Não identifiquei nos documentos publicados no site da ANEEL

Prezados Srs,
Não identifiquei nos documentos publicados no site da ANEEL referencias a questões
de segurança cibernética, porém no exterior vários documentos já foram publicados
sobre o assunto, envolvendo questões de privacidade, arquitetura e estratégia de
segurança. Por exemplo, o perfil de consumo de energia de um consumidor é uma
informação privada e só deve ser divulgada a terceiros pela distribuidora após o
consentimento deste usuário.
A integração da tecnologia da informação e das redes de telecomunicações é essencial
para a construção do ambiente de Smart Grid, porém introduzem a complexidade, as
interdependências, os riscos e as vulnerabilidades associados. Esta inovação deve ser
concebida e desenvolvida de acordo com os requisitos de segurança cibernética desde o
inicio, de forma a entrar em uso já com a proteção adequada, uma vez que se sabe que
as ameaças são diversas e inevitáveis. Entre as ameaças já previstas posso citar: hackers,
vírus, espionagem, terroristas, crime organizado, competidores na indústria,
funcionários insatisfeitos, erro humano por falhas de treinamento ou comprometimento,
desperdício devido ao mau uso, etc. O acréscimo posterior da infraestrutura de proteção
é frequentemente inviável e de alto custo.
Recomendo acrescentar no Art 8° o parágrafo:
V. A coleta de dados remota deve ter proteção, com processo de autenticação,
autorização e criptografia na comunicação, para prevenir o acesso indevido de terceiros
às informações do perfil de consumo dos usuários sem o seu consentimento, garantindo
assim a sua privacidade.
Referencias:
a)
NIST National Institute of standards and Technology http://csrc.nist.gov/index.html
NISTIR 7628 Guidelines for Smart Grid Cyber Security: Vol 1, Smart Grid Cyber
Security Strategy, Architecture, and High-Level Requirements, August 2010
NISTIR 7628 Guidelines for Smart Grid Cyber Security: Vol 2, Privacy and the
Smart Grid , August 2010
NISTIR 7628 Guidelines for Smart Grid Cyber Security: Vol 3, Supportive
Analyses and References, August 2010
b)
Department Of Energy – USA Government
Data access and privacy issues related to Smart Grid technologies, October 2010
c)
ABNT / ISO 27001 e 27002 – Tecnologia da Informação – Código de prática
para a gestão da segurança da informação
d)
NERC-CIP “Critical Infrastructure Protection – Normativo do setor elétrico
norte-americano
e)
SANS (SysAdmin, Audit, Network, Security) Institute – 20 Critical Security
Controls for Effective Cyber Defense – November 2009 - http://www.sans.org/
Atenciosamente,
Lucia Lobel, MsC
------------------------------------------------------------------ISO 27001 Lead Auditor
PMP - Project Manager Professional
------------------------------------------------------------------ONS/GIT - Segurança em Tecnologia da Informação
tel: + 55 21 2203 9745 - cel: (21) 8106-8420
[email protected]
A presente mensagem pode conter informações confidenciais e/ou privilegiadas, sendo seu sigilo protegido por
lei. Quaisquer informações e/ou documentos nela contidos são destinados exclusivamente a seu(s)
destinatário(s) acima identificado(s). Caso você não seja um dos destinatários da mensagem, notificamos que a
divulgação, retenção, disseminação, distribuição ou cópia de seu conteúdo é proibida.