XXII SNPTEE

XX
SEMINRIO NACIONAL
DE PRODUO E
TRANSMISSO DE
ENERGIA ELTRICA

BR/GTL/09
13 a 16 de Outubro de 2013
Braslia - DF

GRUPO - XV
GRUPO DE ESTUDO DE SISTEMAS DE INFORMAO E TELECOMUNICAO PARA SISTEMAS
ELTRICOS - GTL

DESAFIOS DA SEGURANA CIBERNTICA NAS SUBESTAES DE ENERGIA

Carlos Oliveira
SEL

Ricardo Abboud
SEL

RESUMO
O avano da aplicao da norma IEC 61850 nos projetos de subestaes, a presena de redes Ethernet na rea de
energia eltrica cresceu exponencialmente na ltima dcada. Contudo em termos de segurana ciberntica, os
projetos de subestaes normalmente empregam
empregam apenas medidas perimetrais como roteadores e firewalls. Tais
equipamentos no garantem totalmente a segurana da rede uma vez que estes podem ser configurados
erroneamente e apresentam pouca, quando nenhuma, eficcia para detectar e impedir invases originadas
o
internamente. Um controle rigoroso de controle de acesso necessrio, porm tal abordagem requer uma
metodologia dinmica e integrada a um sistema de autenticao centralizado.
PALAVRAS-CHAVE
IEC 61850, segurana ciberntica,, defesa em profundidade,
profun
Firewall, LDAP
1.0 - INTRODUO
Ao escutarmos a expresso ameaa ciberntica comum a relacionarmos figura de um hacker, ou seja, um
adolescente que domina sistemas computacionais com intuito de invadir sites e redes de grandes corporaes por
diverso.
rso. Porm esta no mais uma realidade no mundo atual. As invases atuais so arquitetadas por grupos
organizados, geralmente patrocinados por governos ou empresas com o intuito de causar danos materiais, roubo de
informaes sigilosas ou at mesmo, aes
a terroristas.
At o final da dcada de 90, os sistemas de automao de energia eltrica no compartilhavam da preocupao
com tal ameaa. O cenrio da automao de subestaes nesta poca era, em sua grande maioria, baseada em
comunicaes totalmente isoladas
oladas e normalmente utilizando canais seriais. Atualmente vivemos uma realidade
totalmente diferente. Com o avano da aplicao da norma IEC 61850, os sistemas de automao de subestaes
de energia eltrica esto cada vez mais interligados. A falta de formao
formao tcnica especializada aliada farta
informao disponvel sobre os sistemas eltricos na Internet faz com que os profissionais desta rea comecem a se
preocupar cada vez mais com possveis ameaas cibernticas.
Em 2007, uma pesquisa realizada com diversas empresas em todo o mundo, apontou que no Brasil,
aproximadamente 80% destas j haviam sido vitimas de pelo menos um ataque ao ano (1). Em 2011, a empresa
McAfee publicou um relatrio intitulado de Global

Energy Cyber Attacks: Night Dragon que alertava

al
para diversas
tentativas de ataques a empresas de energia eltrica, gs e leo utilizando ferramentas de administrao remota (2).
Mais recentemente, a McAfee conduziu um estudo por solicitao do Departamento de Energia (DOE) dos Estados
Unidos que apontou uma tendncia de crescimento destas ameaas (3). Isto seria justificado pelo aumento da
exposio, da interconexo e da complexidade das redes de comunicao juntamente com o uso de tecnologias
computacionais existentes e a necessidade emergente de
de cada vez mais automao dos processos.

2.0 - ANLISE DE UM PROJETO:

O: AMEAAS E RECOMENDAES
RECOMEN
O conceito de segurana dentro de um projeto de subestao normalmente nos remete ao conceito de cercas,
cadeados, CFTV, sistemas de alarme e vigias (4). De certo modo esta associao no est errada. Em segurana
Mirim (SP 340), km 118,5 Prdio 11 CEP 13.086-902 Campinas, SP, Brasil
(*) Rod. Campinas Mogi-Mirim
Tel: (+55 19) 3515-2000
2000 Fax: (+55 19) 3515-2011 Email: marketing_br@selinc.com
selinc.com

2
ciberntica existe o termo defesa em profundidade. Esta designao tem origem em uma tcnica militar utilizada
desde a antiguidade. A base principal o emprego de vrias camadas de defesa. Um castelo medieval um bom
exemplo, aonde para uma invaso, era necessrio primeiro atravessar um fosso, no caso de sucesso, ainda existiam
muralhas altas a se transpor e no topo dessas, soldados armados. Se estas barreiras fossem vencidas ainda
existiam vrios muros e portes at que a invaso alcanasse finalmente a sala do trono real. Abstraindo este
conceito para o ambiente da tecnologia de informao, defesa em profundidade o emprego de vrias tcnicas de
proteo dispostas em mltiplas camadas. No caso de um projeto de subestao de energia eltrica, a camada mais
interna de proteo seria justamente a segurana patrimonial ou fsica. Ver Figura 1.
Empresa
Subestao
IED

Equipamentos
Primrios

Figura 1 Mltiplas camadas de proteo em um projeto de subestao.

A Figura 2 descreve um sistema de comunicao desde o controle e superviso local de uma subestao at ao
centro de controle remoto e engenharia de uma empresa. Esta uma arquitetura fictcia, porm representa a
realidade em vrios projetos modernos de subestaes utilizando a norma IEC 61850. Temos todos os IEDs
conectados rede Ethernet atravs de switches gerenciveis.
Neste projeto podemos identificar vrios nveis de proteo e seus principais focos de possveis falhas de
segurana. Eles esto assinalados com crculos numerados de 1 a 4 que sero abordados nos itens de 2.1 a 2.4
respectivamente.

Figura 2 - Arquitetura exemplo de projeto de automao de subestao.

2.1 Enlaces de Comunicao Externa

Os enlaces de comunicao externa so todos os canais disponveis para entrada e sada de informaes de uma
subestao. Eles podem ser infraestruturas de comunicao pertencentes a prpria empresa ou a provedoras de
servios de telecomunicaes. Estes enlaces possuem uma exposio fsica e lgica sendo a porta de entrada de
diversos ataques, alguns principais sero mostrados a seguir.
2.1.1 - Invases e ataques
A proteo mais utilizada contra invases de uma rede o controle de acesso aos recursos e servios da mesma.
Para prover este controle de acesso utilizado o firewall. Uma das origens do nome recorre ao meio
automobilstico onde usado como designao do isolamento utilizado para separar um possvel incndio no motor
do compartimento dos passageiros (6). A segurana do usurio do automvel deve ser priorizada, porm alguns
acessos nesta barreira de proteo devem ser abertos para integrao do controles do carro, tais como, volante,
acelerador, freio, etc. Assim o firewall em uma rede Ethernet, ele deve bloquear todos os pacotes nocivos ao
sistema e liberar somente os pacotes confiveis aplicao. Este controle realizado atravs de regras

3
programadas no firewall, baseadas no fluxo de entrada e sada da comunicao. A principal regra a configurar em
um firewall empregado em uma subestao de energia eltrica , por padro, negar todos os pacotes. Em seguida
sero adicionadas regras para cada servio necessrio de acordo com o projeto de automao.
2.1.2 - Interceptaes
Uma vez invadida uma rede de comunicao, possvel interceptar os pacotes de dados que trafegam nesta. O
ataque denominado de Man-in-the-middle, como o prprio nome sugere, consiste no invasor alocado justamente
dentro do fluxo de informaes entre dois pontos. Por exemplo, em um sistema de automao de energia eltrica
poderia ser entre um IED da subestao e uma estao de engenharia remota. A Figura 3 mostra uma
interceptao de pacotes e como informaes importantes com a senha de acesso do IED so expostas neste
caso.
A descentralizao da tarefas nas empresas e a necessidade de uma rpida resoluo de problemas traz a
necessidade do acesso de colaboradores aos recursos da rede mesmo quando estes esto fora das alocaes
fiscas da empresa. O risco de interceptao neste tipo de acesso remoto muito grande, j que comum o uso da
Internet para este fim devido fcil implantao de uma soluo baseada na comunicao atravs da mesma.

Figura 3 - Exemplo de interceptao de pacotes em um sistema de automao de energia eltrica.

A principal medida preventiva contra a interceptao de informaes em uma linha de comunicao a criptografia
de dados. Criptografia uma palavra de origem grega para escrita escondida. Sua ideia principal codificar uma
mensagem utilizando regras ou smbolos que somente sero conhecidos pelo transmissor e pelo receptor como
ilustrado na Figura 4. Na rea da tecnologia da informao, estas regras ou smbolos so chamadas de chave.
Em um projeto moderno de automao de subestao aconselhvel o uso de VPN (Virtual Private Network) em
todos acessos remotos rede. VPN utilizada para prover uma extenso de uma rede local para outros pontos de
acesso de maneira segura mesmo utilizando meios como a Internet para realizar tal conexo. Existem dois tipos de
VPN: Security e Trusted. A VPN do tipo Security se utiliza de tcnicas de criptografia para criar um canal de
comunicao blindado. Esta tcnica chamada de tunelamento e normalmente emprega protocolos seguros de
rede como o IPsec (Internet Protocol Security). Este protocolo derivado do IP (Internet Protocol), largamente
utilizado nas redes Ethernet, porm pode embaralhar as informaes contidas em seu pacote. A VPN do tipo
Confivel no possui a funcionalidade de criptografia incorporada, mas estabelece que a rota de comunicao
conhecida e controlada.

Figura 4 O invasor no possui a chave de decodificao, logo no consegue interpretar ou modificar de maneira
vlida o comando enviado pelo operador do sistema.

2.2 Plataformas Computacionais

Computadores sempre foram utilizados dentro dos centros de controle de subestaes em ambientes climatizados,
livres de interferncias eletromagnticas ou surtos eltricos. Com a popularizao destes equipamentos, seu custo
tornou-se cada vez mais baixo propiciando o desenvolvimento de computadores mais robustos que poderiam ser
aplicados nos mesmos ambientes agressivos a que os IEDs eram expostos nas subestaes.
Atualmente, os projetos de automao de subestaes consideram o uso de computadores nos diversos nveis da
aplicao. A flexibilidade de desenvolvimento e compartilhamento de funes em plataformas computacionais so
indubitavelmente as grandes vantagens da utilizao das mesmas, porm estas facilidades baseiam-se em sistemas
operacionais de mercado, devido a isto, as mesmas ameaas que convivemos operando computadores pessoais no
ambiente corporativo ou domstico, so passveis nestas plataformas computacionais, descritas a seguir, mas no
limitadas a estas.
2.2.1. Vrus
Em um sistema de automao de subestao as principais preocupaes em se utilizar softwares antivrus residem
basicamente em:
a. Impacto no desempenho da plataforma computacional diante de funes criticas de controle da subestao.
Imagine se uma rotina de autoexame a procura de vrus inicializada no momento de uma manobra de um
circuito impedindo que o operador a concretize;
b. No existem informaes largamente disseminadas sobre a utilizao de softwares antivrus em sistemas
dedicados de automao. As empresas desenvolvedoras de software antivrus possuem seu foco em usurios
domsticos e corporativos;
c. Dificuldade de atualizao constante do software em computadores alocados dispersamente nas subestaes.
A publicao especial do NIST de nmero 1508 (7) apresenta algumas orientaes sobre o uso deste tipo de
softwares no ambiente de automao de processos. Algumas concluses interessantes neste estudo que podem
ser abstradas para a automao de subestaes so:
a. O exame para verificao de vrus sob demanda, ou seja, disparado pelo usurio, tem o maior impacto sobre o
desempenho das tarefas de automao muitas vezes ocupando 100% dos recursos disponveis de
processamento;
b. Por outro lado, o exame para verificao de vrus de tempo-real tem pouco ou nenhum impacto;
c. possvel utilizar softwares antivrus de mercado em plataformas computacionais de automao desde que as
parametrizaes sejam feitas com um foco diferente do comumente utilizado na rea de TI.

2.2.2 - Dispositivos mveis de memria USB

Dispositivos de memria USB so largamente utilizadas em todos os nveis de um sistema de automao de
subestaes. Genericamenteochamadas de Pendrive ou Flashdrive, estes dispositivos so empregados para troca
de arquivos entre plataformas computacionais, atualizao de softwares, etc. Porm so grandes responsveis
pela propagao dos vrus (5). Outra ameaa relacionada o vazamento de informaes confidenciais por parte de
colaboradores mal-intencionados ou no caso de perda ou roubo destas memrias.
muito importante no projeto de um sistema de automao de subestaes de energia eltrica a adoo de
restries ao uso destes dispositivos. Algumas aes preventivas so o bloqueio de uso das interfaces USB nas
plataformas computacionais responsveis pelas tarefas de tempo-real do sistema e adoo de polticas de uso de
Pendrives. Quando o uso destes dispositivos indispensvel, empregar Pendrives dotadas de criptografia,
antivrus embarcados e sistemas de proteo por senha dos dados gravados.
2.2.3 - Vulnerabilidades instantneas
Os softwares antivrus baseiam suas defesas em sintomas e trechos de programao dos vrus conhecidos at o
momento e registrados em uma base de dados interna. Seu comportamento pode ser comparado com uma listanegra (blacklist). Se a solicitao de um determinado aplicativo possui caractersticas similares as presentes nesta
lista, julgada como possvel ameaa. Porm em alguns casos os vrus podem sofrer mutaes, ou seja, adotar
outro modo de operao desconhecido pelo software antivrus e conseguir se inocular no sistema. Isto
considerada uma vulnerabilidade instantnea que denominada de uma ameaa zero-hour (hora zero), tambm
conhecida como zero-day (dia zero) (8). Alm de novos tipos ou mutaes de vrus, tambm se enquadram nesta
classificao as falhas de desenvolvimento de sistemas operacionais ou aplicativos.

Uma ao defensiva contra esta ameaa o emprego de Whitelists. Como o nome sugere, enquanto uma blacklist
uma lista de restries, uma whitelist um conjunto de permisses. Somente as aes, aplicativos e arquivos
definidos nela so passveis de execuo (8). Tudo que no se encontra permitido, por padro, vetado de
execuo.
Outra ao defensiva neste caso o emprego de verses de sistemas operacionais e aplicativos com uma certa
maturidade de mercado, onde todas as vulnerabilidades j foram encontradas e sanadas e que o desenvolvedor
possua um Ciclo de desenvolvimento do sistema (SDLC) bem estruturado. A publicao especial do NIST de
nmero 800-64 (9) apresenta um guia para adequao deste ciclo s necessidades de segurana de sistemas de
automao e controle. Basicamente ele apresenta orientaes relativas preveno de vulnerabilidades na etapa
de desenvolvimento e de como o fornecedor do software deve proceder para mitigar os impactos de alguma falha
detectada quando a verso do produto j foi fornecida aos clientes.
2.2.4 - Controle de acesso
Apesar de serem dotados de sistemas operacionais compatveis com os controladores de acesso presentes no
ambiente corporativo, as plataformas computacionais empregadas no interior das subestaes, normalmente esto
isoladas deste sistema. Ou seja, um colaborador quando deseja alterar uma planilha de custos compartilhada na
sua rede corporativa, tem a sua identidade (login de rede) conferida por um servidor de acesso, porm quando este
mesmo colaborador altera uma configurao em uma IHM ou gateway de comunicao na subestao, ele utiliza
um usurio e senha compartilhado entre vrios colaboradores.
Uma identidade compartilhada viola um dos princpios bsicos do controle de acesso seguro: a Autenticao.
Basicamente a ao preventiva neste caso a integrao de um servidor de acesso e todas as plataformas
computacionais em todos os nveis do sistema de automao de subestaes. Este artigo abordar com mais
detalhes a questo do controle de acesso mais adiante.
2.3 Enlaces de comunicao interna
O alicerce de uma rede de comunicao dentro de uma subestao de energia eltrica de acordo com a IEC
61850 so os switches. Estes equipamentos so elementos concentradores das conexes Ethernet dos diversos
dispositivos da instalao. Existem duas categorias de switches: Gerenciveis e No-Gerenciveis. O primeiro tipo
o mais utilizado nos projetos modernos, pois fornece ao usurio uma srie de funcionalidades e possibilidades
que o segundo tipo no possui. Em um primeiro momento da implantao de projetos de subestao baseados na
norma IEC 61850, muito se preocupou com funcionalidades como VLAN (Virtual LAN) e RSTP (Rapid Spanning
Tree Protocol). Utiliza-se VLAN normalmente para segregar o trfego de pacotes IEC 61850 GOOSE, evitando o
impacto do multicast sobre IEDs que no compartilham do mesmo grupo de automao. J o RSTP importante
medida que temos configuraes que utilizam vrios switches para atender ao nmero total de pontos de redes
solicitados pela aplicao. Novamente, a preocupao com a segurana ciberntica, normalmente no um
requisito do projeto neste nvel.
2.3.1 - Configuraes bsicas
Apesar da principal diferena entre switches gerenciveis e no-gerenciveis ser justamente a capacidade de
configurar diversos aspectos deste equipamento, muito comum encontrar switches em operao nas subestaes
sem qualquer configurao realizada. No caso de uma invaso atravs dos enlaces externos de comunicao, o
invasor utilizar justamente usurio e senha padres para interceptao dos pacotes trafegados ou at mesmo
degradar o desempenho da rede ao ponto de inviabilizar a comunicao na subestao.
A ao defensiva bsica neste caso a configurao de usurios e senhas com diversos nveis hierrquicos de
acesso. muito importante garantir que configuraes sejam criptografadas evitando a quebra de
confidencialidade em possveis interceptaes. Muitos switches gerenciveis fornecem interfaces WEB seguras
(HTTPS) para realizar a configurao dos mesmos, para esta sesso de comunicao so utilizadas tcnicas de
criptografia, importante que as chaves de criptografia possam ser alteradas pelo usurio. Caso a chave de
criptografia seja de conhecimento pblico e no possa ser alterada, ataques podem ser realizados atravs da
interface de configurao do switch, permitindo que toda parametrizao do mesmo seja alterada, abrindo assim
outras possibilidades de ataque.
2.3.2 - Redes com topologia plana
Para comunicao interna em uma subestao, geralmente no existe a preocupao de se utilizar uma topologia
com nveis hierrquicos, ou seja, todos os dispositivos com interface de rede fazem parte da mesma rede lgica
independente das suas funcionalidades. Este arranjo chamado de topologia plana. Esta topologia pode propiciar
algumas falhas de segurana. Na Figura 5, por exemplo, um notebook da equipe de manuteno ligado ao switch
para configurao de um IED, uma IHM ou um concentrador de dados. Porm como o notebook possui um
endereo IP dentro da mesma rede lgica dos demais equipamentos, alm dos aplicativos da manuteno, se o
computador estiver contaminado com algum vrus, este poder se proliferar para os demais elementos da rede.

Figura 5 Em uma rede com topologia plana no existe nvel hierrquico de acesso.

Como normalmente existe um roteador de borda e um firewall para interligao com o enlace externo do sistema
de automao da subestao, interessante criar tambm rotas e regras para a rede interna de comunicao.
Desta forma somente a portas realmente necessrias aos aplicativos da manuteno sero disponibilizadas na
rede. Na Figura 6, tomando como base a rede mostrada na Figura 5, temos liberadas somente as portas de
servios realmente utilizados na aplicao. Por exemplo, SSH (porta 22), HTTPS (porta 443) e RDP (porta 3389). O
notebook obrigatoriamente ser configurado para uma rede lgica diferente das dos demais dispositivo da rede, o
acesso no ocorre mais de maneira direta e no supervisionada. Caso um software mal-intencionado esteja
instalado no notebook de manuteno, ele ser bloqueado pelas regras do firewall e pelas rotas.

Figura 6 Uma rede com topologia no plana confere um maior nvel de segurana.
2.4 - IED
O IED o dispositivo mais prximo dos equipamentos de ptio de uma subestao. Este pode ser um rel de
proteo multifuncional ou um controlador de bay por exemplo. Em uma concepo de defesa em profundidade, esta
seria a ltima camada para evitar que uma ameaa ciberntica evolua para uma atuao catastrfica no sistema
eltrico. Em uma primeira anlise, os projetos modernos de subestao no se preocupam com os aspectos de
segurana da informao neste nvel.
2.4.1 - Controle de acesso
Senhas de acesso so uma importante medida de segurana. Uma senha bem estruturada a melhor defesa contra
invases de sistemas (11). A Tabela 1 mostra a comparao do tempo necessrio para se decodificar uma senha
baseado em uma comunicao serial de 57600 bps para diferentes IEDs. A regulamentao NERC-CIP requer que
as senhas utilizadas em todos os dispositivos e sistemas envolvidos na automao de subestaes possuam pelo
menos seis caracteres combinando letras, nmeros e caracteres especiais (por exemplo, @, #, ?, etc.) e que esta
senha seja modificada anualmente ou com menor frequncia (11). Contudo a senha apenas uma parte quando
discutimos a questo de controle de acesso que possui trs princpios bsicos: Autenticao, Autorizao e
Auditoria.
Autenticao a validao do usurio, isto , uma conferncia de sua identidade dentro do sistema. Normalmente
protegida por uma senha, cartes criptografados, leituras biomtricas, etc. Autorizao um conjunto de
permisses que uma dada identidade recebe no sistema, ou seja, o que o usurio pode fazer
no sistema. Finalizando, a auditoria a possibilidade de rastreamento de todas as aes do usurio assim que
autenticado no sistema. Nos sistemas de automao de subestaes de energia eltrica, estes conceitos so
ausentes ou deficitrios. A autenticao at existe, porm as senhas so compartilhadas entre vrios colaboradores
o que prejudica ou at mesmo invalida a auditoria. A autorizao presente em alguns modelos de IEDs,
diferenciando vrios nveis de acesso. Porm como a senha foi compartilhada, a autorizao tambm ser.
Tabela 1 Comparao dos padres de senha de diferentes IEDs e qual o tempo necessrio para descobrir a
senha utilizada.
Caracteres
possveis

Tamanho
da senha

Nmero de
combinaes

Tempo para descobrir

a senha

7
Dispositivo 1
Dispositivo 2
Dispositivo 3
Dispositivo 4
Dispositivo 5
Dispositivo 6

90
10
10
26
14
2

6
10
6
4
4
3

537 Bi
11 Bi
1M
475 K
41 K
14

18 anos
201 dias
17 minutos
5 minutos
27 segundos
4 milissegundos

Exigir um sistema complexo de controle de acesso no nvel dos IEDs pode ser desproposital, em funo da
aplicao totalmente dedicada destes dispositivos. Outro empecilho na implantao deste sistema que os enlaces
externos nem sempre dispe de grandes larguras de banda. Existem alguns dispositivos que atuam como
gerenciadores de acesso aos IEDs e empregam o protocolo LDAP (Lightweight Directory Access Protocol) para
conexo com os servidores de autenticao centralizado. O LDAP implementado na maioria dos sistemas
operacionais utilizados em servidores de autenticao. Deste modo o colaborador pode utilizar a sua mesma
identidade requerida quando acessa seu computador pessoal no escritrio para, por exemplo, trocar um ajuste de
um rel de proteo na subestao. Adicionalmente existem dispositivos capazes de realizar simultaneamente as
funes de gerenciamento de senhas, roteador e firewall, a Figura 7 ilustra a utilizao de tais dispositivos e o
conceito do gerenciamento de senhas centralizado.

Figura 7 Conceito de gerenciamento de senhas centralizado

Estes dispositivos so capazes de gerenciar e controlar as senhas de acesso corrente aos IEDs utilizando requisitos
de segurana como senhas complexas e alteraes peridicas das mesmas, a Figura 8 exemplifica o processo. As
alteraes de senhas so comunicados ao administrador do sistema atravs de relatrios.

Figura 8 Mecanismo de alterao automtica de senhas.

Alm de o colaborador necessitar da memorizao de apenas uma senha para vrios tipos de atividade, existem
outras vantagens como:
a. Restrio de acesso a determinados IEDs baseado em regras de grupos de acesso. Por exemplo, integrantes do
grupo de manuteno poderiam acessar integralmente a parametrizao dos IEDs enquanto que um grupo de
monitoramento seria permitido apenas a leitura de relatrios;
b. Controle de todas as aes dos colaboradores no sistema de automao de subestaes, uma vez que para
qualquer ao, estes devem ser autenticados no servidor centralizado;
c. Aumento da segurana no nvel dos IEDs, j que a senha de acesso a estes no precisa ser compartilhada entre
todos os colaboradores.

3.0 - CONCLUSO
Questes de segurana ciberntica no atingem mais somente o ambiente TI. Os resultados de uma invaso

8
ciberntica em sistemas de automao de subestaes podem ser catastrficos. Regulamentaes existentes nos
Estados Unidos e tendncias de adoo na Unio Europeia enfatizam a importncia de adoo de medidas
preventivas nos projetos de subestaes modernas. Algumas aes abordadas foram:
a. Utilizao de criptografia em todos os enlaces externos;
b. Emprego de roteadores e firewalls tanto para enlaces externo quanto para internos, evitando assim o emprego
de redes de topologia plana;
c. Software antivrus tambm so necessrios em todas as plataformas computacionais porm suas configuraes
devem ser readequadas para este fim;
d. Polticas de uso de memrias USB e emprego de whitelist em computadores com tarefas de tempo-real;
e. Desabilitao de portas ociosas nos switches;
f. Sempre utilizar senhas com pelo menos 6 caracteres contendo letras, nmeros e caracteres especiais para todos
os dispositivos no sistema;
g. Utilizao de sistemas de controle de acesso centralizado propiciando autorizao, autenticao e auditoria de
maneira abrangente, incorporando funcionalidades de roteador e firewall.

4.0 - REFERNCIAS BIBLIOGRFICAS

(1) AMIN, Massoud e Giacomoni, Anthony M.. Smart Grid Safe, Secure, Self-Healing, artigo publicado pela revista
IEEE Power & Energy de janeiro/fevereiro de 2012.
(2) LIU Cheg-Ching e outros. Intruders in the Grid, artigo publicado pela revista IEEE Power & Energy de
janeiro/fevereiro de 2012.
(3) CRAIG JR, Philip A. e MCKENNA JR, Thomas P.. Technology Security Assessment for Capabilities and
Applicability in Energy Sector Industrial Control Systems, relatrio publicado pela McAfee em maro de 2012
(4) EWING, Chris. Engineering Defense-in-Depth Cybersecurity for the Modern Substation, artigo publicado pela
Schweitzer Engineering Laboratories, Inc. em 2010
(5) SCHWEITZER III, Edmund O. e outros. How Would We Know?, artigo publicado pela Schweitzer Engineering
Laboratories, Inc. em 2011
(6) ANDERSON, Dwight e KIPP, Nathan. Implementing Firewalls for Modern Substation Cybersecurity, artigo
publicado pela Schweitzer Engineering Laboratories, Inc. em 2010
(7) FALCO, Joe e outros. Using Host-Based Antivirus Software on Industrial Control Systems: Integration Guidance
and a Test Methodology for Assessing Performance Impacts, NIST Special Publication 1058 em setembro de 2006
(8) ANDERSON, Dwight. Increase Security Posture With Application Whitelisting, artigo publicado pela Schweitzer
Engineering Laboratories, Inc. em 2011
(9) KISSEL, Richard e outros. Security Considerations in the System Development Life Cycle, NIST Special
Publication 800-64 em outubro de 2008
(10) CSSP (Control Systems Security Program) ICS-CERT (Industrial Control Systems Cyber Emergency Response
Team) endereo eletrnico http://www.us-cert.gov/control_systems/ics-cert/
(11) ANDERSON, Dwight e LEISCHNER, Garrett. Cybersecurity as Part of Modern Substations, artigo publicado
pela Schweitzer Engineering Laboratories, Inc. em 2007