Exercício Nacional de Cibersegurança testou resiliência do setor da energia

Decorreu, nos dias 19 e 20 de junho, a quinta edição do Exercício Nacional de Cibersegurança (ExNCS’24), organizado pelo Centro Nacional de Cibersegurança, inserido na sétima edição do CyberEurope, um dos maiores exercícios de cibersegurança na Europa, iniciativa bienal da ENISA, que testou a resiliência do setor energético europeu, a vários níveis: técnico, operacional e estratégico e visou contribuir para a existência de uma voz comum de toda a Europa, na resposta a um cenário idêntico em todos os países.

O ExNCS’24 e o CyberEurope'24 foram dedicados ao Setor da Energia, com um cenário centrado em ameaças de cibersegurança dirigidas à infraestrutura energética da União Europeia (UE), decorrentes de atritos causados pela tensão geopolítica entre a UE e uma nação estrangeira fictícia. Com a propaganda a influenciar a opinião pública e as preocupações sobre grupos APT (Advanced Persistent Threat) que exploram vulnerabilidades, o setor da energia tornou-se o alvo principal. Para evitar que um ataque em grande escala paralisasse a economia europeia e desestabilizasse o equilíbrio político, as partes interessadas tiveram de coordenar rapidamente as suas ações e respostas.

A ação de dois dias simulou uma série de incidentes de cibersegurança em grande escala. Trabalhando em conjunto, os intervenientes aprimoraram as suas competências de coordenação e gestão de crises para enfrentar os desafios colocados pelos cenários avançados, garantindo a continuidade dos negócios face a uma crise. O Cyber Europe reuniu 30 Agências Nacionais de Cibersegurança, várias agências europeias, organismos e redes da UE e mais de mil peritos que lidam com diversas áreas, desde a resposta a incidentes até à tomada de decisões. Foi um dos maiores exercícios de cibersegurança organizados na Europa.

Em Portugal, o ExNCS’24 reuniu em Coimbra, entidades do setor energético, operadores de comunicações eletrónicas, reguladores, outras entidades e órgãos de comunicação social, que lidaram com incidentes simulados, com forte plausibilidade, nomeadamente, ataques de ransomware com efeito disruptivo nas cadeias de fornecimento de energia elétrica de gás e ataques físicos com possíveis consequências na componente digital de divulgação de dados privados de organizações. Foram colocadas à prova as capacidades individuais das organizações, mas também as capacidades de articulação, quer com autoridades, quer com outras entidades a nível europeu. Em Portugal, o exercício envolveu 22 entidades nacionais, 56 participantes em sala e muitos outros nas respetivas organizações e foram submetidas 1.320 comunicações em respostas aos injects.

O cenário de crise energética definido pelo ExNCS’24 e pelo CyberEurope'24 testou os procedimentos que devem ser seguidos pelos participantes, nomeadamente do ponto de vista técnico, da comunicação interna e externa, sendo avaliados alguns dos instrumentos criados pela atual Diretiva NIS, e outros que surgem no âmbito da NIS 2, como por exemplo a EU CyCLONe - Rede de gestão de crises ao nível da União Europeia.

O Comissário da UE para o Mercado Interno, Thierry Breton, na visita às instalações da ENISA e da sala onde decorreu o Cyber Europe, afirmou que “a cibersegurança é uma prioridade comum. Só em 2023, mais de 200 incidentes comunicados visaram o setor energético, e mais de metade destes foram dirigidos, especificamente, contra a Europa. As ameaças à cibersegurança em setores críticos podem ter impacto na vida quotidiana dos cidadãos, mas também nas empresas e nos serviços públicos em toda a UE. Este tipo de exercício é essencial para testar a nossa resiliência em matéria de cibersegurança com os principais parceiros, se quisermos proteger os cidadãos da UE”.

Já o Diretor Executivo da Agência da UE para a Cibersegurança, Juhan Lepassaar, declarou que “a preservação das nossas infraestruturas críticas é um dos alicerces do mercado único e, portanto, temos de melhorar as nossas capacidades de preparação e resposta para protegê-las. O Cyber Europe é a prova de que estamos empenhados nos nossos esforços para alcançar esse objetivo”.

O relatório “Network and Information Security (NIS) Investments in the EU” emitido pela ENISA, concluiu que 32% dos operadores do setor da energia não têm um único processo crítico de Tecnologia Operacional (OT) monitorizado por um Centro de Operações de Segurança (SOC). A Tecnologia Operacional e a Tecnologia da Informação são cobertas por um único SOC para 52% dos operadores de serviços essenciais do setor energético.

Após o CyberEurope'24, vai ser realizada uma análise dos processos e resultados para obtenção de conhecimentos sobre as fragilidades identificadas. As conclusões vão ser incluídas no relatório pós-ação, que visa fornecer orientações e sugestões para melhorias adicionais, tanto para o exercício em si, como também para reforçar a resiliência do sector energético da UE.