Por Eduardo Honorato, Head of OT Cybersecurity LATAM na NovaRed
A digitalização das redes elétricas transformou profundamente a forma como operamos, monitoramos e protegemos infraestruturas críticas. A expansão das subestações digitais, a adoção de redes inteligentes (Smart Grids), a integração entre tecnologias da informação (TI) e tecnologia operacional (OT) e o crescimento do acesso remoto ampliaram significativamente a eficiência do setor. Em contrapartida, aumentaram a superfície de ataque das infraestruturas responsáveis por um dos serviços mais essenciais para a sociedade.
Nesse cenário, a IEC 62351 consolidou-se como a principal referência internacional para a proteção das comunicações utilizadas em sistemas elétricos. Ao padronizar mecanismos de segurança para protocolos industriais críticos, a norma fortalece a interoperabilidade entre equipamentos de diferentes fabricantes, reduz vulnerabilidades cibernéticas e facilita a conformidade com exigências regulatórias cada vez mais rigorosas. Na prática, sua adoção contribui para aumentar a resiliência operacional das infraestruturas críticas, reduzindo o risco de interrupções provocadas por incidentes cibernéticos e reforçando a confiança de reguladores, parceiros e da sociedade na capacidade das organizações de operar de forma segura, contínua e confiável.
Apesar disso, sua implementação continua sendo um desafio para muitas concessionárias e operadores de infraestrutura crítica. O motivo é simples: a maior dificuldade não está na norma, mas na realidade operacional das organizações.
Existe uma percepção equivocada de que aplicar a IEC 62351 significa apenas adicionar novos mecanismos de segurança às redes industriais. Na prática, trata-se de uma transformação muito mais ampla, que envolve arquitetura, governança, processos, pessoas e gestão de riscos.
Em ambientes industriais, a segurança nunca pode ser analisada isoladamente. Enquanto, em contextos corporativos, uma atualização pode ser realizada durante uma janela de manutenção relativamente simples, no setor elétrico qualquer intervenção precisa preservar a continuidade da operação. Uma indisponibilidade inesperada pode comprometer o fornecimento de energia, gerar impactos econômicos relevantes e afetar milhões de pessoas.
Os primeiros desafios surgem justamente da convivência entre tecnologias modernas e infraestruturas construídas ao longo de décadas. Grande parte das instalações ainda opera com equipamentos legados, desenvolvidos antes que os atuais requisitos de cibersegurança se tornassem uma preocupação. Ao mesmo tempo, muitas organizações dependem de protocolos proprietários que não seguem os padrões da IEC 62351, dificultando a comunicação entre equipamentos (interoperabilidade), a realização de auditorias e a evolução da arquitetura de segurança.
Nesses cenários, a substituição imediata dos ativos raramente é uma alternativa viável. O caminho mais seguro passa pela adoção de controles compensatórios, pela modernização gradual da infraestrutura e pela definição de requisitos de conformidade para novas aquisições, permitindo reduzir riscos sem comprometer a disponibilidade dos sistemas.
Outro ponto crítico está na integração de equipamentos de diferentes fabricantes. Ao longo dos anos, concessionárias expandiram suas operações incorporando tecnologias distintas, formando ambientes heterogêneos que nem sempre funcionam de forma integrada. Por isso, realizar testes antes da entrada dos sistemas em operação, com base nas normas IEC 61850 e IEC 62351, é fundamental para identificar incompatibilidades, assegurar que os equipamentos consigam se comunicar corretamente e preservar a confiabilidade da operação.
Há ainda um desafio pouco discutido fora dos ambientes técnicos: a latência das comunicações seguras. A implementação de mecanismos de criptografia e autenticação pode introduzir processamento adicional em aplicações que exigem comunicação em tempo real. Em ambientes onde poucos milissegundos podem fazer diferença para a proteção e automação do sistema elétrico, segurança e desempenho precisam ser projetados de forma integrada. Isso exige uma infraestrutura adequada, equipamentos preparados para suportar os requisitos da norma e uma arquitetura de rede capaz de priorizar o tráfego crítico sem comprometer a operação.
No entanto, os maiores obstáculos para a implementação da IEC 62351 nem sempre são tecnológicos, mas organizacionais.
Ainda é comum encontrar profissionais de operação e engenharia que enxergam a cibersegurança como um obstáculo à continuidade operacional, o que gera resistência à adoção de novos controles. Soma-se a isso a escassez de profissionais especializados em segurança OT e a dificuldade de justificar investimentos preventivos quando a organização ainda não vivenciou um incidente de grande impacto. Essa visão limitada sobre o retorno do investimento (ROI) ignora que, em infraestruturas críticas, o maior custo costuma estar justamente na indisponibilidade da operação, e não na implementação dos controles de segurança.
Além dos desafios relacionados a investimentos e governança, a manutenção da conformidade ao longo do tempo também representa um obstáculo importante. Inventários desatualizados de ativos, documentação fragmentada e ausência de auditorias periódicas dificultam a identificação de vulnerabilidades, comprometem a gestão de certificados digitais e dos controles de acesso e aumentam o risco de não conformidade regulatória. Segurança não é um projeto com início, meio e fim. É um processo permanente de monitoramento, atualização e melhoria contínua.
A adoção da IEC 62351 também precisa respeitar a maturidade operacional de cada organização. Em vez de tentar proteger toda a infraestrutura simultaneamente, uma estratégia mais eficaz consiste em priorizar os ativos mais críticos e expandir gradualmente os controles para os demais ambientes. Essa abordagem reduz riscos durante a implantação, preserva a continuidade operacional e permite que as equipes amadureçam seus processos de segurança ao longo do tempo.
As organizações que mais avançaram nessa jornada adotaram práticas semelhantes. Em vez de tratar a cibersegurança como responsabilidade exclusiva da TI, criaram comitês multidisciplinares integrando operação, engenharia, TI, jurídico e compliance para fortalecer a governança das infraestruturas críticas. Também estabeleceram políticas corporativas baseadas na IEC 62351 como referência para novos projetos e aquisições, passaram a utilizar gêmeos digitais (digital twins) para validar mudanças antes da implantação em produção e intensificaram o relacionamento com fabricantes, universidades e centros de pesquisa para acelerar a adoção de novas tecnologias e o desenvolvimento de soluções voltadas à cibersegurança energética.
Proteger o setor elétrico vai muito além de atender aos requisitos de uma norma. Significa construir uma cultura de resiliência operacional capaz de integrar tecnologia, governança e pessoas em torno de um mesmo objetivo: garantir a continuidade dos serviços essenciais.



