Baseado em artigo da eweek.com
A conferência anual Black Hat tornou-se a maior e mais importante conferência sobre segurança da informação no mundo por aderir a um valor importante: servir a comunidade de segurança, através da apresentação em tempo, de informação em uma forma amistosa e em um ambiente neutro comercialmente. A Black Hat de 2009 aconteceu de 25 a 30 de julho.
Dois pesquisadores da área de segurança chamaram a indústria da eletricidade a prestarem bastante atenção para a segurança na tecnologia smart grid enquanto os EUA moderniza sua infra-estrutura de energia. Em apresentações separadas na conferência Black Hat, os pesquisadores Mike Davis e Tony Flick apresentaram o que a indústria da energia está fazendo para tornar-se segura.
“Muitos dos problemas de segurança que estão surgindo são do tipo assustador, e queremos promover a ideia de rever mais a segurança, de uma engenharia de segurança mais generalizada, auditorias de código fonte, todo o tipo de trabalho de segurança tem de se aplicar a esses medidores, assim como eles se aplicam a todo o restante de serviços de informação”, disse Davis, consultor sênior de segurança da IOActive.
O chamado por melhor segurança vem três meses após divulgação de relatórios de ataques às redes de energia dos EUA. Na sua apresentação Davis identifica vulnerabilidades que ele e seu time de pesquisadores na IOActive descobriram nas plataformas de medidores inteligentes.
“Normalmente o smart grid não teria muito a ver com segurança por ser um sensor de rede estúpido”, disse Davis. “O problema é que vários dos fabricantes de medidores estão colocando muito esforço em adicionar funcionalidades inteligentes que acreditam que várias das empresas de energia vão desejar. Por exemplo, a idéia que mais nos preocupa é a de que eles estão adicionando relés em vários desses medidores – basicamente com a habilidade de o medidor desligar-se ou religar-se baseado em um comando remoto do escritório central da empresa de energia.”
“Esse tipo de ideia que eles estão permitindo é para que se um consumidor não pagar sua conta de energia, as empresas podem desconectá-lo e então quando ele pagar sua conta a empresa pode reconectá-lo imediatamente, ninguém precisaria esperar… é aí a grande importância que esses medidores terão como um alvo”, ele adicionou.
Assim como Davis, Flick conclue que é necessário mais segurança na construção das iniciativas e tecnologias smart grid. Usando o plano da cidade de Miami de tornar toda sua infra-estrutura uma rede inteligente em 2011 como ponto de partida, ele discutiu o desenvolvimento de padrões para a segurança da tecnologia smart grid.
O NIST (National Institute of Standards and Technology), o Inmetro americano, tem um plano de três etapas para desenvolver padrões para a tecnologia, mas Flick afirma que os padrões enfrentarão os mesmos problemas de segurança encontrados nos cartões PCI-DSS (Padrão de Segurança da Indústria de Cartões de Pagamento – na sigla em inglês) – particularmente se as organizações deixarem de se policiar. No final, a segurança precisa ser uma preocupação em projetos de smart grid do começo ao fim, ele adicionou.
Aqui no Brasil a instalação das redes inteligentes ainda está no seu começo, com projetos isolados de instalação de medidores eletrônicos realizados por algumas empresas de energia. Enquanto a ANEEL (Agência Nacional de Energia Elétrica) não decidir quais funcionalidades mínimas esses medidores devem ter e como a instalação desses medidores será custeada e esses investimentos reconhecidos na tarifa, a instalação em massa não ocorre. No entanto é importantíssimo levarmos em conta a mesma preocupação, qual seja, a segurança no tráfego de informações nessas redes de medidores inteligentes.
Para informações adicionais sobre essa conferência e sobre as apresentações do Flick e do Davis visite o web site Black hat.
