Automação e inteligência para projetos de energia mais eficientes, seguros e sustentáveis

Insights

  • Como funciona um PPA corporativo e quais suas vantagens?

    1. O que é um PPA?

    Um PPA é um Contrato de Compra de Energia (PPA – Power Purchase Aggrement) de longo prazo, geralmente de energia renovável, entre um gerador de energia e um consumidor. Os PPAs estão se tornando comuns em vários países, sendo adotados por grandes consumidores de energia. No Brasil adquire características locais devido a legislação e regulamentação do setor de energia.

    1. Como funciona um PPA?

    Um projeto de PPA envolve, no mínimo duas partes, que se comprometem a investir em um empreendimento de geração de energia, tipicamente renovável. Uma empresa do setor de energia com capacitação e autorização para desenvolver, implantar e operar uma planta de geração busca grandes consumidores de energia para financiar, total ou parcialmente, o empreendimento oferecendo como vantagem preços estáveis de energia ao longo de 10-20 anos.

    1. Quais as vantagens para o gerador de energia em um PPA?

    Dependendo da negociação do PPA, o gerador de energia pode conseguir os recursos financeiros totais para a construção da planta de energia, sem precisar recorrer a financiamentos bancários ou conseguir um contrato de longo-prazo de venda de energia para um grande consumidor antecipado que sirva de garantia para a tomada de empréstimos bancários com juros menores.

    1. Vantagens para o consumidor de energia em um PPA?

    A principal vantagem para o comprador de energia em um PPA são a garantia do fornecimento de energia dentro das quantidades compradas a um preço compatível com o seu negócio, portanto previsível, no longo-prazo. Esta vantagem se potencializa em mercados onde as receitas futuras são duvidosas, provocadas por exemplo por cenários políticos e econômicos incertos.

    Uma situação típica para contratar um PPA é quando uma empresa planeja construir uma nova unidade fabril e precisa garantir o retorno do investimento do projeto no longo-prazo. Nestes casos, é importante fixar determinador valores de insumos para as análises técnico/econômicas. Fixar o preço da energia, que em muitos casos é uma das principais despesas operacionais, é fundamental para a viabilização do projeto.

    1. Cenário regulatório no Brasil para PPAs

    O Brasil tem um marco regulatório favorável a PPAs. Para plantas de minigeração de energia renovável até 5MW, a resolução normativa n˚ 687/2015 (atualização da resolução normativa n˚ 482/2012), permite a geração com potência instalada superior a 75KW e menor ou igual a 3MW para fontes hídricas e menor ou igual a 5MW para fontes renováveis (fotovoltaica, eólica, biomassa e cogeração qualificada). A resolução permite a formação de consórcios e cooperativas para a construção e operação do empreendimento, tanto na modalidade on-site como remota com múltiplas unidades consumidoras, desde que na mesma área de concessão da distribuidora de energia. A lei n˚ 14.300/2022, consolida o marco legal da microgeração e minigeração distribuída, o sistema de compensação de energia elétrica (SCEE) e o Programa de Energia Renovável Social (PERS).

    Para geração de energia acima de 5MW, é necessária uma outorga da ANEEL de concessão e autorização de geração de energia. Para tanto, deve ser encaminhada solicitação para a ANEEL com documentação técnica completa do empreendimento, certidões, contrato social, contrato de constituição de consórcio, responsável técnico e outras informações.

    Neste caso, a planta pode estar localizada em qualquer região do país com conexão ao SIN (Sistema Interligado Nacional) que permite o uso da energia produzida em qualquer outro ponto do país. Para a transmissão de energia existe a tarifa de uso de serviços de transmissão (TUST) que varia e impacta o custo final do preço da energia.

    1. Como desenvolver um projeto PPA?

    O desenvolvimento de um projeto PPA não é trivial, nem para quem vende nem para quem compra.

    Para quem vende, deve possuir uma equipe capacitada para buscar a melhor localização da planta, realizar estudos de impacto ambiental e obter o certificado ambiental, desenvolver o projeto técnico, submeter o projeto a aprovação da outorga da ANEEL e acesso a recursos financeiros para o desenvolvimento do empreendimento.

    Para quem compra, deve ter uma clara estratégia de negócios de longo prazo, analisar as características de consumo de energia (demanda, modularidade e sazonalidade), ter um processo maduro de avaliação de risco, incluindo avaliação dos fornecedores e análise de viabilidade técnico/econômico. Além de avaliar os impactos tributários e ambientais.

    Como se pode notar, a contratação de um PPA de energia não é apenas uma questão de preço da energia no longo-prazo, mas o desenvolvimento de um negócio compartilhado entre gerador de energia e a empresa consumidora.

    Tanto para geradores como para consumidores é recomendável a contratação de uma consultoria especializada para definir o modelo de negócios de forma agnóstica e buscando a transparência nas negociações.

    1. Conclusão

    O PPA é um modelo de contrato de energia em longo prazo, tipicamente de energia renovável, realizado entre o gerador de energia e o consumidor com diretrizes claras de compra e venda de energia. O foco dos PPAs é de contratos para grandes consumidores de energia. Existem vantagens tanto para vendedores como para compradores. A legislação e a regulamentação do setor de energia no Brasil permitem contratos PPAs com garantia jurídica. O desenvolvimento de um PPA exige experiência do gerador de energia e visão estratégica de negócios do comprador. Uma forma de mitigar riscos é a contratação de uma consultoria especializada em contratos PPA.

    Conferir Solução
  • Qual a energia elétrica mais barata?

    Qual a energia elétrica mais barata?

    Na indústria, o custo da energia elétrica impacta diretamente os custos dos produtos e a lucratividade. No lado do consumidor, o custo da energia elétrica impacta no seu poder de compra de outros bens e serviços. Ou seja, tanto a indústria como os consumidores devem buscar consumir energia elétrica mais barata.  

    Os grandes consumidores de energia elétrica, com demanda acima de 500KVA, pode reduzir o custo de energia comprando diretamente dos geradores de energia, reduzindo o custo da energia comprada da concessionária de distribuição de energia local. Cada modalidade de geração tem seu custo, que depende do tipo de geração (eólica, fotovoltaica, hidráulica, biomassa) e do investimento na planta. Entretanto, existe uma parcela do custo da energia elétrica, entorno de 50%, que são impostos e o custo dos serviços de transmissão de energia, a TUSD (Tarifa de Uso do Sistema de Distribuição), conhecida no mercado como o “custo do fio” ou “pedágio”. A TUSD varia de concessionária para concessionária.

    Os consumidores de pequenas empresas e residenciais, chamados consumidores cativos, devem se submeter as tarifas determinadas pela ANEEL e as bandeiras tarifarias, que variam para cima quando existe a necessidade de uso das termoelétricas, que além de serem mais caras, ainda poluem mais. Ou seja, aquele consumidor cativo que busca produtos sustentáveis acaba consumindo energia elétrica gerada por fontes fósseis.

    As grandes empresas fazem contratos de longo prazo no mercado livre de energia, normalmente, acima de 5 anos para obter mais vantagens de custos. Eles podem comprar diretamente dos geradores ou via comercializadores varejistas, que intermediam as compras. O uso dos comercializadores varejistas simplifica a compra de energia e os aspectos burocráticos junto aos órgãos reguladores e de controle, fazendo todos os procedimentos operacionais de um agente da CCEE (Câmara de Comercialização de Energia Elétrica).

    Todos estes processos ainda não garantem que os grandes consumidores comprem a energia mais barata, pois ficam expostos aos aumentos de impostos e variações da TUSD. Pior ainda para os consumidores cativos que, além de ficarem vulneráveis aos aumentos autorizados pela ANEEL, não tem previsibilidade do custo da energia para planejamento financeiro.

    As empresas dentro deste cenário de incertezas sobre um dos seus principais insumos de produção buscam reduzir custos em outras áreas, como reduzir pessoal ou substituir matéria-prima de qualidade por outras mais baratas, podendo prejudicar o ciclo de vida do produto, gerando insatisfação nos clientes. No lado do consumidor residencial, busca reduzir itens de consumo que lhe trazem satisfação e, em casos mais drásticos, reduzir até itens básicos.

    Mas afinal qual a energia mais barata? É a energia que você deixa de usar por eficiência energética. Embora, tão evidente, esquecemos de investir mais profundamente em ações de eficiência energética. Veja um simples caso quando você trocou a sua lâmpada incandescente por uma de LED, qual foi a economia que trouxe. Às vezes, não queremos investir em uma geladeira nova com selo PROCEL por acharmos que a nossa ainda funciona bem (time que está ganhando não se troca!), entretanto, o valor a mais que você paga de energia poderia comprar várias geladeiras ao longo dos anos.

    Na indústria, infelizmente acontece o mesmo. Uma pesquisa da ABESCO (Associação Brasileira das Empresas de Serviços de Conservação de Energia) de 2017, mostrou que entre 2014 e 2016 o Brasil desperdiçou 143.647 GWh, ou seja, um volume 1,4 vezes maior que toda a produção de energia elétrica de Itaipu em 2016, com um potencial de economia de R$ 61,71 bilhões.

    Uma desculpa comum para não avançar em projetos de eficiência energética é que não existem recursos financeiros para investir em soluções de redução do consumo de energia. Às vezes, são os próprios técnicos e engenheiros de manutenção que assumem esta premissa e não buscam soluções de eficiência energética. Como as atenções estão voltadas para o paradigma da compra de energia, soluções de redução de consumo via eficiência energética não são consideradas.

    A boa notícia é que existe dinheiro barato para investimentos em eficiência energética. O Programa de Eficiência Energética (PEE) da ANEEL tem recursos de aproximadamente R$ 570 milhões por ano destinados a eficiência energética. Todas as concessionárias de distribuição são obrigadas a destinar parte de suas receitas líquidas operacionais para o programa. As empresas podem submeter seus projetos ao PEE e, se aprovado, recebem os investimentos e pagam com o valor economizado para a amortização do projeto. Ou seja, só não submetem os projetos aquelas empresas que não desenvolvem projetos de eficiência energética.

    Para as empresas de capital fechado, é compreensível que o dono opte por pagar a conta do desperdício. Entretanto, para empresas de capital aberto é inaceitável não existirem projetos de eficiência energética.

    Agora, como os compromissos renovados de redução das emissões de gases do efeito estufa para conter o aquecimento global, o papel de eficiência energética ganho nova significação, sendo uma solução tangível e, portanto, medida para cumprir as metas globais de proteção do planeta.

    Para desenvolver projetos de eficiência energética é fundamental que se tenha dados para as análises. Empresas com nível de automação elevados possuem mais oportunidades de redução do consumo de energia por terem mais dados disponíveis. Entretanto, hoje com a redução de custos de sensores e dispositivos remotos de controle qualquer indústria pode investir em controle de seus ativos. Com dados de uso dos equipamentos e os processos produtivos é possível maximizar o uso de energia. Como resultado desta monitoração em tempo real amplia-se as oportunidades de busca de mais produtividade nas fábricas.

    Resumindo, invista na energia mais barata disponível e assuma o controle de seus custos operacionais, reduzindo sua dependência da dinâmica do setor elétrico nacional.

    A nMentors (www.nMentors.com.br) tem soluções para ajudar as empresas de todos os portes para a estudos, elaboração e execução de projetos de eficiência energética.

  • Modelo de Maturidade de Segurança Cibernética para Redes Inteligentes de Energia Elétrica

    Smart Grid Cybersecurity Capability Maturity Model

    No contexto de redes inteligentes de energia elétrica, Smart Grid, a segurança cibernética tem uma forte relevância. A análise do risco e as ações para mitigá-los determinam a confiabilidade do sistema. Para comparar diferentes redes e sistemas de energia é necessária a adoção de um modelo de referência com critérios padronizados.

    A partir de uma iniciativa da Casa Branca americana, liderada pelo Departamento de Energia (DOE) em parceria com o Departamento de Segurança Nacional (DHS) e com a colaboração da indústria e especialistas do setor público e privado foi desenvolvido o Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2).

    O objetivo do modelo é apoiar o desenvolvimento e medir os níveis de segurança no setor elétrico através de quatro objetivos:

    1. Reforçar as medidas de segurança cibernética do setor de eletricidade;
    2. Permitir que os concessionários avaliem de forma eficaz e consistente suas ações de segurança e compará-las com outras empresas do setor;
    3. Compartilhar conhecimentos, melhorar as práticas e obter referências relevantes para melhorar a segurança cibernética;
    4. Permitir que as concessionárias priorizem suas ações e investimentos para melhorar a segurança cibernética.

    A figura a seguir mostra uma abstração da topologia da rede do sistema elétrico. Através do modelo, a “função” é usada para descrever o conjunto de atividades que devem ser analisadas pelas concessionárias ou empresas que integram a rede de geração, transmissão, distribuição e mercados.

    Abstração da topologia da rede do sistema elétrico

    Arquitetura do Modelo

    O modelo é organizado dentro de dez domínios e quatro indicadores de níveis de maturidade (MILs). A figura abaixo mostra a estrutura básica do modelo como uma matriz, os domínios como colunas e o MILs como linhas.

    Arquitetura do modelo com os 10 domínios

    Gestão de Risco (RISCO)

    Estabelecer, operar e manter um programa de gerenciamento de riscos de segurança cibernética da empresa para identificar, analisar e mitigar os riscos da organização, incluindo o seu próprio negócio, sua infraestrutura e outras partes interessadas. O domínio RISCO compreende três objetivos:

    1. Estabelecer a estratégia de gestão de riscos de segurança cibernética
    2. Gerenciar os riscos de segurança cibernética
    3. Gerenciar as atividades de risco

    Ativo, Mudança, Configuração e Gerenciamento (ATIVO)

    Gerenciar as operações de tecnologia (OT) e tecnologia da informação (TI) dos ativos da organização (hardware e software) para compatibilizar os riscos da infraestrutura com os objetivos organizacionais. O domínio ATIVO é composto por quatro objetivos:

    1. Gerenciar o inventário de ativos
    2. Gerenciar a configuração dos ativos
    3. Gerenciar as mudanças nos ativos
    4. Gerenciar as atividades

    Gerenciamento de Identidade e Acesso (ACESSO)

    Criar e gerenciar as identidades das entidades que podem ter acesso físico ou lógico aos ativos da organização. O domínio ACESSO compreende três objetivos:

    1. Estabelecer e manter as identidades das entidades
    2. Controlar os acessos
    3. Gerenciar as atividades

    Gerenciamento das ameaças e vulnerabilidades (AMEAÇA)

    Estabelecer e manter planos, procedimentos e tecnologias para detectar, identificar, analisar, gerenciar e responder as ameaças e vulnerabilidades de segurança cibernética. O domínio AMEAÇA compreende três objetivos:

    1. Identificar e responder às ameaças
    2. Reduzir as vulnerabilidades de segurança cibernética
    3. Gerenciar as atividades

    Consciência Situacional (SITUAÇÃO)

    Estabelecer e manter atividades e tecnologias para coletar, analisar, detectar, usar o sistema de energia e as informações sobre segurança cibernética, incluindo a situação e as informações dos outros domínios do modelo, para formar um quadro operacional comum, compatível com o risco da infraestrutura crítica e objetivos organizacionais. O domínio SITUAÇÃO compreende quatro objetivos:

    1. Fazer o registro
    2. Monitorar as funções
    3. Estabelecer e manter um quadro operacional comum
    4. Gerenciar as atividades

    Compartilhamento de Informações e Comunicações (COMPARTILHAMENTO)

    Estabelecer e manter o relacionamento com entidades internas e externas para coletar e fornecer informações sobre segurança cibernética, incluindo as ameaças e vulnerabilidades, para reduzir os riscos e aumentar a resiliência operacional, compatível com o risco da infraestrutura crítica e os objetivos organizacionais. O domínio COMPARTILHAMENTO compreende dois objetivos:

    1. Compartilhar as informações de segurança cibernética
    2. Gerenciar as atividades

    Evento e Resposta aos Incidentes, Continuidade de Operações (RESPOSTA)

    Estabelecer e manter planos, procedimentos e tecnologias para detectar, analisar e

    responder aos eventos de segurança cibernética para apoiar as operações ao longo de um evento de segurança cibernética, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio RESPOSTA é composto por cinco objetivos:

    1. Detectar os eventos cibernéticos
    2. Escalar os eventos cibernéticos
    3. Responder aos eventos cibernéticos escalados
    4. Plano de Continuidade
    5. Gerenciar as atividades

    Cadeia de fornecedores e gerenciamento das dependências externas (DEPENDÊNCIA)

    Estabelecer e manter controles para gerenciar os riscos associados aos serviços de segurança cibernética e dos ativos que são dependentes de entidades externas, compatível com o risco da infraestrutura crítica e dos objetivos organizacionais. O domínio DEPENDÊNCIA compreende três objetivos:

    1. Identificar as dependências
    2. Gerenciar os riscos das dependências
    3. Gerenciar as atividades

    Gerenciamento da força de trabalho (FORÇA DE TRABALHO)

    Estabelecer e manter planos, procedimento, tecnologias e controles para criar uma cultura de segurança cibernética para assegurar a adequação permanente e competência do pessoal, proporcional ao risco da infraestrutura crítica e dos objetivos organizacionais. O domínio FORÇA DE TRABALHO compreende cinco objetivos:

    1. Atribuir responsabilidades à segurança cibernética
    2. Controlar o ciclo de vida da força de trabalho
    3. Desenvolver a força de trabalho
    4. Aumentar a consciência sobre segurança cibernética
    5. Gerenciar as atividades

    Programa de Gestão de Segurança Cibernética (SEGURANÇA CIBERNÉTICA)

    Estabelecer e manter um programa de segurança cibernética na empresa que forneça a governança, planejamento estratégico, e o patrocínio das atividades de segurança cibernética da organização de forma a alinha os objetivos de segurança cibernética com os objetivos estratégicos da organização e do risco da infraestrutura crítica. O domínio SEGURANÇA CIBERNÉTICA compreende cinco objetivos:

    1. Estabelecer estratégia do programa de segurança cibernética
    2. Eleger um patrocinador do programa de segurança cibernética
    3. Estabelecer e manter a arquitetura de segurança cibernética
    4. Desenvolver e utilizar um software seguro
    5. Gerenciar as atividades

    O modelo define quatro indicadores de níveis de maturidade: MIL0, incompleto; MIL1, inicial; MIL2, implantado; e, MIL3, gerenciado. Os indicadores de níveis de maturidade são importantes para a ANEEL conhecer os riscos das infraestruturas das concessionárias e exigir iniciativas de mitigação. Para os investidores é importante conhecê-los para reduzir o risco dos seus investimentos.

  • A complexidade da troca de dados no setor elétrico gera um risco operacional

    A gestão de um sistema elétrico é complexa em função da necessidade da troca intensa de dados entre os atores do sistema. Essa complexidade aumentará com a introdução de novos projetos de Smart Grid na distribuição e o aumento do micro e mini geração de energia pelos clientes. O aumento da complexidade do sistema gera um maior risco operacional. A quebra de confidencialidade e integridade dos dados ou a indisponibilidade de uma informação no momento certo pode comprometer todo o sistema e prejudicar milhões de consumidores.

    O sistema elétrico é composto, basicamente, por sete domínios: geração, transmissão, distribuição, operação, provedores de serviços, mercado e clientes. Uma operação integrada requer a troca intensa de dados entre sistemas que geram ações automáticas ou manuais para o gerenciamento do sistema elétrico.

    A figura a seguir mostra uma visão simplificada dos principais componentes do sistema elétrico, os softwares e a integração necessária para operar o sistema. Esse modelo se aplica a todas as empresas que compõem o sistema elétrico integrado. 

    Visão simplificada dos principais componentes do sistema elétrico

    O sistema envolve vários softwares e tecnologias de transmissão de dados e são definidos pelas empresas participantes do sistema. O único requisito é a padronização do formato de dados trocados e o tempo necessário de atualização. Isso requer das empresas a transformação dos formatos internos para o formato padrão, os chamados gateways.

    A troca de dados entre a geração, transmissão, distribuição e operação são criticas e podem comprometer a confiabilidade do sistema. Basta um ator gerar informações falsas que todo o sistema será afetado. Se um hacker encontrar um único ponto vulnerável todo o sistema poderá ser comprometido.

    A figura a seguir mostra a complexidade das interfaces de troca de dados entre os principais sistemas do setor elétrico. Cada interface deve ser padronizada, por tanto de domínio público, para garantir a confiabilidade do sistema como um todo.

    Interfaces de troca de dados entre os principais sistemas do setor elétrico

    É necessário garantir que todas as empresas tenham um nível de proteção e monitoração da segurança da informação que evite a ação de hackers. O desafio é grande, pois os investimentos em segurança competem com projetos de expansão e melhoria no sistema físico da rede.

    Um projeto de segurança para o setor elétrico começa com a necessidade de alta disponibilidade dos computadores do Data Center da empresa. A infraestrutura do Data Center (computadores, sistema de refrigeração e energia) deve ser redundante e ter a capacidade de operar em pouquíssimo tempo em outra localidade em caso de falha do data center principal.

    Os sistemas de comunicação devem dispor de no mínimo duas conexões com fornecedores, infraestrutura independente e rota física distinta entre um ponto e outro. Isso garante, por exemplo, que se um cabo de fibra em um trecho for rompido exista uma rota alternativa para o encaminhamento dos dados.

    Periodicamente, o sistema deve ser submetido a um teste integrado para identificar possíveis pontos de falha. Esses testes devem ser realizados primeiro nas empresas e depois no sistema como um todo, coordenado por algum órgão regulador. Isso é necessário, pois as mudanças nos sistemas são frequentes para corrigir falhar, atualização de versão de software ou para atender a requerimentos regulatórios.

    Um ponto importante nesse contexto é o gerenciamento e a proteção das interfaces de troca de dados. O gerenciamento é necessário para garantir e monitorar se os sistemas estão enviando os dados dentro dos prazos estabelecidos e a proteção é vital para evitar a quebra de confidencialidade e integridade dos dados.

    No mercado livre de energia a troca de informações entre as câmaras de comércio (CCEE, Câmara de Comercialização de Energia Elétrica e o BBCE, Balcão Brasileiro de Comercialização de Energia) e os consumidores deve ser segura e ter alta disponibilidade. Por envolver leilões de energia e trafegar informações financeiras, a confidencialidade dos dados é crítica para a confiabilidade do sistema. Por exemplo, o BBCE operar com um sistema nativo de certificado digital para garantir o não repúdio das operações, ou seja, é possível comprovar legalmente que um agente executou uma transação.

    Alguns estudos indicam que o volume de dados das concessionárias de distribuição aumentará quase 3.000 vezes com a implantação de projetos de Smart Grid. Esse aumento é em função da coleta de dados frequente dos medidores eletrônicos dos consumidores. O gerenciamento desse grande volume de dados só será possível com o uso de novas tecnologias de banco de dados, como Big Data.

    Resumindo, o avanço da automação no setor elétrico trará vantagens enormes para o setor, porém os gestores deverão investir em segurança da informação para manter os sistemas seguros, íntegros e disponíveis.

    Conferir Solução

  • Segurança nas Redes Elétricas Inteligentes

    Não há dúvidas dos grandes benefícios das redes inteligentes de energia elétrica. A automação do sistema elétrico não é novidade, há anos as concessionárias de energia elétrica e grandes fábricas utilizam sistemas de gerenciamento e controle dos dispositivos de proteção, geração e transmissão. A novidade é a massificação do uso da automação na distribuição de energia elétrica chegando à casa do assinante.

    Em ambientes fechados e controlados a maior preocupação era a excelência operacional do sistema SCADA (Sistema de Supervisão e Aquisição de Dados). As redes de comunicação eram fechadas com links dedicados. A segurança do sistema era entendida como adequada pela complexidade do sistema, pouquíssimas pessoas qualificadas na área e difícil acesso ao sistema.

    Com a implantação do Smart Grid na distribuição cobrindo, literalmente milhões de assinantes, é necessário utilizar redes de comunicação públicas e instalar os dispositivos remotos (sensores, controladores, disjuntores e medidores eletrônicos) em postes e na casa dos assinantes. O rápido desenvolvimento da Internet criou uma legião de programadores e, infelizmente, pessoas e organizações com o objetivo de roubar informações e destruir os sistemas por várias motivações, o chamado cyber terrorismo.

    O grande desafio das concessionárias de distribuição e da indústria de equipamentos para Smart Grid é adequar a tecnologia e as questões de segurança da informação, mantendo o desempenho dos sistemas críticos com a melhor relação custo/benefício possível.

    Para tornar viáveis os projetos de Smart Grid, tanto do ponto de vista financeiro como técnico, são fundamentais o uso de padrões de mercado para software e processos de gestão. A utilização de padrões permite a implantação de projetos com diferentes equipamentos de fornecedores com a interoperabilidade dos seus componentes assegurada pelas normas.

    Visão simplificada de protocolos de redes de comunicação e computadores

    Uma visão simplificada de protocolos de redes de comunicação e computadores é apresentada na figura acima. A troca de mensagens entre o software de gerenciamento e o software no dispositivo remoto é realizada com o uso de diversos protocolos que dividem uma mensagem em pequenos pacotes de dados para transmiti-los. Usa o conceito de camadas de protocolo, cada camada tem uma parte da responsabilidade da transmissão de dados. O número de camadas e responsabilidades é idêntico do lado do transmissor e do receptor.

    Uma rede complexa pode ter várias camadas de software com diferentes especializações dentro do conceito de hierarquia, como mostra a figura abaixo.

    Camadas de software com diferentes especializações dentro do conceito de hierarquia

    Uma das normas que apoia o desenho de projetos de Smart Grid é a IEC 61.850 para automação das subestações. Para a conexão de medidores eletrônicos e sensores massivamente dispersos geograficamente uma alternativa é o padrão aberto IPv6 (evolução do endereçamento IPv4 com regras de segurança), padrão de pacote seguro IPsec e a norma X.509 para segurança de mensagens.

    A figura a seguir mostra uma rede de comunicação para a automação do controle de uma subestação e medidores eletrônicos, remotamente.

    Rede de comunicação para a automação do controle de uma subestação e medidores eletrônicos

    No exemplo, o dispositivo remoto para controle do transformador da subestação tem duas conexões de rede, com e sem fio. Essa redundância é importante para não interromper o serviço em caso de falha de uma das conexões. A comunicação sem fio utiliza o conceito de mesh, onde cada estação base (ERB) pode se comunicar com sua adjacente de forma independente, aumentando a disponibilidade e confiabilidade da rede. Usando a rede sem fio são conectados os concentradores de medidores eletrônicos e medidores individuais. Os displays que mostram o consumo de energia para o consumidor, exigido pela regulamentação, é feito usando comunicação de dados através da linha de energia, via PLC (Power Line Communication). O sistema todo é controlado a partir de um Centro de Monitoração e Controle apoiado por sistemas de medição bidirecional (AMI – Advanced Metering Infrastructure), sistemas de supervisão e aquisição de dados (SCADA) e o sistema de gestão integrado (ERP) da empresa.

    A configuração dos dispositivos é realizada por uma linguagem padronizada pela IEC 61.850 com base no XML (Extensible Markup Language) que define as regras de formato de um documento. Veja na figura abaixo, um exemplo de configuração de dispositivos de controle de subestações.

    Exemplo de configuração de dispositivos de controle de subestações

    Como podemos observar a padronização traz grandes vantagens para a implementação de sistemas Smart Grid. Entretanto, a exposição do modelo para o público em geral cria um risco potencial de segurança.

    Por exemplo, a ANATEL licenciou a frequência de 3.590MHz para o uso da tecnologia de transmissão de dados WiMax. A faixa de frequência licenciada tem largura de banda 10 MHz e potência de 2 Watts em cada antena xPol com 14 dBi de ganho e tilt típico de 4 graus. Conhecendo essas características que são públicas, um hacker pode construir um transmissor de alta potencia usando um chipsets de WiMax para interferir no sinal da rede em uma localidade. Se esse transmissor estiver em um veículo em movimento será quase impossível sua detecção e apreensão.

    Outro exemplo é o acesso de um hacker aos parâmetros de configuração dos dispositivos de controle para alterar seu comportamento. O envio de comandos e a inibição de alertas de controle podem danificar um transformador e tirá-lo de operação por um longo período, comprometendo o serviço para milhares de consumidores.

    Outra situação grave é a quebra de integridade dos dados de bilhetagem dos medidores eletrônicos. Se um hacker tiver acesso aos registradores (memória) do medidor, ele poderá alterar os valores de medição. Para menos, se ele quiser se beneficiar pagando valores menores. Para mais, se ele quiser comprometer a confiança da concessionária entre os órgãos públicos e consumidores.

    Seja por interferência física ou lógica, os sistemas de Smart Grid são inseguros.

    A alternativa para tornar o sistema mais confiável é realizar um projeto levando em conta a segurança da informação, realizar verificações de conformidade frequentes e utilizar softwares especialistas de análise de comportamento do sistema em tempo real.

    Conclusão

    A energia elétrica é parte da infraestrutura crítica nacionais, requerendo ações que garantam a resiliência e disponibilidade dos serviços. Entre estas ações está a segurança cibernética. Frequentes ataques hackers têm sido registrados no mundo, incluindo no Brasil, que mostram a importância de adoção de modelos de governança e gestão da segurança cibernética. Em fevereiro de 2021, um ataque hacker na Usina de Angra obrigou a empresa a desligar seus sistemas administrativos. Felizmente, segundo a empresa, o sistema de operação da empresa é apartado do sistema corporativo que tem acesso à Internet.

    O Brasil tem um arcabouço de leis e decretos que definem muito bem a política e estratégia de segurança cibernética. A Aneel e ONS tem trabalhado para implantar uma estrutura de montar equipes de tratamento e resposta aos incidentes cibernéticos (ETIR), em inglês Computer Security Incident Response Team (CSIRT) em todos os agentes do sistema integrado nacional. O movimento mais efetivo começou com a aprovação do Decreto nº 9.573, de 22 de novembro de 2018, sobre a Política Nacional de Segurança das Infraestruturas Críticas Nacionais e o Decreto nº 10.222, de 5 de fevereiro de 2020, sobre a Estratégia Nacional de Segurança Cibernética.

    Entretanto, até o presente momento, os CSIRTs não são uma realidade na maioria das empresas de geração, transmissão e distribuição de energia elétrica, onde apenas a Cemig tem registro no site do cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).

    Devido a falta de um modelo nacional para governança e gestão da segurança cibernética seria interessante as empresas brasileiras seguirem modelos internacionais, como os padrões CIP (Critical Infrastructure Protection) da Nerc (North American Electric Reliability Corporation) e o framework do Nist (National Institute of Standards and Technology), permitindo acelerar a proteção dos sistemas.

    O Departamento de Energia (DOE) dos Estados Unidos em parceria com o Departamento de Segurança Nacional (DHS) e com a colaboração da indústria e especialistas do setor público e privado foi desenvolvido o Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2). Este modelo permite um melhor controle das operações, análises de riscos, respostas a incidentes e colaboração entre os agentes do sistema.

    A complexidade da troca de dados no setor elétrico gera um risco operacional que envolve uma quantidade muito grande de agentes com diferentes níveis de maturidade em segurança cibernética, criando pontos de vulnerabilidade no sistema.

    A ausência de auditorias oficiais pelos agentes reguladores e controladores do sistema integrado nacional dificulta conhecer a real dimensão das vulnerabilidades de segurança cibernética do setor elétrico brasileiro, criando um ambiente de incerteza sobre a robustez do sistema.

    Com a introdução cada vez maior dos sistemas inteligentes de gestão (Smart Grid) e medição inteligentes (Smart Metering) e o consequente aumento da digitalização das operações, cada vez mais aumenta o risco de incidentes de segurança.

    O Brasil deve acelerar a implantação de CSIRTs em todos os agentes do setor elétrico, adotando frameworks já utilizados internacionalmente com ferramentas apropriadas e pessoal treinado.