Os ataques cibernéticos no início deste mês, trouxe
atenção global para a escala e sofisticação que o ciber-crime pode desencadear.
Mas a atividade criminosa deliberada é apenas um tipo de
ameaça àsegurança cibernética. A digitalização das redes de energia e o aumento da conectividade das explorações solares significam que os ativos fotovoltaicos precisam de assegurar a sua proteção.
Stefano Salerno, diretor de operações, Amaranto Asset
Management diz que a maior parte da indústria solar está muito protegida.
"No momento não há cultura da ciber-segurança em
energia solar", diz ele. "As pessoas em energia solar não estão
atualizadas, não estão atualizando seu software ou controlando o acesso. Não há
backup dos dados do medidor. O proprietário do recurso está confiando no
operador do medidor, mas ninguém está pensando sobre o fato de que um ataque
cibernético também pode afetar o operador do medidor. "
Esta alegação tem precedente no Reino Unido que já sofreu
ataques nas suas redes inteligentes. A Ucrânia também sofreu cortes sem
precedentes de sua infraestrutura de rede elétrica. Os riscos para a indústria
solar não podem ser exagerados. Com operações multimilionárias como infraestrutura
de rede nacional vulnerável, os proprietários de ativos solares não devem
subestimar as medidas que precisam tomar para serem o mais seguro possível.
"As soluções técnicas existentes ainda são imaturas.
Não há redundância no local. Os processos para fazer login nos sistemas não
estão presentes. Algumas empresas estão apenas conectando um roteador em um IP
público, a rede é como um prédio com uma porta destrancada e aberta ", diz
Salerno.
"Se eles podem entrar através do roteador, eles
podem desligar os inversores. Eles podem entrar através do software do O &
M, ou o software de monitoramento, novamente, é como deixar uma criança dentro
de um edifício destrancado e deixá-los tocar em qualquer botão que eles querem.
Eles podem desligar tudo. Este é outro risco que pode afetar a produção do site",
explica Salerno.
"É sobre que tipo de porta e que tipo de fechadura
você coloca em sua usina solar para impedir qualquer um de apenas entrar em sua
usina/casa. Quando um hacker entra no edifício, o dano vai direto para o SPV.
Investidores perguntarão por que eles não se protegeram. O mercado examinará o
caso e certamente isso terá um impacto muito negativo no fundo proprietário da
usinar solar por exemplo, desmoronando o preço do ativo."
Dados
Não é apenas sobre manter os hackers longe do seu ativo.
Salerno descreve que os dados gerados por uma planta solar em funcionamento são
como o seu documento pessoal, ou como um cartão de credito, se você assim
preferir chamar. Este deve então ser tratado como tal.
"Tem que ser e estar seguro e armazenado no lugar
certo e sem problemas. Os proprietários de bens tendem a não estar diretamente
envolvidos neste processo. Eles têm seu monitoramento, eles não sabem onde os
dados são armazenados fisicamente. Eles estão focados apenas na saída, eles não
olham como esses dados estão sendo processados e armazenados ", diz ele.
Manter a integridade dos dados de produção está
diretamente relacionado à receita. Outros dados de desempenho também têm valor
operacional e também é importante protegê-lo de outras partes interessadas.
Log-in
Outro visitante indesejado aos seus dados poderia vir na
forma mais familiar de um ex-empregado.
"A segurança cibernética não está exclusivamente
relacionada com um ataque de hackers. Acontece todos os dias. Se um empregado
mudar de empresa e um fundo de investimento não mudar o nome de usuário e a
senha do sistema de monitoramento [eles podem acessá-lo]. Pode ser um nome de
usuário genérico [estático] para todos os funcionários, então quando alguém
muda de empresa, eles ainda têm acesso a todo o sistema de monitoramento.
"Precisamos desenvolver uma cultura de monitoramento
de cada usuário na plataforma, a que horas eles fazem log on e o que estão
fazendo. Se um ex-funcionário ou um atual pode entrar dentro do sistema de
monitoramento, eles podem entrar dentro do medidor, eles podem entrar dentro do
G59 ou o CCTV. Você tem que monitorar o que eles estão acessando e que ações
estão tomando. Estes são cenários típicos que acontecem o tempo todo ",
afirma Salerno.
Insatisfeito com o que estava no mercado, a Amaranto
desenvolveu seu próprio sistema interno, mas Salerno insiste que o passo mais
importante é para a indústria como um todo levar a questão mais a sério. Ele
oferece um incentivo adicional, se necessário.
Um pequeno
investimento
Enquanto as regulamentações governamentais obrigatórias
para a indústria podem surgir como um impulso para redes digitalizadas
continua, Salerno tem seu próprio conselho para os proprietários de ativos:
"A coisa é fazer uma auditoria. Um consultor técnico
é provável que não tenha as habilidades necessárias para tal, eles olham para o
investimento, mas eles não têm a mentalidade de pensar sobre a segurança
cibernética. Eu nunca vi a diligência devida por um conselheiro técnico que
diga: para onde está indo isso? Que software está sendo usado? Existe uma VPN?
Quem está gerenciando isso? Proprietários de ativos precisam fazer uma
avaliação e apontar os riscos, nunca haverá um perfeito sistema de TI.
"Então, quando você conhece os riscos, você tem que fazer um teste de penetração e simular como o sistema responde a um ataque de hacker ou qualquer outro risco, para examinar que procedimentos estão em vigor e para informar alguém. Deste modo, eles podem colocar ações corretivas no lugar, diz Salerno".
"É um investimento pequeno para o proprietário. Esta
ciber-guerra está avançando rápido e você tem que manter-se sempre atualizado,
porque os pilantras encontrarão sempre uma maneira nova de invadir o seu
sistema."
Achou útil essa informação? Compartilhe com seus amigos! ;)
Deixe-nos a sua opinião aqui nos comentários.
Fonte: PVT
Nenhum comentário:
Postar um comentário