Autenticação e criptografia: o mantra da Copel para implantar a IoT com segurança
João Monteiro – 29.11.2021 – Em entrevista, superintendente de TI conta o estágio da digitalização da empresa e qual a estratégia baseada em autenticação e criptografia para garantir uma transformação segura
A transformação da Copel já está a pleno vapor. A empresa, que distribui energia para 4,5 milhões unidades consumidoras no Paraná, começou a acelerar a implementação de medidores inteligentes. Por enquanto, são apenas 120 mil instalados, mas a Copel acredita que chegará a 460 mil até meados de 2022. A intenção é aumentar a eficiência da rede, dando mais informação ao consumidor e também permitindo uma reação mais rápida em caso de falhas no fornecimento de energia.
Para que dê tudo certo, o plano é apoiado por uma rígida estratégia de cibersegurança. Como forma de garantir que nenhum dado privativo caia em mãos erradas, toda a comunicação entre os medidores e à rede da Copel é feita de forma criptografada. Ao mesmo tempo, todo equipamento que se conecta à empresa é autenticado, para garantir sua identidade.
Marcos Camillo, superintendente de TI da Copel, afirma que esse é o mantra da Copel quando o assunto é cibersegurança. Junto com uma segmentação altamente restritiva, onde toda a comunicação entre tecnologia operacional (TO) e a TI é feita com rígidos protocolos de comunicação, ele garante que a empresa trabalha as melhores práticas.
Na entrevista a seguir, Camillo conta mais sobre a estratégia de digitalização da empresa e como a cibersegurança é trabalhada para não travar o negócio de uma companhia que, além de distribuir energia, também conta com parque gerador próprio composto por 30 usinas e um sistema de transmissão formado por mais de 4 mil quilômetros de linhas e 45 subestações automatizadas.
Você pode explicar as principais iniciativas de digitalização da infraestrutura elétrica e também administrativa da Copel?
Marcos Camillo: No setor elétrico como um todo, temos acompanhado um movimento de modernização muito acelerado e isso vai desde as unidades geradoras até a ponta da cadeia, que é o cliente. Toda essa rede está avançando nas questões de digitalização. Temos visto principalmente a expansão de medidores inteligentes, que estão na última camada, mas no geral, as redes de distribuição estão recebendo elementos mais modernos e complexos dentre do contexto da Internet das Coisas. O que temos feito na Copel, seguindo o modelo mundial, é investindo em IoT e digitalização desde o início da cadeia até o fim.
Em que estágio essa transformação se encontra?
Quando você olha o Brasil como um todo, se vê que o País está um passo atrás. Canadá, Estados Unidos, Europa, já estão trocando os medidores inteligentes por outras versões mais modernas. Dentro do cenário nacional, a Copel é pioneira. A primeira cidade do País 100% dotada de medidores inteligentes com comunicação é Ipiranga, na região central do Paraná. E os novos programas da Copel são os mais avançados, como a campanha de implantação de medidores em clientes. São 120 mil já instalados e vão chegar a 460 mil. Com a conclusão de mais duas fases, vão chegar a 1,5 milhão, beneficiando quase 5 milhões de pessoas. A vantagem é que aprendemos muito com as experiências internacionais e colocamos as melhores em prática.
Em que momento – e como – a cibersegurança passou a integrar a digitalização da rede da Copel?
Digitalização e da cibersegurança são indivisíveis. É como uma balança e precisa ser equilibrada. Uma empresa que defende que o negócio é quem manda, certamente está fadada ao fracasso. Todo o nosso setor de faturamento e operação é movido a dados. Se você privilegia o negócio, você morre nas mãos de ciberataques. Já se a cibersegurança é a privilegiada, você trava o negócio, porque o ótimo da cibersegurança é não ter comunicação com nada. O equilíbrio é o mais importante e a melhor saída é nascer com cibersegurança. Os medidores inteligentes, por exemplo, já vêm com questões de criptografia e tecnologias de segurança desde sua origem. O mesmo vale para os equipamentos na cadeia de segurança.
Como é feita a cibersegurança dos medidores inteligentes?
Nossa segurança atua em camadas. Lá no medidor, tem criptografia inclusive na comunicação e com validações da informação. Conforme se avança dentro das camadas de acesso, softwares validam a identidade do equipamento que quer se conectar. Quando entra na infraestrutura interna da Copel ou mesmo nas aplicações em nuvem, se passa por essas camadas também. Sempre com redundância, já que nenhuma camada é infalível, e, agora, incrementando inteligência artificial, como análise de comportamento dos sistemas.
Então para manter os medidores inteligentes seguros, a Copel utiliza uma estratégia de autenticação e criptografia?
Isso. São os dois elementos principais ali no medidor. Então se informação que sai da casa do cliente for capturada por um cibercriminoso, ele não vai conseguir “ler”.
Em entrevista ao InfraDigital, o Maurício, do Gesel, disse que a certificação digital é um dos avanços que precisam ocorrer rapidamente para aumentar a segurança do setor. Você concorda e o que a Copel tem feito a respeito?
As questões envolvendo a segurança dos medidores já foram muito avançadas. Minha visão é de que estamos pegando as melhores práticas e enxergo que os medidores já contam com um nível de segurança adequado. (A certificação) é uma preocupação, mas não colocaria como um alarme elevado.
A nossa reportagem ouviu relatos de uma invasão cibercriminosa à Copel recentemente. Essa questão é real, você pode comentar sobre ela e também detalhar como a questão foi endereçada e resolvida?
Como é um assunto delicado, tivemos toda uma comunicação ao mercado porque de fato nosso sistema foi alvo de um ataque internacional de ransomware. O que fizemos foi uma série de protocolos de segurança para isolar nosso ambiente atacado e recuperá-lo de maneira segura para voltar a operação. Nenhum dado foi perdido ou vazado e todo nosso sistema foi recuperado. Os níveis de segurança após o ataque foram elevados.
O ataque atingiu apenas a área administrativa da Copel?
Isso. Ele atingiu o que chamamos de tecnologia de informação (TI), não a tecnologia operacional (TO), onde estão os medidores inteligentes, por exemplo.
Parece que em todo o cenário elétrico as redes TO e TI se tornam cada vez mais uma só. Como você avalia a questão e como isso tem ocorrido na Copel?
Na Copel, elas são totalmente segmentadas. As melhores práticas também orientam para isso: tenha o maior nível possível de isolamento entre elas. E é assim que a gente se comporta aqui dentro.
Qual o risco da integração entre as duas áreas?
A TO, por natureza, é mais fechada, fora de um ambiente da Internet. Já os riscos maiores se encontram nos dispositivos que têm acesso à Internet, como computadores. Quando você une a TI e a TO, você junta duas pontas de problemas, conectando equipamentos (com particularidades próprias de conexão) em comunicação com as questões de Internet. E aí se perde a segmentação. Hoje, elas já se conversam, mas os protocolos dessa comunicação são extremamente restritivos. Ou seja, só passa o que realmente é necessário para o processamento do negócio.
No futuro, conforme a digitalização avança, você acredita que elas terão que ser integradas?
Acredito que não. Vai sempre haver um duto de comunicação, mas sempre será restritivo.
O Grupo Copel também tem operações de geração e transmissão. Como vocês se encontram na adoção da nova Rotina Operacional do ONS?
Estamos em movimento para entrar totalmente em conformidade com a Rotina Operacional. Temos até o final de 2022 para isso. Nossa visão interna é que vamos conseguir cumprir esse prazo com tranquilidade. A Aneel também está com uma chamada pública para implementar uma regulação, algo muito salutar. Trazer uma regulação de segurança que eleve o nível do setor é algo muito importante.
Que outras tecnologias de IoT estão na rede da Copel, além dos medidores?
Quando a gente fala na nossa rede de distribuição, temos equipamentos de religadores, sensores e chaves de rede. A quantidade de elementos na rede de distribuição tem sido cada vez mais ampla. Toda essa cadeia tem sido melhorada com a IoT e também de outras tecnologias. A Copel tem feito parcerias para explorar o potencial da inteligência artificial.
A segurança deles é no mesmo nível dos medidores?
Tem outras particularidades. Quando a gente fala dos elementos de rede, sim, são os mesmos padrões, até maior em alguns casos (religadores, por exemplo). Mas quando você fala em imagem, entramos em outra seara, como descaracterização de pessoas e até a LGPD (Lei Geral de Proteção de Dados).
Se fosse para estabelecermos um “padrão Copel”, seria a autenticação e criptografia?
Eu diria que sim. Inclusive quando se fala em acesso pessoal. Ter a gestão do acesso é extremamente relevante, questões como múltiplo fator de autenticação, por exemplo. Descaracterização da informação e garantia da identidade são de fato os mantras da nossa área de segurança.
Quais são os resultados dessa digitalização?
São inúmeros. Medição em tempo real, agilidade na religação, identificação mais rápida de falta de energia. Você começa ter informações em tempo real lá da ponta, o que permite trabalhar a eficiência e o equilíbrio energético. Para o consumidor, ele tem mais informações sobre o consumo interno e entender como ele se comporta até em comparação com a média de seus vizinhos.
Qual é o volume de medidores inteligentes da Copel atualmente e como isso tem evoluído?
São 120 mil medidores instalados, com 60 mil conectados à Internet. Essa primeira fase vai concluir com 460 mil pontos instalados, que deve ir até meados do ano que vem. Outras duas fases devem vir na sequência, que completarão 1,6 milhão de pontos conectados e funcionando de forma inteligente até o final de 2025.
Quais são os próximos passos de digitalização da Copel?
Ainda estamos fazendo um planejamento interno. Quando falamos em digitalização, também precisamos trabalhar os processos internos, a questão de aplicação do IoT e do 5G. À medida que a conexão chega nas cidades, a expectativa é de um salto no uso de IoT nas nossas redes e de tecnologia nas nossas equipes de campo. Quando a gente olhar para o futuro, a gente enxerga uma rede totalmente digitalizada, os clientes digitalizados e uma interação forte entre elementos de rede e informações.
___________________________
Participe do Webinar InfraDigital Day – IoT e Cibersegurança no Setor Elétrico – dia 30 de novembro, das 9h30 às 12h00. Inscreva-se gratuitamente!! O evento é uma iniciativa da plataforma de conteúdo InfraDigital, uma parceria entre o Portal IPNews e o Portal InfraROI, com o patrocínio da Minsait.