O Governo Federal publicou os Decretos nº 9.637/2018 e nº 10.222/2020 com a finalidade de criar mecanismos regulatórios que incentivem a adoção de práticas mais pujantes a fim de reduzir riscos de ataques cibernéticos ou, no caso de ataques, identificá-los rapidamente e solucionar o problema.
Assim, a diretoria da Agência Nacional de Energia Elétrica (Aneel) abriu consulta pública para tratar da pauta, que tem relatoria do diretor Sandoval Feitosa. Até o dia 26 de abril a agência receberá contribuições com a finalidade de aprimorar os mecanismos.
A segurança cibernética é uma preocupação em diversos setores, visto que o aumento de conectividade digital é crescente e a necessidade de usar as tecnologias é imperativa. Por isso, surge também a urgência de proteger as infraestruturas do setor elétrico contra ataques cibernéticos.
Há a preocupação dos agentes do setor de minimizar os impactos dos incidentes de segurança cibernética. Para tanto, a consulta pública aborda quatro alternativas para a situação, são elas:
Alternativa 1: não regular;
Alternativa 2: orientar e divulgar as melhores práticas para a segurança cibernética para os agentes setoriais;
Alternativa 3: regulamentar os itens da política de segurança cibernética;
Alternativa 4: regulamentar requisitos mais prescritivos para segurança cibernética.
A agência elaborou uma Análise de Impacto Regulatório (AIR) de maneira coletiva por meio da metodologia de Design Thinking para chegar às alternativas.
Design Thinking combina um conjunto de princípios, ferramentas e processos extraídos da prática do Design Industrial para o desenvolvimento de soluções inovadoras e efetivas para problemas complexos. O Design Thinking já é usado em outros setores públicos do país.
Por meio de técnicas de Design Thinking, foram identificadas 4 causas raízes para o problema regulatório
• Atuação de agentes maliciosos e cibercriminosos
São responsáveis por efetuar ataques cibernéticos que derivam em algum tipo de incidente.
• Falta de segurança adequada
A fragilidade dos sistemas do setor elétrico pode facilitar os ataques. Mesmo que existam agentes bem preparados e com política de segurança cibernética bem avançada, nem todos se encontram na mesma situação.
• Conectividade dos sistemas
Os sistemas estão cada vez mais conectados, é bom para a eficiência, proporciona monitoramento, capacidade de integração e de análise de dados. Porém, aumenta a abrangência de ataque.
• Carência de recursos humanos especializados
Faltam especializações nessa área e segurança cibernética nas empresas do setor.