José Reynaldo Formigoni Filho, MSc

Gerente de Desenvolvimento de Tecnologias de Segurança da

Informação e Comunicação

Rafael de Simone Cividanes, MSc

Especialista Senior em Segurança da Informação e Comunicação

Julho de 2015

WORKSHOP ENERGIA

SMART GRIDSCibersegurança em

Smart Grid

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

Conselho Curador

Diretoria Executiva

Conselho Fiscal

Fórum P&D

Fundação de direito privado

Flexibilidade

Superávit reinvestido

Governança corporativa

Principais áreas de P&D

Comunicações

Ópticas

Comunicações

Ópticas

Comunicações

ÓpticasPlataformas IP

Comunicações

Ópticas

Sistemas de

Suporte a

Operações e

Negócios

Comunicações

Ópticas

Segurança da

Informação e

Comunicação

Comunicações

Ópticas

Redes e

Tecnologias

de Sensores

Comunicações

Ópticas

Serviços,

Aplicações,

Terminais e

Inclusão Digital

Comunicações

Ópticas

Gerenciamento

da Decisão

Comunicações

Ópticas

Comunicações

Móveis e Redes

sem Fio

Comunicações

ÓpticasSmart Grid

www.cpqd.com.br

Nossas atividades

Projetos de P&D

Produtos e

Soluções

Serviços

Gerenciados de SIC

Especializados de SIC

Consultoria em SIC

Conhecimento e

Infraestrutura de

laboratório

Tecnologias

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

As principais ameaças em Smart Grid

Fraude no consumo de

energia: uma interferência

na infraestrutura de medição

pode possibilitar o não

pagamento da energia

consumida

Exposição à privacidade do

usuário: Pesquisas apontam que os

dados de medição podem revelar

atividades e comportamentos dos

usuários

Ameaça + Vulnerabilidade

=

Ataque bem sucedido

Propagração de código

malicioso: propagação de

códigos maliciosos sobre a

estrutura AMI (Advanced

Meter Infrastructure)

Ataques à rede para desligamento

em massa do serviço

Privacidade em Smart Grid: o que os dados do

consumidor podem revelar*

* NIST - Guidelines for Smart Grid Cyber Security: Vol. 2, Privacy and the Smart Grid

Privacidade em Smart Grid: o ponto de vista do

consumidor*

• http://stopsmartmeters.org/why-stop-smart-meters/

Stop Smart Meters!

• Utilities across the country are installing so-

called ‘smart’ meters.

• As a result, bills are skyrocketing, health

effects and safety violations are being

reported, and privacy in our homes is

being violated.

• Do we really need wireless smart meters?

Vulnerabilidades em Smart Grid

Ambiente do cliente

Medidoresinteligentes

MedidorEletricidade

Ambiente de Rede de

Comunicação

Infraestruturade

comunicação

Arquitetura e Elementos das

Redes de transmissão e suas configurações:

• Curta distância• Longa distância

MDM - Meter Data Management

Políticas Processos

Pessoas

Ambiente da Concessionária

Sistemas (HW e SW), Políticas,Processos e Pessoas

Internet

Vulnerabilidades no smart meterRequisitos de segurança em hw:

• Interfaces desprotegidas

• Mecanismos anti-tampering

• Verificação de integridade de

hardware

• Mecanismos anti-engenharia reserva

de hardware

• Ausência de backdoors de hardware

• Mecanismo de controle de falhas em

hardware

Requisitos de segurança em sw:

• Autenticação

• Autorização

• Registro de logs

• Detecção de falhas de software

• Armazenamento seguro de dados

• Inicialização segura

• Suporte à criptografia

• Autenticidade de firmware embarcado

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

Entidades internacionais envolvidas

International

Electrotechnical

Commission

ENERGY

CEN - Comité Européen de Normalisation

CENELEC - Comité Européen de Normalisation Electrotechnique

Ações para mitigar o problema - EUA

NIST - National Institute of

Standards and Technology –

Guidelines for Smart Grid

Cybersecurity

Os documentos descrevem:

• Processos de análise de

risco

• Requisitos de segurança

• Arquitetura segura

• Privacidade

• Análise de classes de

potenciais vulnerabilidades e

seus impactos na

organização

Ações para mitigar o problema - CE

CEN/CENELEC/ETSI

• EC DG-ENERGY – M/490

• SGCG-SGIS Working Group

Ações no Brasil

• Padronização:

• Instituto Nacional de Metrologia, Qualidade e

Tecnologia – INMETRO. RTM 586 - Regulamento

Técnico Metrológico – 2012: RTM de software para

medidor eletrônico de energia elétrica e software

para sistema distribuído de medição de energia

elétrica – 01/11/2012

• Criação do Grupo de Infraestruturas Críticas pelo COMITÊ

GESTOR DE SEGURANÇA DA INFORMAÇÃO do GSI – Gabinete

de Segurança Institucional da Presidência da República -

PORTARIA No - 41, DE 9 DE OUTUBRO DE 2014

• UTCAL (Utilities Telecom Council América Latina) – primeira

reunião do GT de Cybersecurity: 05/08/2015

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

Projetos de P&D com fundo Aneel

Ano Número de projetos Valor (US$ mi)

2009 226 154,50

2010 569 821,59

2011 462 500,00

2012 489 769,23

2013 180 348,84

Total 1926 2.594,16

* Aneel – Relatórios de Gestão do Exercício 2009-2013

Projetos Smart Grid no Brasil*

•Total de empresas elétricas envolvidas com projetos:

• Geração: 21

• Transmissão: 7

• Distribuição: 34

• Número de projetos: 273 de 2008 a 2013

•Total de investimento: ~US$ 575 mi

• Os 10 projetos mais importantes:

* Mapeamento da Cadeia Fornecedora de TIC e de seus produtos e Serviços para Rede Elétricas Inteligentes – ABDI – julho 2014

Distribuição dos projetos em áreas*:

• AMI – Advanced Metering Infrastructure

• DA – Distributed Authomation

• DG - Distributed Generation

• Telecom

• IT – Information Technology

• IB – Intelligent Building

• Smart Grid areas:• DSD - Distributed Storage Systems and

Batteries

• EVH - Electric vehicles, hybrids and loading

systems

• CMS – Customer Management System

• DEMO – Pilot Projects

• Others

AMI DA DG DSD EVH Telecom TI IB CSM Outros

Quant. de projetos Quant. de empresas

* Mapeamento da Cadeia Fornecedora de TIC e de seus produtos e Serviços para Rede Elétricas Inteligentes – ABDI – julho 2014

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

Segurança em projetos Smart Grid no Brasil

• Segurança da informação não é prioridade

nos projetos smart grid no Brasil

• Total de investimento planejado: ~R$ 11 mi

• Somente 5 projetos 100% focado em

segurança da informação

Projetos Segurança Smart Grid no Brasil

1. Gestor de Cyber Segurança Operativa, Cemig, R$ 1.902.026,00, Início: 26/04/2010, 24 meses

2. Segurança Cibernética em Smart Metering, CERON, R$ 1.432.764,24, Início: 16/04/2012, 30 meses

3. Matriz de riscos de segurança da informação em redes SCADA, COELBA, R$ 943.992,48. Possivelmente não executado.

4. Avaliação de Segurança para medidores eletrônicos e de smart metering, ELEKTRO, R$ 3.714.032,93 , Início: 10/2012, 24 meses.

5. Desenvolvimento de uma plataforma de apoio ao programa de segurança cibernética da CEMIG, CEMIG, R$ 2.768.469,91, Início: 17/08/2012, 37 meses.

Atividade de segurança em projetos

• Concessionária:

• Nome: Cidade do futuro

• Cidade: Sete Lagoas

• Número de unidades consumidoras: 5000

• Duração: 2011 - 2014

Projeto Smart Grid Cemig

Escopo técnico• Medição

• Automação distribuída

• Geração distribuída

• Telecom

• TI

• Georeferenciamento

Escopo estratégico• Regulatório

• Comunicação e

relacionamento com o

consumidor

• Privacidade

• Processos

• Indicadores e métricas

Projeto Smart Grid Cemig

Escopo técnico• Medição

• Automação distribuída

• Geração distribuída

• Telecom

• TI

• Georeferenciamento

Escopo estratégico• Regulatório

• Comunicação e

relacionamento com o

consumidor

• Privacidade• Processos

• Indicadores e métricas

Avaliação de segurança para medidores - Elektro

• Nome: Avaliação de segurança em medidores

eletrônicos e smart metering

• Cliente:

• Patrocinador: Fundo Aneel

• Período: de setembro de 2012 a dezembro de 2014

• Totalmente executado pelo CPqD

Avaliação de segurança para medidores - Elektro

Meta 1Metodologia de Avaliação de

Segurança em Medidores

Meta 2Estabelecimento do Laboratório

de Certificação de Segurança em

Medidores

Meta 3Análises e Testes de Segurança

e Confiabilidade em Medidores

E1: Levantamento do

estado da arte em

segurança de medidores

E2: Especificação do

ambiente de testes

E3: Metodologia para

avaliação de segurança em

medidores

E1: Testes de segurança em

medidores

E2: Testes de confiabilidade em

medidores

E3: Desenvolvimento de

protótipo de software

E1: Contextualização do

Laboratório

E2: Operacionalização do

Laboratório

E4: Transferência de

conhecimento

Avaliação de segurança para medidores

eletrônicos e de smart metering

Agenda

Ameaças e vulnerabilidades em Smart Grid

Ações para mitigar o problema

Projetos Smart Grid no Brasil

Segurança em projetos Smart Grid no Brasil

Comentários finais

Comentários finais

• Smart grid = + automação + conectividade

=> + vulnerabilidades (hw/sw) => necessidade de

certificação de segurança para Smart Grid

• Comparação com veículos conectados:

FIAT CHRYSLER CONVOCA 1,4 MILHÃO DE

CARROS PARA RECALL – Na sexta-feira (24), o

valor das ações da Fiat Chrysler Automobiles (FCA)

caiu mais de 2%. Auto Sport 27/07/2015https://www.youtube.com/watch?v=MK0SrxBC1xs

JEEP CHEROKEE TRAILHAWK

Comentários finais

• Smart grid = + automação + conectividade

• => + vulnerabilidades (hw/sw) => necessidade de

certificação de segurança para Smart Grid

• Nos últimos anos cresceu o número de hackers

especializados em ataques à infraestruturas críticas,

principalmente por motivações políticas

According to the U.S. Department of Homeland Security’s Industrial Control Systems

Computer Emergency Response Team, 53% of reported cybersecurity incidents in the first

half of 2013 were related to the energy industry.

Comentários finais

• Smart grid = + automação + conectividade

• => + vulnerabilidades (hw/sw) => necessidade de

certificação de segurança para Smart Grid

• Nos últimos anos cresceu o número de hackers

especializados em ataques à infraestruturas críticas,

principalmente por motivações políticas

• Observa-se uma maior preocupação das

concessionárias com o tema segurança da informação e

comunicação

• Caberia uma ação Governo + Concessionárias + ICTs a

proposição de um projeto estruturante em segurança em

Smart Grid e Scada com recursos do fundo Aneel

(projeto Estratégico Aneel, por exemplo)

Comentários finais

• Os smart meters geralmente

foram contruídos sem considerar

os aspectos de segurança da

informação

• 100% dos smart meters

testados apresentaram

vulnerabilidades de sw e hw

• Smart meters, como outros

dispositivos IoT são produzidos

com sistemas embarcados,

portanto mais vulneráveis

Obrigado!

www.cpqd.com.br

José Reynaldo Formigoni Filho

reynaldo@cpqd.com.br

Cel.: (19) 998382321

Fixo: (19) 37057121