O setor de energia elétrica brasileiro enfrenta um momento crítico, com a digitalização impulsionada pela Portaria Normativa nº 111/2025 e a abertura do mercado livre pela Medida Provisória (MP) nº 1.300/2025, que amplificam a exposição a ciberameaças. O ataque ao Pix em julho de 2025, que desviou entre R$ 400 milhões e R$ 1 bilhão explorando vulnerabilidades na C&M Software, serve como um alerta alarmante: sistemas SCADA (Supervisory Control and Data Acquisition), essenciais para o controle de geração, transmissão e distribuição de energia, são alvos prioritários para ataques que podem causar apagões, danos físicos e impactos econômicos devastadores. Os cortes orçamentários na Agência Nacional de Energia Elétrica (ANEEL), reduzindo seu orçamento para R$ 117 milhões em 2025, limitam a fiscalização e a resposta a incidentes, transferindo a responsabilidade de segurança para as empresas. A crise de formação de engenheiros eletricistas, com um déficit de 75 mil profissionais, agrava a situação, comprometendo a capacidade de gerenciar sistemas complexos e implementar medidas de cibersegurança.

Sistemas SCADA enfrentam vulnerabilidades como software desatualizado, autenticação fraca, falta de criptografia e segmentação inadequada de rede, riscos evidenciados por incidentes como o ataque à Enel em Goiás (2018) e tentativas contra a Usina de Itaipu (2017). A adoção de tecnologias como o protocolo DNP3 Secure Authentication (DNP3-SA) e agentes de inteligência artificial (IA) oferecem soluções promissoras, como detecção de anomalias e resposta automatizada, mas exige auditorias rigorosas para garantir eficácia. A crise de formação, com currículos acadêmicos desatualizados e alta evasão, limita a disponibilidade de profissionais capacitados em IA e cibersegurança, aumentando a vulnerabilidade do setor.

Sugestões para Mitigar Riscos

1. Realizar Auditorias de Segurança Cibernética: Implementar auditorias regulares para mapear ativos, identificar vulnerabilidades e verificar controles de segurança, alinhadas ao NIST SP 800-82 e IEC 62443. Auditorias especializadas são essenciais para proteger sistemas SCADA.
2. Fortalecer Controles de Acesso e Criptografia: Adotar autenticação multifator (MFA) e criptografia TLS para comunicações, conforme IEC 62351-3, evitando falhas como as do ataque ao Pix.
3. Investir em Capacitação Profissional: Desenvolver programas de treinamento em cibersegurança e IA, em parceria com universidades e empresas, para suprir o déficit de engenheiros eletricistas.
4. Adotar Agentes de IA: Integrar IA para detecção de anomalias e manutenção preditiva, com auditorias para garantir conformidade com o Projeto de Lei nº 2.338/2023.
5. Compensar a Redução da Fiscalização da ANEEL: Estabelecer parcerias público-privadas para financiar iniciativas de segurança, como os programas de P&D da ANEEL.

A urgência de agir é clara. As empresas devem investir em auditorias de segurança cibernética para evitar um “Pix energético” – um ataque devastador ao setor elétrico. Neste artigo compartilho um pouco da minha experiencia em soluções que podem proteger infraestruturas críticas, garantindo resiliência e continuidade.

Compreendendo os Sistemas SCADA

Sistemas SCADA são plataformas de automação projetadas para coletar, processar e analisar dados em tempo real de dispositivos remotos, como sensores, atuadores e unidades terminais remotas (RTUs). No setor de energia elétrica, esses sistemas são fundamentais para diversas funções operacionais, incluindo:

• Monitoramento de usinas de geração, abrangendo fontes hidrelétricas, termelétricas, eólicas e solares, garantindo a continuidade do fornecimento.
• Controle de redes de transmissão e distribuição, permitindo ajustes dinâmicos para equilibrar cargas e evitar falhas.
• Gerenciamento de recursos energéticos distribuídos (REDs), como painéis solares residenciais, que integram fontes renováveis às redes inteligentes (smart grids).
• Suporte a sistemas de auto-restabelecimento (self-healing), que detectam e corrigem falhas automaticamente, minimizando interrupções.

A arquitetura típica de um sistema SCADA inclui estações mestras, que centralizam o controle, e dispositivos de campo, conectados por redes de comunicação como o protocolo DNP3 (Distributed Network Protocol 3). A crescente adoção de operações remotas, com computadores locais enviando dados para serviços de nuvem, aumenta a eficiência, mas também introduz pontos de vulnerabilidade. A Portaria 111/2025, que estabelece a digitalização das redes de distribuição até 2035, intensifica essa interconectividade ao promover a substituição de medidores analógicos por medidores inteligentes (smart meters), ampliando a superfície de ataque.

Riscos Cibernéticos em Sistemas SCADA

Sistemas SCADA enfrentam vulnerabilidades significativas devido a arquiteturas legadas e à integração com tecnologias modernas. As principais vulnerabilidades incluem:

• Software e Hardware Desatualizados: Muitos sistemas SCADA no Brasil operam em plataformas baseadas em Windows, frequentemente versões sem suporte, como o Windows XP ou Server 2003, suscetíveis a exploits conhecidos. O ataque Stuxnet de 2010, que explorou vulnerabilidades em sistemas industriais, é um exemplo clássico, comprometendo centrífugas nucleares no Irã.
• Autenticação Fraca: A ausência de autenticação multifator (MFA) e o uso de senhas padrão ou fracas facilitam acessos não autorizados. O ataque ao Pix em 2025, que explorou credenciais comprometidas, ilustra como a má gestão de autenticação pode ser devastadora.
• Falta de Criptografia: Comunicações não criptografadas, comuns em sistemas SCADA legados, permitem interceptação e manipulação de dados por meio de ataques como “man-in-the-middle”.
• Segmentação de Rede Insuficiente: Redes mal segmentadas possibilitam que atacantes se movam lateralmente após comprometer um dispositivo, acessando sistemas críticos.

Os tipos de ataques mais comuns incluem:

• Ransomware: Bloqueia sistemas e exige resgates, como observado em ataques à Light S.A., Copel e Eletrobras, que enfrentaram interrupções significativas.
• Ataques de Negação de Serviço (DDoS): Sobrecarregam sistemas SCADA, causando interrupções no fornecimento de energia, como ocorreu no ataque à rede elétrica da Ucrânia em 2015, que deixou 225.000 consumidores sem energia.
• Ameaças Persistentes Avançadas (APTs): Ataques direcionados de longo prazo, frequentemente patrocinados por estados ou grupos organizados, buscam comprometer infraestruturas críticas.
• Ameaças Internas: Funcionários ou contratados com acesso privilegiado podem causar danos intencionais ou acidentais, amplificados por falta de treinamento ou controles inadequados.

Estudos de caso no Brasil reforçam a gravidade desses riscos:

• Ataque à Enel em Goiás (2018): Um ciberataque comprometeu sistemas de gerenciamento, causando interrupções no fornecimento de energia para milhares de consumidores.
• Tentativa de Ataque à Usina de Itaipu (2017): Hackers tentaram invadir sistemas de controle, mas foram impedidos por medidas de segurança robustas.
• Ransomware em Empresas Brasileiras: Ataques à Light S.A., Copel e Eletrobras exigiram esforços intensivos para restaurar sistemas sem pagamento de resgates, destacando a necessidade de defesas proativas.

Impacto das Novas Regulamentações

O setor elétrico brasileiro está em transformação com a introdução de duas regulamentações fundamentais:

• Medida Provisória nº 1.300/2025: Publicada em maio de 2025, a MP promove a abertura do mercado livre, permitindo que consumidores com tensão inferior a 2,3 kV escolham seus fornecedores a partir de março de 2027. Essa abertura incentiva a entrada de novos players, que podem introduzir soluções de conectividade baseadas em APIs, semelhantes às usadas pela C&M Software no ataque ao Pix. Embora isso fomente a competição, também aumenta a complexidade das redes e os pontos de vulnerabilidade, exigindo normas mais rigorosas para sistemas de integração de dados.
• Portaria Normativa nº 111/2025: Publicada em 18 de junho de 2025, a portaria estabelece diretrizes para a digitalização das redes de distribuição de baixa tensão até 2035, com foco na substituição de medidores analógicos por smart meters. Esses dispositivos permitem monitoramento em tempo real, mas ampliam a superfície de ataque ao conectar sistemas SCADA a redes externas, incluindo serviços de nuvem. A portaria menciona requisitos mínimos de cibersegurança, como conformidade com a Lei Geral de Proteção de Dados (LGPD), mas a implementação depende de regulamentações futuras da ANEEL, que podem ser limitadas pelos cortes orçamentários.

Essas regulamentações, embora promissoras, requerem uma abordagem robusta de cibersegurança para mitigar os riscos associados à maior interconectividade e à entrada de novos players.

Impacto dos Cortes Orçamentários na ANEEL

Os cortes orçamentários anunciados em 2025 reduzem o orçamento da ANEEL de R$ 239,76 milhões solicitados para R$ 117 milhões, o mesmo valor de 2016, sem ajuste por inflação. Essas restrições têm implicações graves para a segurança cibernética do setor elétrico:

• Redução da Fiscalização: A dispensa de 145 trabalhadores terceirizados e a redução do horário de funcionamento para 8h-14h a partir de julho de 2025 limitam a capacidade da ANEEL de auditar a conformidade com normas como a Resolução Normativa (RN) nº 964/2021, que exige medidas de cibersegurança em ambientes de tecnologia operacional (OT). Isso pode permitir que vulnerabilidades em sistemas SCADA passem despercebidas, aumentando o risco de ataques.
• Interrupção da Ouvidoria: A suspensão do serviço de ouvidoria, essencial para receber notificações de incidentes, dificulta a detecção e resposta rápidas a ciberameaças, potencialmente escalando pequenos incidentes em crises maiores.
• Perda de Expertise: A saída de funcionários experientes compromete o conhecimento institucional necessário para gerenciar riscos cibernéticos complexos, enquanto a sobrecarga nos remanescentes aumenta a probabilidade de erros humanos, como configurações inadequadas.
• Atrasos no Desenvolvimento de TI: A limitação de recursos para sistemas de TI pode atrasar atualizações de segurança, patches para vulnerabilidades e a adoção de tecnologias avançadas, como agentes de IA, deixando o setor mais exposto.

Esses cortes transferem a responsabilidade de segurança para as empresas do setor, tornando auditorias cibernéticas conduzidas por especialistas externos uma necessidade urgente para preencher as lacunas deixadas pela ANEEL.

A Crise de Formação de Engenheiros Eletricistas no Brasil

O setor elétrico brasileiro enfrenta uma crise significativa na formação de engenheiros eletricistas, com um déficit estimado de 75 mil profissionais, conforme apontado por uma pesquisa da Confederação Nacional das Indústrias (CNI) publicada em junho de 2025. Essa escassez compromete a capacidade do setor de gerenciar sistemas SCADA e implementar medidas de cibersegurança, agravando os riscos em um contexto de crescente digitalização e interconectividade.

Déficit de Profissionais e Impacto no Setor

O Brasil forma menos da metade dos engenheiros eletricistas necessários para atender à demanda do setor elétrico. Universidades como a Universidade Federal do Ceará (UFC) e a Unopar oferecem programas robustos, com disciplinas como Cálculo Diferencial, Eletrônica e Automação Industrial, mas a quantidade de egressos é insuficiente. A desvalorização da profissão, com descumprimento do piso salarial estabelecido pelo Conselho Regional de Engenharia e Agronomia (CREA), desmotiva novos ingressantes e leva à evasão de talentos para mercados internacionais. Essa crise limita a implementação de soluções de cibersegurança, como autenticação multifator e criptografia TLS, essenciais para proteger sistemas SCADA contra ataques como o do Pix.

Implicações para a Segurança Cibernética

A complexidade dos sistemas SCADA exige profissionais com conhecimento em eletrônica, automação e cibersegurança. A falta de engenheiros qualificados aumenta a vulnerabilidade a ataques, como os sofridos pela Enel (2018) e tentativas contra Itaipu (2017) [5]. A redução da fiscalização da ANEEL, devido aos cortes orçamentários, intensifica a necessidade de equipes capacitadas nas empresas para gerenciar riscos. A ausência de profissionais para configurar e monitorar sistemas, como o protocolo DNP3-SA, pode levar a falhas semelhantes às do ataque ao Pix, onde configurações inadequadas permitiram exploração prolongada.

Desafios na Formação Acadêmica

Os currículos de Engenharia Elétrica, embora abrangentes, frequentemente não acompanham inovações como IA e cibersegurança. Disciplinas tradicionais, como Circuitos Elétricos, são essenciais, mas a falta de ênfase em tópicos como DNP3-SAv6 e segurança de redes limita a preparação dos egressos. A alta evasão, devido à dificuldade das disciplinas e à percepção de baixo retorno financeiro, agrava o déficit. Modalidades EAD aumentam o acesso, mas podem comprometer a formação prática necessária para sistemas SCADA.

O Papel da IA e a Necessidade de Especialização

Projetos de P&D que participei, como o da Usina Henry Borden, financiado pela ANEEL, demonstram o potencial da IA para análise preditiva em sistemas SCADA. No entanto, a implementação de agentes de IA exige profissionais capacitados em aprendizado de máquina e cibersegurança, competências raras devido à crise de formação. Insights da DISTRIBUTECH 2025 destacam que IA pode reduzir perdas técnicas em até 15%, mas sua adoção depende de auditorias para garantir conformidade com o Projeto de Lei nº 2.338/2023.

Soluções para Mitigar a Crise

• Reforma Curricular: Incluir disciplinas de cibersegurança e IA nos cursos de Engenharia Elétrica, alinhadas à IEC 62443.
• Incentivos Profissionais: Garantir o piso salarial do CREA e oferecer bolsas para reter talentos.
• Capacitação Contínua: Desenvolver treinamentos em DNP3-SA e resposta a incidentes, com base no NIST SP 800-82.
• Parcerias Público-Privadas: Expandir programas de capacitação de profissionais, como o CPFL nas Universidade, que capacita estudantes dos últimos semestres em eficiência energética.

O Papel dos Agentes de IA na Segurança Cibernética

A digitalização do setor de energia, conforme proposta pela Portaria 111/2025, coincide com avanços em inteligência artificial (IA), que oferecem soluções promissoras para mitigar riscos cibernéticos. Durante a DISTRIBUTECH 2025, realizada em Dallas de 24 a 27 de março de 2025, foram discutidas aplicações de agentes de IA que transformam a segurança no setor elétrico. Esses sistemas inteligentes, baseados em aprendizado de máquina, proporcionam as seguintes funcionalidades:

• Detecção de Anomalias: Algoritmos de IA analisam padrões de tráfego de rede e comportamento de dispositivos em tempo real, identificando anomalias que indicam ameaças como malware, ransomware ou acessos não autorizados. Por exemplo, a Cyber Energia, lançada em 2024, utiliza IA para monitorar infraestruturas de energia renovável, oferecendo visualização em tempo real de ataques.
• Manutenção Preditiva: Agentes de IA preveem falhas em equipamentos, reduzindo perdas técnicas em até 15%, conforme destacado em um artigo da Xenonstack de março de 2025. Isso é particularmente relevante para sistemas SCADA, onde falhas podem ser exploradas por atacantes.
• Resposta Automatizada: IA pode isolar sistemas comprometidos, bloquear tráfego malicioso ou executar respostas predefinidas, minimizando danos em milissegundos, como discutido em um artigo da Venturus de 2025.
• Otimização de Redes: Agentes de IA ajustam dinamicamente a geração de energia renovável, estabilizando redes com intermitência, o que é essencial para a integração de fontes eólicas e solares prevista na Portaria 111/2025.

Apesar de suas vantagens, a implementação de agentes de IA exige auditorias rigorosas para garantir conformidade com normas emergentes, como o Projeto de Lei nº 2.338/2023, que regula o uso de IA no Brasil. Por experiência, reforço minha sugestão por auditorias de segurança, assegurando que sejam implementadas de forma segura e eficaz.

Melhoria da Segurança do Protocolo DNP3

O protocolo DNP3, amplamente utilizado em sistemas SCADA no setor elétrico, tem recebido melhorias significativas de segurança para enfrentar os desafios da digitalização. As principais avanços incluem:

• DNP3 Secure Authentication (DNP3-SA): Introduzido na versão 2.00, o DNP3-SA utiliza chaves criptográficas simétricas para autenticação mútua entre estações mestras e dispositivos de campo, prevenindo ataques como impersonação e reinjeção de tráfego. A versão DNP3-SAv6 oferece autenticação de ponta a ponta, alinhada a padrões criptográficos internacionais.
• Criptografia com TLS: Conforme a norma IEC 62351-3, o uso de Transport Layer Security (TLS) protege comunicações DNP3 contra interceptação, garantindo confidencialidade e integridade.
• Monitoramento de Portas Críticas: Recomenda-se monitorar a porta TCP/UDP 20000 para detectar atividades suspeitas, especialmente em funções críticas como write, operate e cold_restart, que podem causar disrupturas se comprometidas.
• Conformidade com Normas Internacionais: O DNP3 é compatível com a norma IEC 62351-5, que define requisitos de segurança para sistemas de energia, incluindo autenticação e criptografia.

Embora essas melhorias fortaleçam o DNP3, sua implementação completa depende de auditorias para verificar configurações adequadas e conformidade, especialmente em sistemas legados.

Melhores Práticas para Proteger Sistemas SCADA

Para mitigar os riscos cibernéticos, as empresas devem adotar práticas alinhadas com padrões globais, como o NIST Cybersecurity Framework e a norma IEC 62443. As recomendações incluem:

• Avaliações de Risco Regulares: Realizar análises periódicas para identificar vulnerabilidades em hardware, software e redes, utilizando ferramentas como varreduras de vulnerabilidades e testes de penetração.
• Controles de Acesso Fortes: Implementar autenticação multifator (MFA) e o princípio do menor privilégio, garantindo que apenas usuários autorizados acessem sistemas críticos.
• Segmentação de Rede: Isolar sistemas SCADA com firewalls e redes virtuais privadas (VPNs), limitando a propagação de ataques, como recomendado pela norma IEC 62443-3-3.
• Criptografia de Comunicações: Proteger dados em trânsito com TLS, conforme a norma IEC 62351-3, e em repouso com algoritmos como AES-256.
• Gerenciamento de Patches: Atualizar software e firmware regularmente para corrigir vulnerabilidades conhecidas, priorizando sistemas críticos.
• Planos de Resposta a Incidentes: Desenvolver e testar planos de contenção e recuperação, incluindo backups regulares e simulações de ataques, conforme orientado pelo NIST SP 800-82.
• Treinamento de Funcionários: Conscientizar equipes sobre riscos cibernéticos, como phishing e engenharia social, reduzindo erros humanos, uma das principais causas de incidentes.
• Participação em Programas de Inteligência: Integrar programas como o Cybersecurity and Infrastructure Security Agency’s CRISP para compartilhar informações sobre ameaças, melhorando a detecção proativa.

A tabela abaixo resume essas práticas:

Prática	Descrição	Benefício
Avaliação de Risco	Identificar vulnerabilidades em sistemas SCADA	Previne ataques proativamente
Controles de Acesso	Autenticação multifator e princípio do menor privilégio	Reduz acessos não autorizados
Segmentação de Rede	Isolar sistemas críticos com firewalls	Limita propagação de ataques
Criptografia	Proteger comunicações com TLS	Garante confidencialidade dos dados
Gerenciamento de Patches	Atualizar software e firmware regularmente	Corrige vulnerabilidades conhecidas
Resposta a Incidentes	Planos para conter e mitigar ataques	Minimiza danos de incidentes
Treinamento	Conscientizar sobre riscos cibernéticos	Reduz erros humanos
Inteligência Compartilhada	Participar de programas como CRISP	Melhora detecção de ameaças

Mapa de Auditoria de Segurança para Sistemas SCADA

Um mapa de auditoria de segurança é essencial para proteger sistemas SCADA e de auto-cura. Baseado nas recomendações do NIST e nas melhores práticas do setor, o seguinte processo estruturado é proposto:

1. Inventário de Ativos: Mapear todos os componentes do sistema SCADA, incluindo hardware (RTUs, IEDs), software (sistemas operacionais, aplicativos) e redes de comunicação (DNP3, Modbus). Isso garante uma visão completa dos pontos de vulnerabilidade.
2. Avaliação de Vulnerabilidades: Realizar testes de penetração e varreduras de vulnerabilidades para identificar falhas, como software desatualizado ou portas abertas, usando ferramentas especializadas.
3. Mapeamento de Rede: Documentar a arquitetura de rede para identificar pontos de entrada, como conexões externas ou dispositivos não supervisionados, e implementar segmentação para isolar sistemas críticos.
4. Verificação de Controles de Segurança: Avaliar a implementação de autenticação multifator, criptografia e controles de acesso, garantindo conformidade com normas como IEC 62351 e LGPD.
5. Monitoramento Contínuo: Configurar sistemas de detecção de intrusões (IDS) e análise comportamental para identificar atividades suspeitas em tempo real, integrando agentes de IA para maior precisão.
6. Plano de Resposta a Incidentes: Desenvolver procedimentos para isolar sistemas comprometidos, restaurar operações e notificar autoridades, alinhados com o NIST SP 800-82.
7. Plano de Recuperação: Estabelecer backups regulares e testes de restauração, especialmente para sistemas de auto-cura, garantindo que mecanismos de recuperação não sejam manipulados por atacantes.

Esse mapa de auditoria, quando conduzido por especialistas com conhecimento em SCADA e IA, assegura a proteção contra ameaças emergentes e a conformidade com regulamentações.

Conclusão

O setor de energia elétrica brasileiro enfrenta um momento crítico, com a digitalização proposta pela Portaria 111/2025 e a abertura do mercado livre pela MP 1.300/2025 ampliando os riscos cibernéticos. O ataque ao Pix em julho de 2025, que explorou vulnerabilidades em sistemas terceirizados, é um alerta claro: sistemas SCADA são alvos prioritários para ciberataques que podem causar apagões, danos físicos e perdas econômicas. Os cortes orçamentários na ANEEL, reduzindo sua capacidade de fiscalização e resposta, transferem a responsabilidade de segurança para as empresas do setor, tornando auditorias cibernéticas uma necessidade urgente.

Agentes de IA oferecem soluções promissoras, como detecção de anomalias e resposta automatizada, mas sua implementação exige auditorias rigorosas para garantir eficácia e conformidade. Minha experiência em SCADA, IA e AIoT em projetos de infraestruturas críticas, reforça minha recomendação por auditorias especializadas que mapeiam vulnerabilidades e a implementação de práticas robustas de segurança para garantir a proteção de sistemas contra ameaças cibernéticas avançadas. As empresas devem agir agora para evitar incidentes devastadores. Auditorias de segurança cibernética não são apenas uma precaução, mas uma estratégia essencial para garantir a resiliência e a continuidade do setor elétrico.