Por entender seu papel central na operação do Sistema Interligado Nacional – SIN, o ONS assumiu o desafio de conduzir uma iniciativa que tem como objetivo propor critérios e requisitos mínimos de segurança cibernética para a operação do SIN. Por isso, o Operador submeteu à Aneel uma proposta de Procedimento de Rede, elaborada de forma colaborativa com os agentes, para tratar do tema.
A ação foi motivada a partir da percepção de que existiam diferentes níveis de segurança nas empresas do setor elétrico brasileiro e da necessidade de atualizar a regulação sobre o tema de forma a orientar melhor os agentes. Atualmente, há um único item nos Procedimentos de Rede que trata do assunto, porém de forma abrangente e pouco eficaz.
A proposição do ONS busca estabelecer os controles de segurança cibernética a serem implementados nos centros de operação dos agentes, nos equipamentos de infraestrutura de troca de dados entre ONS e agentes, além das salas de controle do próprio Operador.
“Esse projeto pretender trazer a segurança de toda a operação para um patamar superior, além de conferir maturidade ao sistema. Mas é papel de cada agente fazer sua própria avaliação de risco e identificar as medidas de segurança adequadas à sua operação”, comenta Geraldo Fonseca, especialista de Segurança da Informação do ONS.
O texto sugerido contempla itens, como a arquitetura tecnológica para o ambiente; governança de segurança da informação; inventários de ativos; gestão de vulnerabilidades; gestão de acessos; e monitoramento e respostas a incidentes.
A sugestão é que o Procedimento de Rede de Segurança Cibernética, e seu conjunto de requisitos e critérios, seja adotado pelos Agentes e pelo ONS em três ondas consecutivas de implementação: 18, 27 e 36 meses após o início de vigência do documento.
Os próximos passos do projeto serão coordenados pela ANEEL, de acordo com sua agenda regulatória, que inclui a abertura de Consulta Pública para avaliação e envio de contribuições ao texto proposto pelo ONS.