
Vulnerabilidades cibernéticas no setor de energia renovável na América Latina
25 de setembro de 2024
Principais conclusões:
PANORAMA GERAL
À medida que o setor de energia renovável se expande, as empresas estão enfrentando ataques cibernéticos mais sofisticados e frequentes, direcionados à infraestrutura de energia.
Ao mesmo tempo, algumas dessas empresas também estão navegando pelas eficiências e desafios introduzidos pelas tecnologias de inteligência artificial (IA).
Ao analisar a gestão de riscos cibernéticos na América Latina, aspectos específicos da região são preocupantes, como gestão da cadeia de suprimentos, resiliência corporativa e segurança de aplicativos, o que mostra sua fragilidade.
Por outro lado, os seguros no domínio das energias renováveis ainda não atingiram todo o seu potencial, em parte devido à incerteza sobre as exposições ao risco e aos modelos de quantificação catastróficos. Há, portanto, um esforço claro para resolver uma lacuna crescente de proteção.
EM PROFUNDIDADE
Na conferência sobre mudanças climáticas COP28 em Dubai, mais de 130 governos federais concordaram em trabalhar juntos para triplicar a capacidade instalada de energia renovável do mundo para pelo menos 11.000 GW até 2030. Nesse movimento global em direção à segurança energética, a energia renovável deve ultrapassar o carvão como la a maior fonte de geração de eletricidade.
Globalmente, a participação das energias renováveis na geração de eletricidade atingiu 29% em 2021, liderada por hidrelétrica, eólica e solar.
Na América Latina, o panorama mostra o peso crescente que as energias renováveis estão adquirindo em sua matriz energética. De acordo com dados da Organização Latino-Americana de Energia (OLADE), o setor de energia renovável na América Latina e no Caribe representa:
• 25% da composição da matriz energética primária da região.
• 59% da geração de eletricidade vem de fontes renováveis.
• A intenção é atingir 70% da geração de eletricidade a partir de energias renováveis antes de 2030.
Além disso, espera-se que:
• A capacidade total de geração instalada na região duplique para mais de 1TW até meados do século.
• A geração livre de carbono chegue a 82% até 2050.
Em relação ao investimento no setor:
• Entre 2010 e 2015, o investimento total em geração de energia renovável na América Latina atingiu cerca de US$ 120 bilhões.
• Espera-se que as energias renováveis e seu armazenamento representem 80% do total de investimentos em nova capacidade de energia na América Latina até 2050, ou cerca de US$ 459 bilhões.
Ataques cibernéticos no setor de energia renovável na América Latina até 2024
Em 2022, vários estudos indicaram que as principais formas pelas quais ocorreram ataques cibernéticos a empresas de todos os tipos na América Latina foram: 39% por hackers ou intrusão, 37% por acesso não autorizado e 11% por erro ou negligência de funcionários. Em uma porcentagem menor (abaixo de 10% cada), figuram: exposição online acidental, roubo físico, dados em movimento e roubo interno. Isso destaca a falta de preparo e conscientização dos funcionários dentro das organizações.
“A Pesquisa Global de Gestão de Riscos da Aon, realizada em 2023, coloca o ataque cibernético ou violação de dados como o quinto risco atual para o setor de recursos naturais. Portanto, à medida que a base de ativos de energia renovável avança na América Latina, é mais provável que o número de ataques a essas instalações também aumente”, disse Edwin Sabogal, Cyber Regional Manager para a América Latina da Aon.
Os números comprovam: o aumento dos ataques cibernéticos ao setor de energia renovável na América Latina é alarmante, especialmente o ransomware, causando interrupções e milhões de dólares em perdas contra infraestruturas críticas, como usinas nucleares e empresas petrolíferas e, portanto, interrupções nos serviços públicos.
De acordo com dados da Organização Latino-Americana de Energia (OLADE), o impacto econômico desses ataques cibernéticos na região representa aproximadamente 1% do PIB anual, podendo aumentar até 6% se a infraestrutura crítica for comprometida.
“Com a geração de potenciais interrupções e perdas financeiras consideráveis, as empresas do setor devem priorizar soluções robustas de segurança cibernética. No entanto, existem aspectos específicos da região que são preocupantes: gerenciamento da cadeia de suprimentos, resiliência corporativa e segurança de aplicativos, demonstrando a fragilidade das empresas latino-americanas a ameaças cibernéticas”, explicou o especialista da Aon.
A esses três aspectos apontados por Edwin Sabogal, somam-se a falta de regulamentação clara, a escassez de especialistas qualificados e o investimento limitado em tecnologia de segurança. Apenas dez dos 33 países da América Latina e do Caribe estão acima da média global no Índice Global de Segurança Cibernética 2020, destacando a lacuna existente nessa área.
Medidas de defesa
Trabalho conjunto entre as funções responsáveis pela segurança cibernética
As empresas da América Latina estão aprendendo que a colaboração entre o Chief Information Security Officer (CISO), o Chief Risk Officer (CRO) e/ou o Chief Financial Officer (CFO) é cada vez mais necessária para coordenar os esforços de segurança cibernética.
Embora historicamente tenha havido pouca ou quase nenhuma interação entre os líderes de risco e segurança da informação, isso mudou significativamente e, agora, há um esforço da alta administração para criar uma maior interconexão que favoreça os processos de tomada de decisão e melhore a governança corporativa.
Embora CROs e CISOs possam, instintivamente, compartilhar a intenção de reduzir o risco cibernético, eles podem não saber até que ponto seus objetivos estão realmente alinhados entre si. O ideal seria aumentar a colaboração entre o CISO e o CRO para apoiar a segurança cibernética.
IA na América Latina
Em 2024, o uso de inteligência artificial (IA) está sendo integrado a diversas áreas operacionais de empresas de energia renovável na América Latina, facilitando a otimização de processos e melhorias de eficiência, como:
• Automação de processos visando à melhoria da gestão da cadeia de suprimentos e otimização da produção de energia.
• Análise de dados com o uso de algoritmos para prever a produção de energia e gerenciar a demanda de forma mais eficaz.
• Manutenção preditiva com a implementação de IA para antecipar falhas de equipamentos e otimizar a manutenção, reduzindo custos e melhorando a eficiência operacional.
O cenário regulatório
Vários países da América Latina assumiram a tarefa de estabelecer sua própria legislação para proteção de dados e segurança da informação. Entre as iniciativas implementadas nos países da região, estão o estabelecimento de uma estrutura para o desenvolvimento de novas estratégias de segurança cibernética e segurança da informação, leis de proteção de dados e avaliação de ameaças cibernéticas, entre muitas outras.
O próximo passo será manter os regulamentos atualizados e sob constante revisão para mantê-los em dia, bem como para que possam trabalhar juntos no nível latino-americano, como é feito na União Europeia.
Resiliência e Gestão de Riscos
Gestão de riscos e resiliência significam uma série de práticas e processos que permitem que uma empresa se antecipe, prepare-se, responda e se adapte a crises, desafios ou interrupções operacionais, a fim de proteger suas funções de negócios mais importantes e prosperar em um ambiente cada vez mais desafiador.
Dentro dessa gestão, os danos materiais derivados de incidentes ou ataques cibernéticos também são uma prioridade para o setor de energia renovável. No entanto, as apólices TRDM (All Risk Property Damage) tradicionalmente excluem esse tipo de perda. Como resultado, cresceu o interesse em uma solução de transferência de risco para resolver essa lacuna.
Outro elemento crítico na gestão e resiliência de riscos cibernéticos é a avaliação dos riscos relacionados à cadeia de suprimentos. Seja porque uma empresa usa terceiros ou fornecedores ou porque é fornecedora de outra entidade. Uma interrupção das operações comerciais devido a uma violação de segurança em um membro da cadeia de suprimentos tem a capacidade de gerar não apenas a interrupção das atividades, mas também perdas consideradas como lucro cessante.
“Negociamos regularmente a inclusão de cobertura para casos de falhas de terceiros decorrentes de eventos cibernéticos. Tais falhas, é claro, podem ter efeitos enormes sobre nossos segurados diretos. A cobertura de interrupção de negócios de uma forma ampla é vital para garantir uma proteção robusta contra a exposição que está fora de seu próprio ambiente de tecnologia”, explica Edwin Sabogal.
Seguro para empresas de energia renovável para a América Latina
O seguro para empresas de energia renovável na América Latina é projetado para mitigar os riscos associados à geração e distribuição de energia limpa, mas com tipos de seguro mais tradicionais, como:
I. Seguro de Danos Materiais de todos os riscos, que cobre danos em instalações de energia renovável, como usinas solares e eólicas, devido a eventos como desastres naturais, vandalismo ou falhas técnicas.
II. Seguro de responsabilidade civil, que protege as empresas contra reclamações por danos a terceiros, que possam vir da operação de suas instalações.
III. Seguro de interrupção de negócios, que compensa as empresas por perdas de receita devido a interrupções na operação causadas por eventos cobertos, como danos à infraestrutura.
IV. Seguro cibernético que, com o aumento dos ataques cibernéticos, tornou-se crucial para cobrir perdas financeiras e danos à reputação resultantes de ataques cibernéticos que afetam a operação de instalações de energia.
O seguro é uma ferramenta essencial para as empresas de energia renovável na América Latina em 2024, fornecendo proteção financeira e incentivando o investimento em um setor que enfrenta oportunidades e desafios significativos.