Ajit Niranjan
Deutsche Welle
Manter o fornecimento de energia seguro contra ameaças cibernéticas se torna cada vez mais importante, à medida que os países descarbonizam suas economias e modernizam suas redes elétricas.
Alguns minutos antes de as tropas russas marcharem sobre a Ucrânia, em 24 de
fevereiro de 2022, uma conexão por satélite com 5.800 turbinas eólicas de
toda a Europa Central parou subitamente de funcionar. As turbinas
continuaram girando, mas desde então estão no piloto automático e não podem
ser reinicializadas remotamente.
"Os serviços de comunicação falharam quase simultaneamente ao começo da
invasão russa na Ucrânia", disse em comunicado a produtora de turbinas
eólicas Enercon, tendo relatado o caso ao Departamento Federal de Segurança
Informática (BSI) da Alemanha.
A causa exata do distúrbio é desconhecida, mas a companhia descartou um
problema técnico de seu lado. Nem ela nem o BSI responderam a pedidos de
comentário pela DW.
À medida que o exército russo penetra mais no país vizinho, disparando em
civis e bombardeando a maior usina nuclear da Europa, e hackers derrotam
websites governamentais em ondas de ciberataques, a segurança do setor de
energia ucraniano está seriamente em questão. A guerra exacerbou as tensões
entre a Rússia e a Otan, lançando luz sobre os pontos fracos da segurança
cibernética das reservas globais de eletricidade.
Se aviões inimigos lançam bombas sobre uma população, ela conta com as
Forças Armadas nacionais para derrubá-los, compara Stuart Madnick, cientista
da computação e especialista em cibersegurança do Instituto de Tecnologia de
Massachusetts (MIT), nos Estados Unidos. Contudo, "se um ciberterrorista
ataca uma central, causando danos consequentes, você não pode confiar no
governo para protegê-lo".
Vulnerabilidade em toda a cadeia de abastecimento
Em 2015, hackers supostamente financiados por Moscou invadiram a rede de
energia ucraniana, desativando os sistemas de controle e causando vastos
danos na capital e no leste do país. Foi o primeiro caso publicamente
reconhecido de um ciberataque visando neutralizar um sistema de
eletricidade. Desde então, ofensivas semelhantes têm ocorrido por todo o
mundo.
Em 2021, hackers ligados a um grupo russo de ransomware (softwares
maliciosos que se apossam de um sistema e só o liberam perante "resgate")
atingiram equipamentos computadorizados de um oleoduto no Texas, Estados
Unidos. Sua proprietária, a Colonial Pipeline Company, teve que suspender as
operações e pagar o resgate, para restaurar o sistema.
Numa pesquisa realizada pela multinacional alemã Siemens, mais da metade das
companhias prestadoras de serviços consultadas relatou ataques resultando em
pelo menos uma paralisação ou perda de dados operacionais por ano. As
consequências foram de apagões e danos, a ferimentos e desastres ambientais.
Um quarto dos executivos participantes disse ter sido vítima de
"mega-ataques", com técnica de hackeamento desenvolvida por Estados
soberanos.
Segundo um relatório de 2020 da consultora de gestão McKinsey, os assaltos
aos sistemas de energia podem ocorrer em todos os estágios da cadeia de
abastecimento. Muitas vezes a eletricidade é gerada em infraestruturas
antigas, projetadas sem considerações de cibersegurança.
As linhas de transmissão e distribuição podem apresentar vulnerabilidades
físicas de segurança, permitindo acesso aos sistemas de controle de redes.
Mesmo no nível residencial, o avanço de medidores "inteligentes" e veículos
elétricos pode abrir flancos para sabotagem dos serviços.
"Os hackers têm milhares de meios de penetrar em companhias de energia
isoladas ou em sistemas de transmissão e distribuição", confirma Don Smith,
especialista em direito ambiental da Universidade de Denver, nos Estados
Unidos, que pesquisou segurança digital no setor energético.
Além de perturbar operações e provocar blackouts, ciberataques podem também
causar danos físicos a equipamentos e infraestrutura que perdurarão muito
tempo depois de a ofensiva ter acabado. Madnick, do MIT, lembra que
cientistas de laboratórios governamentais americanos já demonstraram esse
potencial de dano físico.
"Se um gerador explode, ou uma turbina gira descontrolada e se espatifa, é
preciso repô-los. E muitas vezes se trata de equipamento sob medida, que
exigem semanas, se não meses, para repor."
Renováveis mais vulneráveis?
Num nível básico, fontes de energia renovável, como instalações fotovoltaicas ou eólicas, são mais vulneráveis à cibercriminalidade, por estarem mais conectadas à internet do que as usinas tradicionais de combustíveis fósseis: enquanto estas são centralizadas, as renováveis se distribuem por áreas e sistemas mais amplos.
Por um lado, isso pode ser uma vantagem, pois um ataque talvez só desative uma parcela da força, mas por outro expõe mais pontos fracos. As fontes de energia renovável também costumam se localizar mais distante dos consumidores de eletricidade, aumentando a necessidade de linhas de transmissão, o que resulta em maior número de peças de equipamento conectadas entre si.
Contudo especialistas apontam outros tipos de vulnerabilidade nas centrais movidas a combustível fóssil: usinas a carvão, petróleo ou gás natural costumam ser bem mais velhas do que as de fontes renováveis, e foram conectadas à internet sem um plano claro para defesa de ciberataques.
Em muitos países, essa infraestutura foi construída décadas, se não séculos atrás. "Não acho que eles tivessem muita proteção contra ofensivas cibernéticas", ironiza o pesquisador Madnick. "Talvez contra bandidos e caubóis, mas não contra cibercriminosos."
Prevenir para não ter que remediar
Especialistas advertem que as maiores economias do mundo carecem de planos unificados para proteger suas redes elétricas de ameaças digitais, enquanto vão gradativamente fazendo a transição para a energia renovável. Nos EUA, por exemplo, não há nenhuma estratégia federal de cibersegurança, o que "não faz o menor sentido num país que é totalmente interconectado", critica Don Smith.
Tanto nos EUA, em que a eletricidade passa de um estado para o outro, quanto na União Europeia, onde ela flui entre os países, cada operadora está exposta às vulnerabilidades de seus vizinhos. "A energia não presta atenção às divisas estaduais ou a fronteiras soberanas", lembra o especialista em direito ambiental. "Ela se move onde as tubulações e as linhas de transmissão estejam."
Como a infraestrutura de energia está cada vez mais sofisticada, e os hackers desenvolvem constantemente novas formas de acesso a ela, não existe um plano universal para segurança digital. Ainda assim, especialistas aconselham governos, companhias e indivíduos a tomar medidas para se protegerem melhor.
As empresas podem, por exemplo, contratar diretores de cibersegurança, encarregados de manter-se em dia quanto aos avanços tecnológicos e de investigar as vulnerabilidades dos sistemas. Os governos poderiam introduzir normas mínimas de cibersegurança para as companhias de serviços básicos, e exigir supervisão regular. Os empregados de companhias de energia podem trocar suas senhas regularmente e conferir a presença de software malicioso em seus aparelhos.
Juntos, eles deveriam procurar os pontos fracos nos sistemas, antes que os ataques ocorram, em vez de esperar até que seja tarde demais, frisa Stuart Madnick, do MIT: "É só quando vem uma tempestade forte que você se dá conta que as pilhas das suas lanternas acabaram todas."