Título: Falha de comunicação prolongou blecaute
Autor: Goulart , Josette
Fonte: Valor Econômico, 18/12/2009, Especial, p. A14

Uma séria falha na comunicação entre os sistemas do Operador Nacional do Sistema (ONS) e as geradoras e transmissoras de energia no dia do apagão é o motivo que realmente está preocupando o governo federal no episódio que afetou o fornecimento de energia em 18 Estados no dia 10 de novembro. As causas dessa falha ainda estão sendo apuradas, e algumas fontes afirmam que esse problema não foi o responsável pelo apagão, mas pela falha no ilhamento e no religamento da energia. A hipótese de hackers é oficialmente descartada pelo governo, mas o Valor apurou que o sistema de gestão do ONS, que envia os comandos de geração e transmissão da energia elétrica em todo o país, estava vulnerável a ciberataques.

Em fevereiro deste ano, a Areva Transmissão e Distribuição, empresa responsável por 70% da operação do ONS, comunicou mundialmente a seus clientes que foram identificadas múltiplas vulnerabilidades em algumas versões de suas plataformas e-terrahabitat. O departamento americano de segurança de sistemas, por meio do US-Cert (United States Computer Emergency Readiness Team), imediatamente tornou público o comunicado e enfatizou que as vulnerabilidades identificadas permitiam a um invasor a ter acesso a contas privilegiadas do operador do sistema, executar arbitrariamente comandos ou abrir uma porta para uma invasão.

As vulnerabilidades foram descobertas por uma empresa israelense de segurança chamada C4, que trabalha em parceria com o Idaho National Labs e com o próprio departamento de segurança americano (Department of Homeland Security Control Systems Security Program). O diretor de solução de redes na Areva do Brasil, Ricardo Hering, disse que que o sistema do ONS é o e-terrahabitat 5.2. Na entrevista que concedeu, ele afirmou que essa versão não estava suscetível a invasões e que o alerta era apenas para a versão 5.7. Portanto o ONS não se enquadraria no quadro de vulnerabilidades relatado.

O documento, disponível no site www.us-cert.gov, diz que os sistemas afetados são os das "versões 5.7 do e-terrahabitat e anteriores". O relatório menciona soluções para cessar as vulnerabilidades e diz que os usuários do e-terrahabitat, versões 5.5, 5.6 e 5.7, deveriam aplicar um dispositivo de segurança (e-terrahabitat_560_P20081030_SEC) imediatamente. Para aqueles softwares com versão 5.4 ou anteriores, a recomendação era de que fizessem uma atualização para a versão 5.6 ou superiores.

No Brasil quem também usa a versão 5.5 é a AES Eletropaulo, empresa de distribuição na capital paulista, a última a ter a energia restabelecida por completo na madrugada do dia 10. A empresa foi procurada para falar sobre o assunto e desconhecia o documento da US-Cert. O Valor enviou o link do principal acesso ao documento e a resposta oficial da empresa foi que: "Não procede a informação de que a AES Eletropaulo não fez atualização do sistema e-terrahabitat, um dos módulos do sistema Scada-Areva (sistema de controle e aquisição de dados). A versão que a empresa utiliza é a 5.5 e não a versão 5.7, que foi objeto de vulnerabilidade. O sistema conta com várias barreiras de segurança, o que garantiu seu pleno funcionamento na noite do dia 10 de novembro de 2009". A empresa diz que não foi comunicada pela Areva de nenhuma vulnerabilidade.

O ONS foi procurado para falar sobre o assunto no início da tarde ontem, mas o diretor-geral do ONS, Hermes Chipp, não se manifestou. A Areva foi a única empresa que deu alguma explicação. Ricardo Hering, o diretor da Areva, disse que, apesar da vulnerabilidade em questão, é importante destacar que para um hacker fazer qualquer ataque teria que passar antes por vários outros níveis de segurança para comprometer o sistema. A plataforma da Areva está no nível três, e antes é preciso passar pelo nível um, em que estão os equipamentos dos geradores, e pelo nível dois, onde estão as subestações. Mesmo assim o, ataque teria que ter sido inciado no sistema corporativo da empresa, segundo Hering.

O que chama mais a atenção no trabalho feito pelos israelenses da C4 Security é o relato de como um hacker, sem ter qualquer conhecimento de engenharia de gestão ou do sistema elétrico, pode invadir o centro de controle de um país e causar um blecaute. Em um relatório, assinado por Eyal Udassin, a empresa desbanca argumentos de segurança que são dados pelos operadores. Udassin lembra que três vulnerabilidades críticas foram descobertas por eles em 2008. "Mesmo tendo sido a primeira vez que foi demonstrada a tomada de controle do sistema SCADA, havia antes disso poucos engenheiros que duvidavam que seria possível ter um ataque que causasse danos reais", diz o relatório.

SCADA é a sigla em inglês para Sistema de Supervisão e Aquisição de Dados e é um conceito usado em todo o mundo para o gerenciamento de redes. Desde os ataques terroristas do 11 de setembro, o governo americano tem se preocupado com a vulnerabilidade de seus sistemas e mais ainda do SCADA, que rege toda a infraestrutura dos países. Mesmo com as vulnerabilidades relatadas pela C4, os operadores do SCADA dizem que, caso um hacker consiga entrar no sistema, ele não teria informações da localização das plantas de geração ou de transmissão e mesmo os documentos que estão na rede não teriam significado para esses invasores. Assim, eles não conseguiriam causar um dano físico real. É a chamada segurança pela obscuridade.

O relato feito pela C4, uma espécie de empresa de hackers profissionais, mostra, entretanto, que não é preciso saber como operar sistemas elétricos, basta entender de computador. Primeiro, porque os protocolos de controle são simples, segundo a C4, e em 95% dos casos tratam de sistemas liga e desliga. Para o invasor, a informação relevante é saber a função do operador do sistema elétrico, que é manter o equilíbrio entre geração e demanda de energia. Além disso, informação crucial é saber que, pela manhã, o consumo cresce, e cai à noite.

Essa é a chave, segundo o relato: "Vamos transformar o dia em noite e vice-versa". "Não se preocupem em saber o que nós estamos enviando de informações, porque o operador já está cuidando disso por nós". Após a instalação de um software malicioso no sistema a ser atacado, o trabalho do hacker ficaria dividido em dois estágios: o de aprendizado e o da ação de fato. Na primeira fase, o invasor precisa recolher todas as informações que estão sendo enviados às usinas, e a partir delas criar pares de comandos/respostas com a classificação dos horários em que os comandos são dados.

Quando informações suficientes já tiverem sido coletadas, é só esperar pelo próximo momento crítico do dia, pela manhã ou à noite. São críticos, porque nestes momentos a demanda por energia está variando. Basta então derrubar todas as mensagens do servidor SCADA e, no lugar, envaiar os comandos opostos para o campo. Na prática, o que acontece é que se o hacker decide invadir o sistema pela manhã, quando a demanda está em alta, ele deve enviar os comandos da noite para o campo de geração. Comandos como "desconectar a planta de geração auxiliar do sistema" ou "reduzir a geração na principal usina".

O operador do sistema, neste momento, tentará conectar mais plantas de geração para suprir a demanda, mas não terá sucesso, porque os comandos serão ignorados, já que estão bloqueados pelo ataque. Com o sistema gerando menos energia do que está consumindo, uma perturbação será sentida pelo sistema e isso tem um alto potencial de causar blecautes, segundo o relato dos "hackers" da C4. Até mesmo a frequência elétrica poderá ser alterada.

A questão da possibilidade de que hackers poderiam ter causado o apagão do dia 10 de novembro foi levantada, porque menos de uma semana antes o prestigiado programa de jornalismo "60 Minutes" da emissora de TV americana CBS, em reportagem especial sobre sabotagens de sistema, afirmou que apagões que afetaram alguns Estados brasileiros, nos anos de 2005 e 2007, teriam sido causados por hackers. A reportagem da emissora chegou a essa informação porque o presidente Barack Obama, quatro meses após ter assumido o cargo, disse que se preocupava com ataques a infraestruturas do país.

"Nós sabemos que ciberinvasores tentaram atacar nosso sistema elétrico, e, em outros países, ciberataques deixaram cidades inteiras no escuro", disse Obama. Em nenhum momento ele revelou que países eram esses, mas a reportagem da CBS ouviu seis fontes, entre elas militares, agentes de inteligência e empresas de segurança, que contaram que o presidente se referia ao Brasil.

O que causou a falha na comunicação que está no relatório do ONS sobre o apagão de novembro ainda está sendo apurada e as informações preliminares sugerem que o problema aconteceu apenas no religamento dos sistemas. Mas fonte da Aneel diz que "foi diferente de 2007, em que a falha de comunicação foi o que causou blecaute no Rio e no Espírito Santo".

A preocupação americana com a segurança do sistema SCADA se deve ao fato de que invasores acessaram a operação de uma planta de geração termelétrica do país. Em 2008, o governo americano decidiu então pedir estudos para reforçar a segurança dos sistemas SCADA. O então diretor da divisão de segurança de rede Andy Purdy disse que a exposição dos sistemas a softwares maliciosos cresceram em função da crescente conexão à internet. A internet, por meio de ataques a redes corporativas, seria a porta de acesso para os sistemas de operação que não estão ligados à rede mundial de computadores.

Como foi noticiado alguns dias após o apagão, o site do ONS estava vulnerável a hackers. Segundo declarações de Hermes Chipp na época, o ataque ao site teria sido feito após o apagão, e aquela porta de entrada dava acesso apenas a dados administrativos do operador. Um especialista em tecnologia, que invadiu a rede, contou a experiência em seu blog, em uma tentativa de mostrar a fragilidade do sistema. Segundo algumas informações, hoje é feita uma varredura do sistema 48 vezes por dia, ou seja, a cada meia hora e por sistema de viva-voz. Assim, a comunicação não permitiria que invasores passassem informações trocadas, transformando o dia em noite, como sugere Udassin, da C4.

O ONS possui hoje o centro nacional de operação e quatro centros regionais localizados em Brasília, Recife, Rio de Janeiro e Florianópolis. A Areva fornece os sistemas das regionais de Florianópolis, Brasília e Recife. Mas todos estes sistemas da Areva, em operação desde 2002, serão trocados nos próximos dois anos. No início deste ano, a Siemens junto com o Centro de Pesquisas de Energia Elétrica (Cepel) da Eletrobrás, venceu uma licitação para fornecer os novos sistemas. O diretor da Siemens, Guilherme Mendonça, disse que o edital com as condições para a participação na disputa pelo contrato é super rígido e traz uma série de exigências em termos de segurança do sistema. A grande novidade é que os centros de operação passarão a ser integrados, de forma que no sistema de contingenciamento, quando um falhar o outro vai assumir o controle imediatamente.

A disputa teve início no ano passado, mas somente em junho deste ano, o processo de licitação terminou. A Siemens e o Cepel ainda vão levar dois anos para implantar o novo sistema, chamado de Reger. O sistema também terá uma arquitetura baseada no sistema de redes inteligentes. O Cepel já é hoje responsável pelo centro nacional de operação do ONS.