Mariana Macedo*
Em um mundo cada vez mais digital, e onde dados têm se tornado um ativo cada vez mais valioso, ataques cibernéticos por criminosos com a tentativa de danificar ou destruir uma rede de sistemas infelizmente têm sido bastante frequentes.
Segundo levantamentos realizados recentemente por empresas especializadas em soluções em segurança, a América Latina foi a região com mais ataques dessa natureza registrados no mundo – seguidos de pedidos de resgate ou não – sendo o Brasil o país mais afetado na região – vide por exemplo o ataque hacker recente sofrido nos sistemas da Prefeitura do Rio de Janeiro.
Aqui no Brasil, por meio dos decretos 9.637, de 26 de dezembro de 2018, que instituiu a Política Nacional de Segurança da Informação e dispôs sobre a governança da segurança da informação, e 10.222, de 5 de fevereiro de 2020, que aprovou a Estratégia Nacional de Segurança Cibernética, o governo federal estabeleceu a necessidade do aprimoramento contínuo do arcabouço legal e normativo relacionado à segurança da informação, visando, inclusive, a incentivar a adoção de práticas mais robustas para minimizar o risco de ataques cibernéticos, nas diversas esferas da administração pública.
Assim, atenta à necessidade de regulamentação de medidas a serem tomadas para adequação a esse atual contexto mundial, e como consequência de uma série de normas e estudos dedicados ao tema que decorreram da edição desses decretos, inclusive no âmbito do setor elétrico, a ANEEL (Agência Nacional de Energia Elétrica) resolveu, por meio da Resolução 964, de 14 de dezembro de 2021, estabelecer as diretrizes e o conteúdo mínimo das políticas de segurança cibernética a serem adotados pelos agentes do setor de energia elétrica. A resolução está em vigor desde julho deste ano.
Embora a norma não diga respeito a dados pessoais especificamente – o que adentraria a esfera de competência da ANPD (Autoridade Nacional de Proteção de Dados Pessoais), o seu conteúdo guarda semelhanças e sinergia com o da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2019).
A resolução se aplica a todos os agentes que forem concessionários, permissionários, autorizados de serviços ou instalações de energia elétrica, entidades responsáveis pela operação do sistema, comercialização de energia elétrica e gestão de recursos provenientes de encargos setoriais.
Principais diretrizes
A resolução aponta como principais diretrizes a adoção de normas, padrões e boas práticas em segurança cibernética (como, por exemplo, as normas ISO), a atuação com responsabilidade, zelo e transparência, a disseminação de uma cultura de segurança cibernética, a utilização segura de redes e serviços de energia elétrica, a identificação, proteção, diagnóstico, resposta e recuperação de incidentes cibernéticos, a identificação, avaliação, classificação e tratamento dos riscos cibernéticos na estrutura estabelecida pelo agente e a busca da cooperação entre os agentes envolvidos com o fim comum da mitigação dos riscos cibernéticos, respeitadas as regras de confidencialidade das informações definidas pelo agente.
Dentre essas diretrizes, identificamos os elementos da tríade confidencialidade, integridade e disponibilidade de dados (CID). Em um breve resumo, a confidencialidade passa pela proteção do sigilo dos dados, assegurando-se que o seu acesso fique restrito somente àquelas pessoas autorizadas para acessar tais dados, conforme necessário, mediante a aplicação do princípio do menor privilégio (need to know). A integridade passa pela adoção de medidas técnicas de segurança adequadas à sua proteção e conservação, a fim de que os dados/informações permaneçam íntegros e confiáveis, de modo que o seu receptor detenha as mesmas informações que o seu criador, sem alteração não autorizada ou indesejada de dados. Já a disponibilidade passa pela garantia de acessibilidade dos dados/informações àqueles com permissão para acessá-los, buscando-se afastar ameaças que ocasionem a instabilidade de sistemas ou a exposição a vulnerabilidades.
A Política de Segurança Cibernética deverá ser compatível com a relevância da instalação no contexto do SIN (Sistema Interligado Nacional), bem como com a natureza e a complexidade dos serviços, atividades, processos e sistemas, ser compatível com a sensibilidade dos dados e das informações sob sua responsabilidade, ser disseminada aos profissionais e colaboradores das áreas afetas, em seus diversos níveis, papéis e responsabilidades, resguardando-se o compartilhamento de informações críticas apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, ser revisada e atualizada periodicamente ou sempre que necessário for, estar disponível à ANEEL sempre que solicitada, juntamente com documentos complementares e comprovantes de sua aprovação interna pelo órgão competente (recomenda-se que a política seja ainda disponibilizada em um local de fácil visualização e acesso pelo usuário do website do agente).
Todo esse processo de elaboração e disseminação de políticas e de uma cultura voltada para a segurança cibernética e a privacidade de dados é muito semelhante ao processo de implementação de um programa de conformidade ou compliance em uma organização.
Assim como ocorre na LGPD, a política tem um lugar de destaque na resolução.
Criar um documento prevendo os objetivos, procedimentos, controles, medidas técnicas etc., de segurança cibernética em uma organização não é suficiente. Esse documento deve ser claro, a fim de permitir uma boa compreensão do seu conteúdo para pessoas de dentro e de fora da organização, sejam da área de segurança cibernética ou não.
Deve-se ter cuidado com os modelos prontos. Cada negócio tem as suas peculiaridades e isso deve ser refletido no texto da política de segurança da informação.
Nada disso será possível ou ao menos fácil de se concretizar sem o imprescindível comprometimento da alta administração de cada agente, que deverá dar o pontapé inicial para o trabalho de conscientização e engajamento de todos os envolvidos dentro da organização, de modo que se busque a finalidade comum de adequação a todas as diretrizes e regras da resolução.
A importância de comunicar o incidente
Na LGPD, quando ocorre um incidente de segurança que envolva dados pessoais e que possa acarretar risco ou dano relevante aos respectivos titulares dos dados pessoais, o controlador de dados pessoais deve comunicar tal fato à ANPD com a maior brevidade possível, sendo considerado a título indicativo o prazo de dois dias úteis, contados da data do conhecimento do incidente.
Por sua vez, a resolução da ANEEL determina que os agentes deverão notificar equipe de coordenação setorial designada toda vez em ocorrerem incidentes cibernéticos de maior impacto que afetem de maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados.
A agência não estabelece um prazo para a notificação, mas esta deverá ser realizada assim que o agente tiver ciência do incidente e de sua dimensão. Para tanto, o agente deverá ter um procedimento interno adequadamente estruturado e organizado, com um plano de resposta a incidente cibernéticos que possibilite a apuração de informações e o rápido envio da notificação, além de manter registros dos resultados dos modelos de maturidade aplicados em formato a ser definido, dos riscos cibernéticos identificados, com a forma de tratamento, e os dados das equipes de prevenção, tratamento e resposta a incidentes cibernético.
A notificação demonstrará o comprometimento, a transparência e a boa-fé do agente mediante o reporte do incidente cibernético de maior impacto ao órgão regulador do setor. A clareza, a precisão e agilidade no envio das informações fornecidas são fundamentais para o cumprimento do seu fim perante a ANEEL, que é o de comunicar a ocorrência de um incidente daquela natureza.
Assim, adequar uma empresa ao previsto na Resolução 964/2021 da ANEEL, combinada com os comandos trazidos pela LGPD, não é tarefa simples, especialmente em agentes onde a quantidade de dados e informações acumuladas é expressiva.
A ANEEL deverá caminhar com esse assunto em sintonia com as diretrizes emanadas pela ANPD, a fim de que possam promover em conjunto uma cultura de proteção de dados e de segurança cibernética e da informação, com o fim comum de evitar ou ao menos mitigar ao máximo os efeitos deletérios de incidentes cibernéticos, os quais muitas vezes são altamente danosos ou mesmo irreversíveis para uma organização.