Os negócios jurídicos no setor de energia contra ataques cibernéticos

A sócia Mayra Carrillo e o advogado Vinícius Fochi foram destaques no portal LexLatin:

A regulação vem mudando no combate aos crimes cibernéticos no Brasil. Mas o ritmo das melhorias ainda corre abaixo da necessidade de prevenção e solução de ataques e golpes virtuais, especialmente para empresas do setor de infraestrutura energética. Crimes digitais como ransomware (que visa roubar dados ou bloquear máquinas em troca de resgate geralmente em bitcoin) já atingiram ao menos cinco gigantes do setor de energia nos últimos dois anos: Enel e Energisa em abril 2020, EDP e Light em junho de 2020, e Copel e Eletronuclear em fevereiro de 2021.

As ações criminosas não chegaram a afetar a distribuição ou o fornecimento de energia, mas vazaram dados e afetaram os sistemas administrativos das empresas, segundo dados da Agência Nacional de Energia Elétrica (Aneel).

De acordo com a União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU) e que coordena esforços na área de segurança cibernética, o Brasil ocupava a 71ª colocação no índice de segurança cibernética em 2018, divulgado em 2019. O país foi o 2º no mundo que mais sofreu perdas econômicas de ataques cibernéticos. Segundo os dados da ITU, os prejuízos com ataques cibernéticos no Brasil ultrapassaram US$ 20 bilhões, atingido ao menos 70 milhões de brasileiros.

Com a melhora do ambiente legal e a entrada em vigor no país da LGPD, o Brasil passou para o 18º lugar no índice global de segurança cibernética em 2020, quando 193 países foram pesquisados, o que mostra como a criação de normas e regras contribui para aumentar a segurança.

Para um setor crítico de infraestrutura como o energético, a resolução 964 da Agência Nacional de Energia Elétrica (Aneel) prevê a adoção de normas, padrões e referências de boas práticas em segurança cibernética, além de identificação, proteção, diagnóstico, resposta e recuperação dos incidentes cibernéticos. A ideia é criar políticas de segurança compatíveis com o porte da empresa, a obrigatoriedade de as companhias comunicarem situações de crise em segurança cibernética, assim como o compartilhamento entre os agentes e o órgão regulador de ocorrências relevantes.

A norma também prevê procedimentos relacionados à gestão da segurança, como a segmentação de redes de operação da rede de TI e da Internet, ações de resposta rápida para contenção de incidentes, avaliação e tratamento de riscos.

Em sua Análise de Impacto Regulatório (AIR) sobre segurança cibernética no Setor Elétrico Brasileiro, a Aneel identificou três consequências principais relacionadas a um eventual incidente de segurança cibernética envolvendo agentes regulados do setor: eventual interrupção no suprimento de energia, a impossibilidade de realização de operações técnicas pelos agentes regulados e o possível extravio de dados.

O risco de continuidade da atividade essencial é um dos mais preocupantes e, na avaliação dos técnicos e advogados especializados ouvidos por LexLatin, não se trata de mero risco hipotético.

(…)

Para os advogados do setor alguns pontos merecem destaque. A Resolução prevê condutas focadas na prevenção, ao estipular, por exemplo, diretrizes para a atuação em segurança cibernética, conforme seu artigo 3º, bem como ao definir o escopo mínimo para as políticas de segurança de cada instituição ou agente, segundo estabelece seu artigo 4º”, afirma Vinícius Fochi, criminalista do Damiani Sociedade de Advogados.

Para ele, a norma é uma cartilha de como o setor deve se portar diante dos riscos relacionados a ataques cibernéticos.

A Resolução da Aneel também prevê diretrizes a serem tomadas nos casos de ataque cibernético de maior impacto, incluindo a análise da causa e das consequências e as ações de mitigação adotadas.

“Dentre as condutas, há a necessidade de os agentes notificarem a equipe de coordenação setorial designada sobre eventuais ataques e ameaças capazes de colocar em risco a segurança das instalações, das operações e dos serviços aos usuários, de acordo com o artigo 6º da Resolução. A legislação também prevê que o ônus pela segurança das instalações e a continuidade na prestação do serviço é de inteira responsabilidade dos agentes do setor, segundo o artigo 8º”, explica Mayra Mallofre Ribeiro Carrillo, criminalista, sócia de Damiani Sociedade de Advogados.

O setor de energia é especialmente vulnerável a esse tipo de ataque em razão da complexidade de suas operações. Para os analistas, a singularidade de operações como a geração ou distribuição de energia elétrica, que demandam infraestruturas físicas e tecnológicas variadas, apresenta muitos desafios em termos de cibersegurança.

(…)

Leia na íntegra.