A dimensão e reconhecimento da EDP enquanto marca internacional fazem da empresa um chamariz muito apetecível para ciberataques, e o facto de gerir e operar uma infraestrutura crítica, a rede de eletricidade, adiciona ainda uma camada de risco que os responsáveis da TI da EDP conhecem bem e com a qual convivem diariamente.

“A nossa preocupação passa por garantir a segurança da rede elétrica e dos dados dos clientes”, explica Vergílio Rocha, diretor corporativo de sistemas de informação da EDP, lembrando que a empresa tem mais de 6 milhões de clientes e que presta um serviço público, garantindo o fornecimento de eletricidade num mercado liberalizado, onde existe maior concorrência e num cenário global onde os ciberataques  são cada vez mais sofisticados.

A par com um investimento em Tecnologias da Informação e inovação que a empresa tem feito, e que teve alguns traços de pioneirismo no mercado das utilities - com o abandono da lógica de mainframes e a migração de aplicações não críticas para a cloud - o investimento em segurança faz parte das prioridades, e por isso a EDP traçou uma estratégia de atingir um nível de segurança end-to-end, numa caminhada longa mas que Vergílio Rocha admite que tem acontecido de forma rápida, existindo ainda algumas fases a completar até 2020.

Em entrevista ao TeK, o diretor corporativo de sistemas de informação da EDP explica que os ataques à segurança das empresas podem ser de diversos perfis, desde um hacker que tenta explorar uma vulnerabilidade na rede através de um equipamento terminal usado por um colaborador até ao tipo de ataques mais sofisticados, a centrais e postos de transformação, sem esquecer naturalmente as potenciais vulnerabilidades de dentro, que podem surgir por um colaborador ou prestador de serviços conseguir acesso a informação privilegiada.

Contextos de soluções na Cloud e da Internet das Coisas, com smartmeters e contadores inteligentes a chegarem a casa dos clientes, criam “novos desafios, mas não desafios diferentes”, até porque Vergílio Rocha garante que todos os cenários estão abrangidos na mesma visão e estratégia de ponto a ponto que a empresa desenvolveu. “Até hoje não houve de facto nenhum problema com um ataque de impacto na EDP”, admite, garantindo porém que isso não faz com que a empresa esteja descansada, mantendo um nível de alerta permanente. “De forma inteligente procuramos encontrar mecanismos para defender a rede elétrica e prestar serviços à comunidade”, justifica.

Um centro para testar a ciberguerra

Dentro da estratégia o recém inaugurado cyber range tem mais uma vez um papel pioneiro, em Portugal e na Europa, ao criar um ecossistema de treino e testes em cibersegurança para preparar operadores de infraestruturas críticas para responderem a situações de ciberataque, definindo procedimentos e modelos de comunicação entre as várias equipas para dar resposta a estas situações.

Os colaboradores são confrontados com situações que tentam replicar os potenciais perigos nas suas áreas, e têm de dar resposta no mais curto espaço de tempo possível, evitando a potencial quebra de serviço.

A aprendizagem é realizada em ambiente de jogos de ciberguerra, onde existe uma Red Team que assume o papel de atacante, enquanto as Blue Teams tratam da defesa das infraestruturas, em colaboração entre as áreas operacionais e técnicas. O sucesso da defesa depende da capacidade de detetar os ataques, que podem ser de diferente natureza, da forma mais rápida e em articulação entre as várias áreas.

Este centro foi desenhado e construído à imagem da realidade da EDP, e Paulo Moniz, diretor de segurança da informação e responsável pelo Centro, explica ao TeK que a grande diferença que torna o cyber range da EDP único face a outros cyber ranges comuns, é que se trata de uma infraestrutura com componentes reais, como os PLC (program logical controler), idênticos aos utilizados nas infraestruturas em operação no Grupo EDP.

O centro é composto por várias salas e está localizado no centro de cibersegurança, junto ao Security Operation Control onde são geridas as operações relacionadas com a cibersegurança, que o TeK visitou a convite da EDP.

O objetivo é formar neste centro cerca de mil colaboradores, gradualmente, e até agora já foram realizados duas ações de ciberguerra, que foram recebidas de forma muito positiva pelos participantes, como explicou ao TeK Pedro Rodrigues, que é responsável operacional pelo centro.

O centro foi desenvolvido com uma empresa israelita, a CyberGym, que é uma spinoff da elétrica de Israel, e não há nota de que existam centros semelhantes na Europa. “Temos a presunção de que fizemos algo que outros farão a seu tempo, mas temos pelo menos dois anos de avanço neste processo”, explica Vergílio Rocha.

Também por isso a empresa já colocou o Centro à disposição de várias entidades, e em Novembro o centro vai também ser palco de alguns exercícios no âmbito do exercício de cibersegurança Ciber Perseu, desenvolvido com o exército, que normalmente recorre a cyber ranges virtuais, sem a especificidade e o ambiente quase real do centro da EDP.

Uma visão a longo prazo

Com um trabalho de longa data na área da segurança, a EDP tem traçadas as metas estratégicas que quer atingir até 2020, garantindo uma cobertura de segurança para as infraestruturas, os mais de 12 mil colaboradores internos e os mais de 6 milhões de clientes.

Paulo Moniz explica que a estratégia tem várias fases, e que se centra na sensibilização para os temas de segurança a nível interno, preparando os colaboradores para saberem identificar e reagir a situações anómalas, mas que se estende também aos fornecedores e a todo o ecossistema, de forma a alargar o perímetro de segurança e melhorar os ratings.

Uma fase que já está a ser trabalhada e que se estende no futuro é a área de prediction, de previsão e antecipação, recorrendo a big data e machine learning para recolher eventos, correlacioná-los, detetar padrões e lançar alertas.

O objetivo é atingir a segurança end-to-end, com uma dimensão geográfica e operacional, com uma disseminação temporal, abrangendo todo o percurso das aplicações desde o início da definição dos processos de negócio até à sua implementação, numa ligação muito estreita com as áreas de negócio.

Ao mesmo tempo a empresa tem em desenvolvimento o Mapa de Risco, um projeto abrangente que quer traçar os riscos operacionais que é muito baseado nas Tecnologias da Informação.