários que poderíamos encerrar para reduzir a superfície de ataque. Agora temos visibilidade da nossa rede crítica, o primeiro passo para mitigar vulnerabilidades e melhorar a nossa postura de segurança”, destaca Emerson Cardoso, diretor de segurança da informação da CPFL.
Alertas em tempo real: priorizando o que é crucial
Os analistas de segurança da CPFL agora recebem alertas em tempo real sobre eventos críticos, graças à integração do Cyber Vision ao seu sistema de gerenciamento de informações e eventos de segurança (SIEM). Para evitar a sobrecarga de alarmes, as equipes de TI e TO colaboraram para definir 20 tipos de eventos de segurança que geram alertas. O Cisco Cyber Vision facilitou a integração da Tecnologia Operacional ao Centro de Operações de Segurança (SOC), permitindo aos analistas ter visibilidade tanto de TI quanto de TO.
Além da atualização dos switches industriais, a CPFL também implementou firewalls Cisco Secure para filtrar o tráfego de rede industrial entre subestações e centros de controle. Essa medida previne a disseminação de ameaças por toda infraestrutura em caso de violação e confere à TI a capacidade de conter atividades mal-intencionadas.
“Ao implantar a solução de segurança da Cisco, a CPFL conseguiu ter maior visibilidade de toda sua infraestrutura conectada, além da modernização e proteção da rede e de seus ativos digitais. Sua operação fica mais segura, com gerenciamento de risco e aderência de cibersegurança em todos os dispositivos”, afirma Fernando Zamai, líder de Cibersegurança da Cisco Brasil. “Nossa solução contribuiu para a implementação de uma plataforma de segurança integrada na CPFL, fundamental para garantir a entrega do serviço sem interrupções”.
