Segurança de dados: “Não olhamos apenas para o ciberespaço”

A segurança de dados está se tornando cada vez mais importante para operadores de grandes sistemas de armazenamento. Como a segurança cibernética funciona do ponto de vista técnico e organizacional?

Marcus Ulbricht: Em primeiro lugar, não nos limitamos à segurança cibernética; consideramos a segurança da informação como um todo. Para nós, a segurança da informação é um sistema de gestão – semelhante à gestão da qualidade. Nos orientamos pela norma internacional ISO 27001.

O que a ISO 27001 inclui?

Marcus Ulbricht: Define o padrão para segurança da informação e os requisitos correspondentes. Isso inclui medidas técnicas e organizacionais, desde a proteção de acesso até o treinamento de funcionários. É importante observar que a segurança não é um estado, mas um processo.

Esse processo afeta todos os níveis?

Marcus Ulbricht: Exatamente. Não estamos analisando apenas o ciberespaço, mas também a segurança física — por exemplo, se uma bateria está localizada em uma sala trancada e segura. Porque se qualquer pessoa puder acessar o sistema de armazenamento, toda a segurança será de pouca utilidade contra o ciberespaço. Conformidade, gestão de riscos e uma cultura de segurança vivida também são importantes. A forma como a empresa regula o controle de acesso e constrói sua própria arquitetura de segurança é importante aqui. É claro que a operadora também deve dar suporte a isso. Um produto seguro não serve para nada se o cliente inserir a senha padrão no dispositivo. As empresas também devem implementar seus próprios conceitos de segurança e integrar os sistemas de armazenamento e os sistemas solares a eles. Entre outras coisas, devem definir precisamente quem tem permissão para acessar o sistema e estabelecer barreiras adequadas ao acesso não autorizado. Esses controles de acesso são importantes não apenas para a rede da empresa, mas também para a infraestrutura de energia e os sistemas de armazenamento.

Como os clientes podem determinar o quão seguro um produto é?

Marcus Ulbricht: Isso tem a ver com a abrangência da implementação da segurança da informação pelo provedor. Documentamos as medidas que tomamos, como criptografia, gerenciamento de patches e testes de penetração. Também desenvolvemos uma estratégia de segurança da informação. Explicamos detalhadamente o que queremos proteger, como e quais requisitos definimos para essa proteção. Mas muitos clientes precisam primeiro entender o que isso significa em termos concretos. É como com os carros: só porque um carro tem uma inspeção técnica não significa que o motorista dirigirá com segurança automaticamente.

Isso significa que se o armazenamento ou outros sistemas forem configurados de acordo com a ISO 27001, tudo estará bem?

Marcus Ulbricht: A ISO 27001 é um catálogo de medidas técnicas e organizacionais para estabelecer um nível de segurança dentro de uma organização. Uma análise de risco abrangente é essencial aqui. A IEC 62443 visa conduzir essa análise de risco. Entre outros aspectos, o uso pretendido do dispositivo de armazenamento é um foco fundamental. Realizamos essa análise de risco para todos os nossos produtos. Isso também inclui a identificação das ameaças potenciais associadas a esse uso pretendido e as medidas que podem ser usadas para mitigá-las.

Quais certificações específicas estão disponíveis para os dispositivos em relação à segurança da informação?

Marcus Ulbricht: A certificação de segurança da informação para o armazenamento em si é difícil. É preciso desmembrá-lo em seus componentes individuais. Essa é a abordagem que também adotamos. Isso significa que analisamos um dispositivo de comunicação, um sistema de gerenciamento de bateria, realizamos análises e testes de penetração. Submetemos certos componentes a um ataque controlado para simular tal situação. Analisamos o que mais precisamos fazer para alcançar a segurança máxima. Isso reduz as opções de um invasor a um nível em que se torna significativamente mais difícil para ele sequer penetrar nos sistemas. Se os clientes integrarem o armazenamento à sua própria arquitetura de segurança, as opções para os hackers ficam ainda mais reduzidas.

Interfaces abertas são sempre necessárias quando se trata de compatibilidade com outros sistemas, por exemplo, quando um sistema de armazenamento Tesvolt é conectado a um sistema de gerenciamento de energia de terceiros. Como você implementa isso do ponto de vista da segurança?

Simon Schandert: Prestamos muita atenção aos sistemas com os quais somos compatíveis. Também fornecemos nossos próprios sistemas de gestão de energia para manter o controle. Porque um sistema de terceiros inseguro pode tornar vulnerável um sistema que, de outra forma, seria seguro. É por isso que também auditamos nossos parceiros quanto aos seus padrões de segurança.

Como isso é implementado na prática?

Marcus Ulbricht: Compatibilidade significa, antes de tudo, que as interfaces para troca de dados sejam definidas. Mas é crucial que todos os sistemas sigam os mesmos princípios de segurança. Portanto, o cliente deve poder ler no manual de instruções se o login está criptografado, se os componentes foram testados e se há atualizações regulares. Em última análise, a operadora decide o nível de segurança desejado: desde sistemas simples sem criptografia até soluções com serviços de segurança adicionais, como uma VPN. Isso também se desenvolverá no mercado de energia – assim como agora usamos VPN naturalmente em nossos smartphones.

Qual VPN você usa?

Marcus Ulbricht: Na Tesvolt, utilizamos padrões abertos como OpenVPN ou Linux, mas em versões mais robustas, com serviços desnecessários desabilitados. A segurança depende não apenas do sistema operacional, mas também de sua configuração. Os comprimentos e profundidades das chaves também precisam ser ajustados regularmente – aqui, baseamos nossas decisões em recomendações de fontes como o Escritório Federal de Segurança da Informação (BSI).

Então, como fabricante, vocês também informam ativamente sobre configurações seguras?

Marcus Ulbricht: Sim. Nossa estratégia de segurança da informação se baseia no que há de mais moderno – tanto dentro da organização quanto no desenvolvimento de produtos. Esperamos o mesmo de nossos parceiros. Geralmente, também ocultamos muitos detalhes do sistema – quanto menos um invasor souber sobre a arquitetura, as chaves ou os caminhos de acesso, mais difícil se torna. A minimização de informações é um princípio de segurança importante.

Como vocês lidam com ataques durante operações em andamento? Há alertas?

Marcus Ulbricht: Depende do cenário de uso. Grandes sistemas de armazenamento têm gerenciamento de usuários, autenticação e registro. Bloqueamos o acesso se houver muitas tentativas malsucedidas – semelhante ao que fazemos com laptops corporativos. No ambiente doméstico, a proteção é mais claramente definida, mas aqui também a segurança termina com o usuário. Se uma senha forte for fixada no dispositivo, mesmo o melhor mecanismo de segurança não conseguirá impedi-la.

O fabricante do inversor ou do sistema de gerenciamento de energia desempenha algum papel na segurança?

Simon Schandert: Com certeza. Selecionamos nossos parceiros com muito cuidado — por exemplo, SMA ou Siemens — e frequentemente também fornecemos o sistema de gestão de energia. Excluímos deliberadamente sistemas de alto risco, por exemplo, de países com diferentes culturas de proteção de dados. Claro, isso não é uma garantia, mas é uma base importante para um sistema geral seguro.

Como você avalia o nível geral de maturidade do mercado?

Simon Schandert: Muitos operadores e planejadores ainda estão em estágios iniciais e têm pouca experiência em segurança cibernética. Trabalhamos com parceiros como a TÜV Rheinland, treinamos nossos próprios parceiros especialistas em nossa academia interna e permitimos que apenas instaladores certificados acessem nossos sistemas. Mas a necessidade de treinamento e conscientização ainda é muito grande.

E para usuários particulares? Um proprietário precisa se aprofundar nas normas ISO?

Marcus Ulbricht: Não, mas eles precisam entender que também desempenham um papel. Requisitos de segurança intuitivos são padrão no setor de armazenamento doméstico, mas os operadores também não podem contorná-los ou diluí-los. A cibersegurança e a segurança estão interligadas – em última análise, medidas de segurança aprovadas previnem a ocorrência do pior cenário.

O que isso significa para o preço e a decisão de compra?

Simon Schandert: Um sistema seguro desenvolvido na Alemanha pode ser mais caro do que um produto importado, pois há mais investimentos em segurança cibernética e segurança funcional. Mas, assim como acontece com um nobreak: quando ocorre uma falha ou dano, todos gostariam de ter investido em uma solução segura antes.

A entrevista foi conduzida por Sven Ullrich.

Leia a primeira parte da entrevista com Simon Schandert e Marcus Ulbricht para descobrir por que a segurança de dados também é importante para o armazenamento e no que os operadores devem prestar atenção.

Um relatório detalhado sobre segurança da informação na operação de sistemas solares e sistemas de armazenamento pode ser encontrado na próxima edição da RENEWABLE ENERGY . Se você ainda não possui uma assinatura , pode visualizá-lo aqui .