Alguns minutos antes de as tropas russas marcharem sobre a Ucrânia, em 24 de fevereiro de 2022, uma conexão por satélite com 5.800 turbinas eólicas de toda a Europa Central parou subitamente de funcionar. As turbinas continuaram girando, mas desde então estão no piloto automático e não podem ser reinicializadas remotamente.
“Os serviços de comunicação falharam quase simultaneamente ao começo da invasão russa na Ucrânia”, disse em comunicado a produtora de turbinas eólicas Enercon, tendo relatado o caso ao Departamento Federal de Segurança Informática (BSI) da Alemanha.
A causa exata do distúrbio é desconhecida, mas a companhia descartou um problema técnico de seu lado. Nem ela nem o BSI responderam a pedidos de comentário pela DW.
À medida que o exército russo penetra mais no país vizinho, disparando em civis e bombardeando a maior usina nuclear da Europa, e hackers derrotam websites governamentais em ondas de ciberataques, a segurança do setor de energia ucraniano está seriamente em questão. A guerra exacerbou as tensões entre a Rússia e a Otan, lançando luz sobre os pontos fracos da segurança cibernética das reservas globais de eletricidade.
Se aviões inimigos lançam bombas sobre uma população, ela conta com as Forças Armadas nacionais para derrubá-los, compara Stuart Madnick, cientista da computação e especialista em cibersegurança do Instituto de Tecnologia de Massachusetts (MIT), nos Estados Unidos. Contudo, “se um ciberterrorista ataca uma central, causando danos consequentes, você não pode confiar no governo para protegê-lo”.
Vulnerabilidade em toda a cadeia de abastecimento
Em 2015, hackers supostamente financiados por Moscou invadiram a rede de energia ucraniana, desativando os sistemas de controle e causando vastos danos na capital e no leste do país. Foi o primeiro caso publicamente reconhecido de um ciberataque visando neutralizar um sistema de eletricidade. Desde então, ofensivas semelhantes têm ocorrido por todo o mundo.
Em 2021, hackers ligados a um grupo russo de ransomware (softwares maliciosos que se apossam de um sistema e só o liberam perante “resgate”) atingiram equipamentos computadorizados de um oleoduto no Texas, Estados Unidos. Sua proprietária, a Colonial Pipeline Company, teve que suspender as operações e pagar o resgate, para restaurar o sistema.
Numa pesquisa realizada pela multinacional alemã Siemens, mais da metade das companhias prestadoras de serviços consultadas relatou ataques resultando em pelo menos uma paralisação ou perda de dados operacionais por ano. As consequências foram de apagões e danos, a ferimentos e desastres ambientais. Um quarto dos executivos participantes disse ter sido vítima de “mega-ataques”, com técnica de hackeamento desenvolvida por Estados soberanos.
Segundo um relatório de 2020 da consultora de gestão McKinsey, os assaltos aos sistemas de energia podem ocorrer em todos os estágios da cadeia de abastecimento. Muitas vezes a eletricidade é gerada em infraestruturas antigas, projetadas sem considerações de cibersegurança.
As linhas de transmissão e distribuição podem apresentar vulnerabilidades físicas de segurança, permitindo acesso aos sistemas de controle de redes. Mesmo no nível residencial, o avanço de medidores “inteligentes” e veículos elétricos pode abrir flancos para sabotagem dos serviços.
“Os hackers têm milhares de meios de penetrar em companhias de energia isoladas ou em sistemas de transmissão e distribuição”, confirma Don Smith, especialista em direito ambiental da Universidade de Denver, nos Estados Unidos, que pesquisou segurança digital no setor energético.
Além de perturbar operações e provocar blackouts, ciberataques podem também causar danos físicos a equipamentos e infraestrutura que perdurarão muito tempo depois de a ofensiva ter acabado. Madnick, do MIT, lembra que cientistas de laboratórios governamentais americanos já demonstraram esse potencial de dano físico.
“Se um gerador explode, ou uma turbina gira descontrolada e se espatifa, é preciso repô-los. E muitas vezes se trata de equipamento sob medida, que exigem semanas, se não meses, para repor.”
Renováveis mais vulneráveis?
Num nível básico, fontes de energia renovável, como instalações fotovoltaicas ou eólicas, são mais vulneráveis à cibercriminalidade, por estarem mais conectadas à internet do que as usinas tradicionais de combustíveis fósseis: enquanto estas são centralizadas, as renováveis se distribuem por áreas e sistemas mais amplos.
Por um lado, isso pode ser uma vantagem, pois um ataque talvez só desative uma parcela da força, mas por outro expõe mais pontos fracos. As fontes de energia renovável também costumam se localizar mais distante dos consumidores de eletricidade, aumentando a necessidade de linhas de transmissão, o que resulta em maior número de peças de equipamento conectadas entre si.
Contudo especialistas apontam outros tipos de vulnerabilidade nas centrais movidas a combustível fóssil: usinas a carvão, petróleo ou gás natural costumam ser bem mais velhas do que as de fontes renováveis, e foram conectadas à internet sem um plano claro para defesa de ciberataques.
Em muitos países, essa infraestutura foi construída décadas, se não séculos atrás. “Não acho que eles tivessem muita proteção contra ofensivas cibernéticas”, ironiza o pesquisador Madnick. “Talvez contra bandidos e caubóis, mas não contra cibercriminosos.”
Prevenir para não ter que remediar
Especialistas advertem que as maiores economias do mundo carecem de planos unificados para proteger suas redes elétricas de ameaças digitais, enquanto vão gradativamente fazendo a transição para a energia renovável. Nos EUA, por exemplo, não há nenhuma estratégia federal de cibersegurança, o que “não faz o menor sentido num país que é totalmente interconectado”, critica Don Smith.
Tanto nos EUA, em que a eletricidade passa de um estado para o outro, quanto na União Europeia, onde ela flui entre os países, cada operadora está exposta às vulnerabilidades de seus vizinhos. “A energia não presta atenção às divisas estaduais ou a fronteiras soberanas”, lembra o especialista em direito ambiental. “Ela se move onde as tubulações e as linhas de transmissão estejam.”
Como a infraestrutura de energia está cada vez mais sofisticada, e os hackers desenvolvem constantemente novas formas de acesso a ela, não existe um plano universal para segurança digital. Ainda assim, especialistas aconselham governos, companhias e indivíduos a tomar medidas para se protegerem melhor.
As empresas podem, por exemplo, contratar diretores de cibersegurança, encarregados de manter-se em dia quanto aos avanços tecnológicos e de investigar as vulnerabilidades dos sistemas. Os governos poderiam introduzir normas mínimas de cibersegurança para as companhias de serviços básicos, e exigir supervisão regular. Os empregados de companhias de energia podem trocar suas senhas regularmente e conferir a presença de software malicioso em seus aparelhos.
Juntos, eles deveriam procurar os pontos fracos nos sistemas, antes que os ataques ocorram, em vez de esperar até que seja tarde demais, frisa Stuart Madnick, do MIT: “É só quando vem uma tempestade forte que você se dá conta que as pilhas das suas lanternas acabaram todas.”
Fonte: DW Brasil.