Norma regulamenta política de cibersegurança de empresas do setor

Resolução da Aneel traz diretrizes gerais e conteúdo mínimo para ações de prevenção e resposta rápida a ataques virtuais

Após dois anos de discussão, a Agência Nacional de Energia Elétrica aprovou a regulamentação sobre a política de segurança cibernética a ser adotada pelos agentes do setor. A resolução traz as diretrizes gerais e o conteúdo mínimo para as políticas das empresas, baseados nas experiências e nas boas práticas do setor, que tem sido alvo cada vez mais frequente de ataques virtuais.

De acordo com a Aneel, grande parte das companhias do setor elétrico já cumpre as disposições da norma, que busca reduzir o risco da ocorrência de incidentes envolvendo sistemas e infraestruturas críticas.

A norma considera a necessidade de implementação de políticas de segurança compatíveis com o porte da empresa e a obrigatoriedade de comunicação pelas companhias de situações de crise em segurança cibernética, assim como de compartilhamento entre os agentes e o órgão regulador de ocorrências relevantes.

Também trata de procedimentos relacionados à gestão da segurança, como, por exemplo, a segmentação de redes de operação da rede de TI e da Internet, ações de resposta rápida para contenção de incidentes, avaliação e tratamento de riscos.

As empresas são responsáveis pela segurança das instalações, a continuidade da prestação do serviço e também pelo ônus pela adaptação de seus sistemas. Os gastos necessários para implantação dessas medidas poderão ser avaliados pela Aneel, para um eventual reconhecimento de custos nas tarifas.

O diretor Sandoval Feitosa, que relatou o processo na agência, destacou que o momento atual é “mais que propício”, pois em um período de 12 meses os ataques cibernéticos no Brasil causaram prejuízos de US$ 20 bilhões para empresas e organizações. Dados da União Internacional de Telecomunicações citados por ele mostram que o Brasil era o 70º colocado no índice de segurança cibernética, mas o segundo país que mais recebe ataques virtuais no mundo.

Feitosa destacou o episódio dos últimos dias que afetou o sistema ConectSUS, do Ministério da Saúde. No setor elétrico, citou casos de distribuidoras que passaram por ocorrência recentes de ataques virtuais. “Nós estamos cada vez mais aumentando a interconectividade do setor de energia”, alertou o diretor.