Com apoio da Agência Internacional de Energia Atômica, IPEN promove curso sobre Segurança Cibernética

Participantes abordaram a eficácia dos sistemas de segurança computacional e de medidas que fornecem proteção às instalações, essencial para a área nuclear no Brasil.

A resposta a incidentes de segurança computacional é um aspecto importante da Segurança Nuclear, especialmente se considerarmos que os sistemas computacionais estão cada vez mais suscetíveis a ataques cibernéticos. Foi com a proposta de aprimorar os processos de gestão de incidentes cibernéticos nas organizações da área nuclear que o IPEN/CNEN solicitou à Agência Internacional de Energia Atômica (AIEA) o CyberSecurity Incident Response Team (CSIRT), encerrado nesta sexta-feira, 30.

Durante toda a semana, 23 participantes representando sete instituições participaram do treinamento técnico, que teve como focos os guias da AIEA e as boas práticas internacionais de resposta a incidentes de segurança computacional, voltados às instalações nucleares e radiativas, vitais para desenvolver e aprimorar as práticas de gestão. O curso foi baseado no documento intitulado Computer Security Incident Response Planning at Nuclear Facilities e incluiu conceitos da Nuclear Security Series (NSS), ambos da AIEA.

De acordo com Paulo Henrique Bianchi, chefe Serviço de Gestão de Redes e Suporte Técnico e coordenador pelo IPEN/CNEN, a iniciativa de promover o treinamento partiu do superintendente do Instituto, Wilson Calvo, por meio de tratativas iniciadas ainda em 2021 com Rodney Busquim e Silva, da Divisão de Segurança Nuclear da AIEA. "É um tema de extrema relevância para a área nuclear no Brasil, visto que os ataques cibernéticos estão aumentando cada vez mais, inclusive tendo como alvo órgãos governamentais”, disse.

Bianchi ressaltou o interesse do IPEN/CNEN, ao buscar essa parceria com a AIEA, de proporcionar a formação de recursos humanos especializados em Segurança Computacional "para termos condições de nos defender destas ameaças”. As expectativas se confirmaram: os participantes abordaram, no treinamento, a eficácia dos sistemas de segurança computacional e de medidas que fornecem proteção às instalações. Além disso, aprenderam como avaliar a capacidade de responder a incidentes de segurança computacional.

"Esperamos, com o término do curso, que os participantes estejam capacitados a aprimorar os processos de gestão de incidentes cibernéticos dos seus órgãos, com base nas melhores práticas sugeridas pela AIEA. Além disso, a realização do curso promoveu a cultura de segurança cibernética, reforçando aos participantes a grande importância da segurança computacional, que podem se tornar multiplicadores desta cultura em seus órgãos de origem”. Afirmou Bianchi.

Para Rodney Busquim e Silva, um dos instrutores, chamou a atenção o engajamento dos alunos, segundo ele "foi muito acima do esperado”. "Eles tiveram a oportunidade de assistir a aulas de instrutores internacionais e também de realizarem exercícios práticos em dois ambientes distintos: o ambiente hospitalar e uma planta nuclear. O ponto alto do treinamento foi no penúltimo dia [quinta-feira, 29], quando fizemos um exercício realista e imersivo durante todo o dia, onde puderam aplicar o conhecimento obtido no período do curso”, salientou.

Silva também mencionou o "fantástico apoio” do IPEN na execução do exercício, "inclusive permitindo que os alunos tivesses oportunidade de visitar o reator [IEA-R1] do Instituto e conversar a respeito de como uma instalação nuclear opera”. Além dele, também foram instrutores Ricardo Paulino Marques, da Escola Politécnica da Universidade de SãoPaulo (Poli/USP), Francesca Soro, do Austrian Institute of Technology (Áustria), Christophe Martin, da Électricité de France (França), e Gustavo Berman, da Comisión Nacional de Energía Atómica (Argentina).

Outro aspecto interessante do curso foi o fato de os participantes terem formações diversas. Não houve restrições quanto ao tipo de vinculação com o órgão de origem, isto é, puderam participar servidores, terceirizados e alunos da pós-graduação, que atuam ou possuem interesse no tema.

"Consideramos que a cultura de segurança cibernética, para ser efetiva, deve ser promovida para todos os colaboradores da empresa, sem distinção”, argumentou Bianchi. Para ele, durante o curso, ficou evidente a necessidade de envolver mais profissionais das áreas de Instrumentação e Controle e de Tecnologia Operacional (TO) nas atividades e treinamentos relacionados à Segurança Computacional, tendo em vista que cada vez mais dispositivos considerados críticos para a operação de instalações nucleares e radiativas estão se tornando digitais e conectados a dispositivos de Tecnologia da Informação (TI).

"Sempre vigilantes”

O analista em ciência e tecnologia do IPEN/CNEN e profissional de TI, Anderson Andrade, foi um dos participantes e destacou a importância do CSIRT devido ao aumento da presença das empresas no meio digital, que por consequência, acabam sendo alvos e podem sofrer incidentes de segurança Digital. "Além, é claro, do ganho de consciência e maturidade por parte das organizações quanto às necessidades de práticas de gerenciamento de riscos nessa área”, afirmou.

Andrade mencionou novas leis que têm surgido, como a Lei Geral de Proteção de Dados – LGPD 13709/2018, a fim de nortear a maneira como as organizações passam a tratar e proteger suas informações e de seus clientes. "Um CSIRT pode exercer tanto funções reativas, quanto proativas, auxiliando na proteção e segurança das organizações. Para os serviços reativos, podemos citar alertas de segurança, tratamento de vulnerabilidades, de incidentes de segurança e de artefatos, como worms, vírus, trojans, ransonwares, entre outros”.

No caso do Risco de Incidente de CyberSegurança Nuclear, Andrade avalia que há um risco maior relacionado aos ambientes de OT Operational Tecnology, "que podem ser afetados indiretamente por ações maliciosas e criminosas como hacker-ativismo, sabotagem, espionagem industrial e por aí vai. Também podem gerar falhas em sistemas críticos dos reatores de pesquisa e potência, além de causar diversos problemas similares em hospitais e clínicas que utilizam terapias nucleares. Por isso, temos que estar sempre vigilantes, atentos”.

Ele cita que o treinamento ofereceu a possibilidade de se trabalhar com um caso que pode se enquadrar em uma situação real. "Nos deparamos com uma circunstância em que um simples pen-drive causou um impacto de alguns milhões de dólares, além de criar riscos nucleares e contra a vida de diversos funcionário da Usina Nuclear estudada”, ressaltou. Para Andrade, ao oferecer o curso, "o IPEN demonstra seu protagonismo e antecipação de ocorrências, se preocupando sempre com o bem-estar de seus colaboradores e com a população em geral”.

Paulo Bianchi mencionou o "apoio essencial” da Fundação de Apoio e Fomento à Inovação Tecnlógica Pesquisa e Ensino – FAFITPE, "sem a qual o evento não teria sido possível”. Ao final, em nome da organização do evento, por parte do IPEN e da AIEA, agradeceu também à equipe da Comunicação Social, à Diretoria do Instituto e à Superintendência, bem como às suas secretarias, à COPLG e aos colaboradores do SEGRS que tanto nos ajudaram na organização do evento.

Ao final, o gurpo teve a oportunidade de conhecer o Reator Nuclerar de Pesquisas IEA-R1, do IPEN, em operação desde 1957, quando atingiu sua primeira criticalidade.

"Memorável oportunidade"

Nas boas-vindas aos instrutores e participantes, a diretora substituta do IPEN, Isolda Costa, e o superintendente Wilson Calvo comentaram brevemente sobre o Instituto, seu pioneirismo e liderança em pesquisas nucleares no Brasil. Costa disse que era "um prazer recebê-los" e "uma honra" para o Instituto proporcionar um curso tão importante com apoio da AIEA.

Calvo mencionou alguns indicadores, destacando os mais de 3 mil titulados no Programa de Pós-Graduação em Tecnologia Nuclear IPEN/USP e a consolidação de pesquisas e de tecnologias nucleares aplicadas à saúde, indústria, agricultura e meio ambiente. "É uma oportunidade memorável de troca de experiências e conhecimento na área de segurança computacional para instituições nucleares".

Instituições participantes

Além do IPEN, o treinamento contou com a presença de representantes da própria Comissão Nacional de Energia Nuclear (CNEN), do Instituto de Radioproteção e Dosimetria (IRD/CNEN), das Indústrias Nucleares do Brasil S.A. (INB), da Amazônia Azul Tecnologias de Defesa S.A. (Amazul), da Eletronuclear e do Centro Tecnológico da Marinha de São Paulo (CTMSP).