Novas Ameaças à Cibersegurança na Geração de Energias Renováveis

Novas ameaças à cibersegurança no cenário da energia renovável global

A indústria das energias renováveis está em ascensão mundialmente, como resultado do aumento da demanda por eletricidade, das metas de descarbonização e das inovações do setor.

Juntos, essa aceleração da energia renovável pelo mundo e a transição para um modelo de rede mais distribuído, com ativos conectados, software e novos participantes, introduzem riscos adicionais de cibersegurança. Todos os envolvidos devem abordar esses riscos proativamente.

Ameaças cibernéticas são desafios emergentes 

As concessionárias de serviços públicos já sofrem ataques regulares, à medida que agentes maliciosos buscam vulnerabilidades em todos os dispositivos e sistemas conectados sob sua gestão. Às vezes, eles são bem-sucedidos. Em 2023, o Fórum Econômico Mundial estimou que mais de 60% das empresas de energia sofreram ao menos um incidente cibernético significativo no ano anterior.

Historicamente, as concessionárias de energia e empresas do setor se concentram mais em preocupações com dados de clientes e ataques físicos à infraestrutura. Por exemplo, a Iberdrola, uma empresa internacional integrada de energia com sede na Espanha, sofreu um ataque cibernético no início de 2024 que comprometeu os dados de 1,3 milhão de clientes. Até recentemente, a segurança cibernética era uma preocupação menos imediata para a rede elétrica tradicional devido à natureza isolada dos sistemas legados, que apresentavam conectividade limitada à internet e automação significativamente menor.

Porém, olhando para o futuro, o setor de energia está entrando em um território cibernético ainda desconhecido.

Por que os riscos cibernéticos estão aumentando agora?

Os riscos à cibersegurança – tanto nacionais quanto estrangeiros – estão aumentando por diversos motivos.

Primeiro e antes de tudo, a superfície de ataque se expandiu com a adição de mais fontes renováveis ​​e ativos de geração de energia distribuída às redes. Por exemplo, os inversores fotovoltaicos (FV), também conhecidos como inversores solares, são componentes que convertem a corrente contínua produzida pelos painéis solares em corrente alternada para a rede. Cada vez mais, os fabricantes estão produzindo inversores “inteligentes” que se conectam e se comunicam com a concessionária e podem ser controlados dinamicamente. Essa automação apresenta novos riscos, e pesquisadores já descobriram vulnerabilidades de cibersegurança nesses tipos de sistemas. No pior cenário, hackers maliciosos poderiam causar apagões generalizados se assumissem o controle de muitos inversores FV.

Em segundo lugar, com a implementação de mais projetos de energias renováveis ​​e sistemas de armazenamento de energia em baterias (BESS), há uma necessidade crescente de softwares para gerenciar ativamente esses ativos. A integração da energia renovável à rede elétrica exige que todos esses componentes e tecnologias interajam e interoperem, o que cria riscos cibernéticos em todo o sistema. Caso criminosos cibernéticos obtenham o controle de um software de gerenciamento de ativos, o risco em nível de sistema da rede elétrica aumenta consideravelmente. Por exemplo, com a entrada em operação de mais veículos elétricos (VEs), o software e a infraestrutura de carregamento conectada à internet necessários para suportá-los também criam novos vetores de ameaça a serem explorados.

Em terceiro lugar, com a expansão das energias renováveis, há mais stakeholders envolvidos na produção e gestão de energia. Foi-se o tempo em que as concessionárias de energia controlavam a maior parte da produção de energia em uma determinada região. De acordo com o Departamento de Energia dos EUA, projetos em escala de concessionária são submetidos a uma análise mais rigorosa:

“… sistemas fotovoltaicos menores e outros [recursos de energia distribuída] atualmente não possuem normas específicas de cibersegurança para seguir e geralmente são conectados à internet por seus proprietários para fins de monitoramento e controle. Isso pode criar vulnerabilidades na rede que podem ser exploradas por hackers…”

Por esse motivo, a UL Solutions e o Laboratório Nacional de Energia Renovável (NREL) colaboraram no desenvolvimento da Norma UL 2941, que aborda a cibersegurança de recursos energéticos distribuídos (DER).

Mitigando riscos cibernéticos

Não há espaço para complacência quando falamos de riscos de cibersegurança na cadeia de valor da energia. Essas novas ameaças exigem uma abordagem proativa. Os líderes do setor em todo o ecossistema de energia renovável precisam tomar medidas decisivas para aprimorar sua preparação cibernética e se antecipar aos riscos de segurança emergentes. Os líderes do setor podem tomar medidas para fortalecer a segurança com práticas essenciais, como:

• Avaliações de risco – Avaliações de risco regulares podem identificar vulnerabilidades, sejam elas específicas de hardware, software ou realizadas no nível de projeto ou sistema. A UL Solutions possui vasta experiência em avaliação de lacunas de cibersegurança e consultoria preventiva para ajudar as organizações a identificar e mitigar riscos com mais eficácia.
• Novos protocolos de segurança e capacidade técnica – Implementar ou atualizar protocolos de segurança, desde criptografia e autenticação multifatorial até patches de segurança, pode ajudar os stakeholders a se manterem à frente das ameaças cibernéticas. O uso de um gêmeo digital pode ajudar a lidar com os riscos de cibersegurança por meio de monitoramento em tempo real, simulação de ataques, análise preditiva e maior consciência situacional. Além disso, a capacidade de isolar dispositivos comprometidos é um exemplo do tipo de capacidade técnica que as partes interessadas podem considerar para o desenvolvimento de protocolos caso ocorram violações.
• Normas e certificações – Participar do processo de certificação para dar suporte à conformidade com as normas de segurança do setor pode ajudar as organizações a desenvolver processos e sistemas robustos e atualizados para aprimorar a segurança cibernética. A certificação sob a UL 2900, a Série de Normas para Cibersegurança de Software para Produtos Conectáveis ​​à Rede, ajuda a estabelecer a devida diligência em segurança cibernética e demonstra que um produto ou sistema está alinhado com os requisitos relevantes.
• Educação contínua – Priorizar o treinamento e a educação em toda a organização pode ajudar as empresas a mitigar os riscos à medida que surjam, seja em uma área específica da organização ou no nível do sistema. A UL Solutions oferece treinamentos, workshops e outras oportunidades educacionais para apoiar as empresas enquanto elas navegam pelo vasto cenário de melhores práticas e padrões de segurança cibernética, avaliam os objetivos e processos de cibersegurança, qualificam os riscos e expandem sua base de conhecimento interna para abordar a segurança cibernética no desenvolvimento de produtos.

À medida que os riscos cibernéticos seguem evoluindo, também surgem novas diretrizes, ferramentas e tecnologias que podem ajudar as organizações a responder e se antecipar às ameaças. Iniciativas de segurança e certificação projetadas para analisar e abordar preocupações de cibersegurança para novos sistemas de energia e avaliá-las incluem:

• IEEE 1547.3:2022: Guia para Cibersegurança de Recursos de Energia Distribuída Interconectados com Sistemas de Energia Elétrica.
• O documento “Linhas de Base de Cibersegurança para Distribuidoras de Energia Elétrica e DER” do Departamento de Energia dos Estados Unidos (DOE).
• Norma UL 2941, o Plano de Investigação para Cibersegurança de Recursos de Energia Distribuída e Baseados em Inversores, desenvolvido especificamente para abordar os riscos de cibersegurança para tecnologias de energia renovável.

Novos riscos, sejam eles focados em cibersegurança ou outros fatores, aumentam a complexidade da fabricação, implantação e manutenção da rede de energia renovável. Para muitos stakeholders, essa complexidade adicional pode ser difícil de gerenciar. Profissionais do setor podem trabalhar com a UL Solutions para avaliar os riscos de cibersegurança e se manterem atualizados sobre o desenvolvimento de novas normas.