Especialistas do Instituto Brasileiro de Defesa do Consumidor recomendam à Aneel a adoção de um modelo regulatório para a segurança cibernética do sistema elétrico brasileiro que estabeleça parâmetros, regras e princípios norteadores das atividades empresariais, mas incentive a adoção de mecanismos de autorregulação, como acordos de boas práticas e orientações.
Eles também alertam para a necessidade de considerar os riscos à segurança da informação em todas as etapas da cadeia produtiva de energia elétrica, mas especialmente na implantação das redes elétricas inteligentes.
“Estabelecer um panorama institucional e regulatório é parte essencial do desenvolvimento desses sistemas, de maneira que sirvam à distribuição mais eficiente de energia elétrica sem, com isso, incorrerem em demasiados riscos aos consumidores”, destacam a advogada e pesquisadora do Programa de Telecomunicações e Direitos Digitais do Idec, Bárbara Prado Simão, o coordenador do Programa de Energia, Clauber Leite, e o coordenador do Programa de Telecomunicações e Direitos Digitais, Diogo Moyses Rodrigues.
Os três são autores de documento com as contribuições do instituto ao processo de tomada de subsídios aberto pela Aneel para avaliar a necessidade de intervenção regulatória para a segurança cibernética. A agência recebeu contribuições entre 25 de maio e 24 de julho.
Na avaliação do Idec, a iniciativa da Aneel é fundamental para a elaboração de um regulamento que contemple os interesses dos consumidores e esteja alinhado com órgãos reguladores com processos semelhantes, como a Anatel e o Banco Central. A regulação estatal deve vir acompanhada de esforços empresariais para a revisão constante dos parâmetros de segurança.
Dessa forma, recomenda o documento, a Aneel “pode ter uma postura tanto prescritiva como orientativa” e adotar uma regulação que trate a privacidade desde a concepção de qualquer produto ou serviço que interfira em fluxo de informações sobre cidadãos. Os padrões de segurança valem tanto para a informação armazenada como para a informação em fluxo.
Outro ponto destacado é a necessidade de considerar todo o setor elétrico como infraestrutura crítica. “Por se tratar de uma rede única, toda a infraestrutura do setor elétrico deve ser considerada como crítica, não há como deixar de considerar algum setor. Portanto os segmentos de geração, transmissão, distribuição e comercialização são igualmente críticos”, afirma o documento.
Ele lembra que há riscos tanto de desastres naturais e de incidentes causados por falha humana, quanto de ataques coordenados com a intenção de corromper a infraestrutura ou o conjunto de informações sobre usuários do serviço. As soluções regulatórias devem então ser pensadas de forma integrada com outras instituições, visando à proteção de dados do consumidor.
Na nota técnica em que apresenta o tema para discussão, a Aneel lembra que as principais referências para segurança cibernética para o setor elétrico no mundo são padrões adotados nos Estados Unidos e seguidos por Canadá e Austrália. Na Europa e na Nova Zelândia há também regulamentações baseadas nos padrões americanos.
