TI Safe

Class | Suporte | EaD | Hub |

Home Blog Fase 1 do ONS para segurança cibernética do setor elétrico chega ao fim

Blog

Fase 1 do ONS para segurança cibernética do setor elétrico chega ao fim

Agentes que ainda não cumpriram os requisitos estabelecidos na normativa podem contar com o pacote ONS Ready da TI Safe.

Se encerra nesta segunda-feira o prazo da primeira fase (Onda 1) da implementação dos requisitos da Rotina Operacional (RO.CB.BR.01), que estabelece os controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo Operador Nacional do Sistema (ONS) no Ambiente Regulado Cibernético (ARCiber).

O ARCiber é o conjunto de redes e equipamentos que estão considerados no escopo da RO.CB.BR-01 e é composto pelos centros de operação dos agentes que atuam no setor elétrico, equipamentos que participam da infraestrutura de envio ou recebimento de dados e voz para ambientes operativos do ONS ou para centros de operação de outros agentes e o ambiente operativo do próprio ONS.

Marcelo Branquinho, CEO da TI Safe, explica que a Rotina Operacional para cibersegurança do setor elétrico do ONS, entrou em vigor há quase dois anos, em julho de 2021, com um prazo extenso de 27 meses para ser cumprido e uma primeira onda em 18 meses. Contudo, grande parte dos agentes que compõem o setor elétrico não atentou ao prazo da primeira fase, que é agora, e o risco é de não conseguir se adequar às regras determinadas pelo órgão. “Agora é uma corrida contra o tempo”, diz Marcelo Branquinho.

O ponto mais crítico para o CEO da TI Safe de deixar para última hora é arriscar no ambiente de missão crítica que é o fornecimento de energia elétrica. “Alguns requerimentos especificados na R.O. necessitam de intervenções críticas nas redes operativas como, por exemplo, implementar o controle de acesso com senhas fortes em sistemas de controle, trocar endereçamento de redes em funcionamento, trocar senhas de banco de dados, trocar senhas de dispositivos, ter um sistema de diretórios para automação e outras melhorias que, se feitas sem o devido cuidado, podem acarretar paradas na operação. O desafio é enorme e o prazo cada vez mais curto. Agora só faltam nove meses para todo o escopo de cibersegurança ser implementado. Não dá mais para adiar!”, ressalta.

O atendimento do restante da normativa é obrigatório até o dia 9 de outubro deste ano, prazo que completa os 27 meses da data publicação. “Ou seja, ainda há muito a se fazer durante o ano”, esclarece Marcelo Branquinho.

A TI Safe desenvolveu uma solução robusta que atende por completo a todos os controles mínimos de segurança cibernética a serem implementados pelos agentes e pelo ONS no  ARCiber: ONS Ready – Segurança cibernética turn-key para redes de TO conectadas ao ONS – TI Safe

 

Os oito itens da RO-CB.BR.01 que compõem a Onda 1 e que precisariam estar implementados até hoje são:

 

Conexão externa

  1. Todos os agentes do setor elétrico que compõem o ARCiber não devem ser diretamente acessíveis através da internet, mesmo que protegido por um ou mais Também seus ativos não devem ser visíveis nem ser acessíveis a partir da internet, exceto nos casos previstos no item abaixo e não devem ser capazes de se conectar com a internet.

 

  1. O acesso ao ARCiber a partir de redes externas à organização (como, por exemplo, a internet) somente deve ser permitido para o desempenho de atividades autorizadas. Este acesso deve ser realizado por meio de Rede Privada Virtual (VPN), ou tecnologia similar, através de um gateway ou serviço que oferece controles de segurança.

Governança e segurança da informação 

  1. Deve ser nomeado pelo menos um gestor e um suplente, responsáveis pela segurança cibernética do agente do ARCiber para atuar como ponto de contato externo.
  2. Também deverá ser estabelecida uma política que defina papéis e responsabilidades em relação à segurança cibernética da empresa.

 

Inventário de ativos

  1. Todos os ativos, softwares e hardwares, conectados ao ARCiber devem ser inventariados a cada 24 meses e considerar: tipo de dispositivo, fabricante do equipamento, função; endereço IP ou MAC Address e protocolo de aplicação e/ou porta de serviço, versão dofirmware e/ou sistema operacional quando aplicável.

 

  1. O inventário dos ativos deve ser armazenado de forma segura, com políticas bem definidas e acesso restrito às pessoas que necessitem das informações para o exercício de suas funções.

 

  1. Padrões de configuração segura (hardening) devem ser criados conforme política de segurança do agente para os sistemas operacionais, firmwares, banco de dados e demais versões de softwares existentes no ARCiber. Também devem ser implementados mecanismos de monitoramento da conformidade destes padrões no ARCiber produtivo, automatizados ou manuais.

Monitoramento e respostas a incidentes

  1. Os ativos do ARCiber devem estar configurados para gerar logs de segurança apropriados para suportar investigações e a reconstrução de possíveis incidentes de segurança. Esses logs devem ser armazenados por prazo definido nas políticas de segurança cibernética da organização.

Os demais requisitos que deverão estar totalmente implementados até o fim deste ano estão descritos na tabela da norma.

Para saber mais:

Webinar ONS Ready

Q&A ONS Ready

Site

Formulário de avaliação do nível de conformidade

Entrevista exclusiva para o CISO Advisor

Ou entre em contato com contato@tisafe.com

Voltar