Tanto as redes de TI quanto as de TO necessitam da seguranc¸a ciberne´tica e o setor ele´trico, nessa convergeˆncia das redes, ainda se depara com problemas relativos a conceitos e a` terminologia, impossibilitando que os requisitos, os riscos, os controles e as relac¸ o˜es entre eles sejam claramente compreendidos.

Para [ Uschold et al. 1996 ], ontologias podem ser utilizadas como estruturas unificadoras para resolver quest o˜es semelhantes ao que se apresenta neste artigo.

As diferenc¸as existentes em cada dom´ınio (TI e TO) apresentam desafios e restric¸ o˜es quando se trata de seguranc¸a ciberne´tica aplicada na infraestrutura cr´ıtica, mais espec´ıfico, no Sistema de Controle Industrial. Essas diferenc¸as persistem em treˆs n´ıveis: operacional, te´cnico e gerencial, impondo limitac¸ o˜es a` atuac¸a˜o conjunta na adoc¸a˜o de medidas de seguranc¸a ciberne´tica para a infraestrutura cr´ıtica do setor ele´trico [ Hahn 2016 ].

No Brasil, apesar de entidades como o Operador Nacional do Sistema (ONS) e a Ageˆncia Nacional de Energia Ele´trica (ANEEL) atuarem para formalizar um documento que sintetize os procedimentos m´ınimos esperados para a protec¸a˜o dos Sistemas de Controle Industrial no setor ele´trico, na˜o existe, atualmente, um guia u´ nico de implementac¸a˜o de controles, mas diversos documentos de requisitos de seguranc¸a utilizados em outros pa´ıses que sa˜o utilizados em iniciativas isoladas pelos agentes.

Como exemplo temos o padra˜o North American Electric Reliability Corporation - Critical Infrastructure Protection Standards (NERC-CIP) , a norma ISO/IEC 27019:2017: Information technology — Security techniques — Information security controls for the energy utility industry e os padr o˜es ISA/IEC 62443 - Security for industrial automation and control systems.

Assim, o questionamento que guia esta pesquisa e´ como oferecer um arcabouc¸o conceitual unificando os termos de Tecnologia da Operac¸ a˜o e Tecnologia da Informac¸a˜o relacionados a` seguranc¸a ciberne´tica, acrescido dos requisitos de seguranc¸a espec´ıficos para o setor, com o objetivo de apoiar a avaliac¸a˜o de seguranc¸a ciberne´tica da infraestrutura cr´ıtica do setor ele´trico brasileiro?

O objetivo geral deste projeto e´ demonstrar a contribuic¸a˜o de um modelo conceitual, utilizando-se ontologia, para organizar o conhecimento relativo a` seguranc¸a ciberne´tica aplica´vel na protec¸ a˜o dos sistemas de controle industrial da infraestrutura cr´ıtica do setor ele´trico brasileiro, tendo por base uma taxonomia criada a` partir da unificac¸a˜o de termos pertinentes das a´reas de TI e TO.

Infraestrutura cr´ıtica e´ um termo utilizado para descrever as instalac¸o˜es, servic¸os, bens e sistemas cuja interrupc¸a˜o ou destruic¸a˜o, total ou parcial, provoque se´rio impacto social, ambiental, econoˆmico, pol´ıtico, internacional ou a` seguranc¸a do Estado e da sociedade [ Brasil 2018 ].

O setor ele´trico e´ categorizado como uma infraestrutura cr´ıtica, cujos Sistemas de Controle Industrial necessitam de protec¸a˜o adequada para que ameac¸as ciberne´ticas na˜o causem a interrupc¸a˜o ou degradac¸a˜o da prestac¸a˜o de servic¸o essencial a` sociedade.

O crescente nu´mero de ataques ciberne´ticos ao setor, a grande quantidade de frameworks existentes em va´rios pa´ıses, normas e padro˜es que apresentam requisitos de protec¸ a˜o e a convergeˆncia entre as a´reas de TI e TO despertaram a necessidade de uma abordagem cient´ıfica que apoie a organizac¸a˜o do conhecimento referente a` seguranc¸a ciberne´tica no dom´ınio do setor ele´trico.

Por conseguinte, o setor ele´trico brasileiro carece de uma base que contemple, de modo unificado, os conceitos e as relac¸ o˜es dos termos relativos a` seguranc¸a ciberne´tica de TI e TO. Para [ Noy et al. 2001 ], entre os motivos para o desenvolvimento de uma ontologia cita-se a ana´lise do conhecimento de um dom´ınio e a capacidade de tornar expl´ıcitas as suposic¸o˜es impl´ıcitas no conhecimento do dom´ınio.

A despeito de um assunto em ascensa˜o, o tema seguranc¸a ciberne´tica no setor ele´trico brasileiro e´ carente de regulamentac¸a˜o espec´ıfica que trate a aplicac¸a˜o na infraestrutura cr´ıtica do setor. Ale´m disso, o conhecimento do dom´ınio deve ser abrangente e possuir o apoio de uma base conceitual que reflita o significado dos termos utilizados de modo compreens´ıvel por humanos e computadores, permitindo a remoc¸a˜o de ambiguidades nas avaliac¸o˜es de seguranc¸a e servindo como refereˆncia para o desenvolvimento de aplicac¸o˜es.

Alguns trabalhos refletem o interesse em representar o conhecimento sobre seguranc¸a ciberne´tica. A pesquisa bibliogra´fica inicial revelou uma subdivisa˜o em que foram utilizados termos como Sistema F´ısico-Ciberne´ticos (CPS), Sistema de Controle Industrial (ICS) e Sistema de Supervisa˜o e Aquisic¸a˜o de Dados (SCADA), o que corrobora com a percepc¸ a˜o do autor sobre a existeˆncia de diferentes perspectivas para abordar a questa˜o.

Compreendendo essa heterogeneidade terminolo´gica, cita-se [ Bergner and Lechner 2017 ] que abordam o desenvolvimento de uma ontologia de seguranc¸a de TI como uma diretriz de implantac¸a˜o de protec¸a˜o contra ataques hackers.

O trabalho de [ Shaaban et al. 2019 ] trata da seguranc¸a ciberne´tica de CPSs – sistemas ciberne´ticos que controlam entidades f´ısicas – apresentando um conjunto de ferramentas de seguranc¸a baseado em ontologia capaz de ser integrado com os esta´gios iniciais do processo de desenvolvimento de sistemas cr´ıticos.

Com foco em ICS encontramos [ Tebbe et al. 2016 ], que definem os requisitos sobre o conhecimento necessa´rio para executar uma avaliac¸a˜o de seguranc¸a de ICS e o ciclo de vida desse conhecimento. Com o foco voltado ao SCADA temos [ Krauß and Thomalla 2016 ] que, considerando a grande dependeˆncias desses sistemas pelas infraestruturas cr´ıticas, propo˜em uma ontologia para especificar um modelo de eventos de seguranc¸a, ataques e vulnerabilidades.

Direcionado ao setor ele´trico relacionamos o trabalho de [ Vorozhtsova and Skripkin 2018 ] que apresenta uma ana´lise ontolo´gica da terminologia associada ao conceito de vulnerabilidade no setor e tambe´m poss´ıveis meios de protec¸ a˜o para garantir a seguranc¸a ciberne´tica no setor de energia.

Conforme citado por [ Almeida and Bax 2003 ] metodologias teˆm sido desenvolvidas com o propo´sito de sistematizar a construc¸a˜o e a manipulac¸a˜o de ontologias.

Nos estudos iniciais foram vistos o me´todo de Uschold e King, a metodologia de Gru¨ninger e Fox e a metodologia Methontology, sendo esta u´ltima a escolhida para a construc¸a˜o da ontologia proposta neste estudo, composta pela etapas de especificac¸a˜o, conceitualizac¸a˜o, formalizac¸a˜o, implementac¸a˜o e manutenc¸a˜o [ Gomez-Perez et al. 2006 ].

A seguir, sa˜o apresentadas as etapas previstas na conduc¸a˜o desta pesquisa, entretanto adequac¸o˜es podem ser realizadas durante a execuc¸a˜o.

Iniciou-se o projeto com uma pesquisa bibliogra´fica, em bases de divulgac¸a˜o cient´ıficas, por trabalhos sobre o uso de ontologias para apoiar a seguranc¸a ciberne´tica aplicada a sistemas de controle industrial (ICS), bem como estudo de normas e padro˜es de seguranc¸a ciberne´tica aplica´veis ao setor ele´trico.

Nesta etapa foram selecionados os documentos mais relevantes de padro˜es de seguranc¸a ciberne´tica aplica´veis a` TI, TO e espec´ıficos para o setor ele´trico, conforme Tabela 1, sendo o crite´rio de selec¸a˜o a utilizac¸a˜o de padro˜es reconhecidos internacionalmente, quando na˜o encontradas refereˆncias nacionais.

Tabela 1. Fontes selecionadas para a cria c¸a˜ o do glossa´ rio de termos

Na etapa seguinte foram selecionados os documentos nacionais que entende-se que podem contribuir para o desenvolvimento da ontologia ao incorporar ao glossa´rio termos espec´ıficos do cena´rio brasileiro: • Decreto nº 9.573, de 22 de novembro de 2018 - Pol´ıtica Nacional de Seguranc¸a de

Infraestruturas Cr´ıticas; • Vocabula´rio Controlado da ANEEL; • PRODIST - documentos que normatizam e padronizam as atividades te´cnicas relacionadas ao funcionamento e desempenho dos sistemas de distribuic¸ a˜o de energia ele´trica.

Esta´ prevista a realizac¸a˜o de entrevistas com os especialistas do dom´ınio em uma distribuidora de energia ele´trica em Minas Gerais para colaborar com a criac¸a˜o das Questo˜es de Competeˆncia que apoiara˜o na delimitac¸a˜o do escopo e no delineamento dos objetivos da ontologia.

Em seguida, propo˜e-se extrair controles de seguranc¸a ciberne´tica dos documentos da Tabela 1 antes da construc¸a˜o da taxonomia de conceitos. Como parte dessa pesquisa de mestrado, ressalta-se que ainda se encontra em estudo os me´todos de construc¸a˜o de ontologias.

A fase contempla a busca por metodologias que auxiliem em uma sistema´tica avaliac¸a˜o da ontologia visando a qualidade do conteu´do e da metodologia, em alinhamento ao trabalho de [ Obrst et al. 2007 ].

Este artigo reflete os estudos realizados nas etapas iniciais da pesquisa e apresenta o planejamento das pro´ximas fases. Entre outras atividades, sera˜o realizadas ac¸o˜es para aquisic¸a˜o de conhecimento junto aos especialistas de dom´ınio. Sera´ ainda aprofundada a revisa˜o da literatura e relacionados os trabalhos cujos objetivos se aproximem e/ou apoiem o resultado almejado por este projeto.

Os resultados esperados ao final deste projeto de pesquisa devem compreender as entregas: (1) sob uma visa˜o pragma´tica da contribuic¸ a˜o para a sociedade, a capacidade de apoiar e ampliar a compreensa˜o dos operadores que atuam no setor ele´trico e por conseguinte, elevar o n´ıvel de protec¸ a˜o da infraestrutura cr´ıtica do setor ele´trico brasileiro; e (2) como contribuic¸a˜o cient´ıfica, a manutenc¸a˜o de um vocabula´rio controlado de seguranc¸a ciberne´tica aplicada ao setor ele´trico, em l´ıngua portuguesa, que possa ser utilizado como refereˆncia na organizac¸a˜o do conhecimento do dom´ınio, com a visa˜o de que o tema seguranc¸a ciberne´tica em infraestruturas cr´ıticas vem ganhando relevaˆncia devido a`s mudanc¸as que a tecnologia tem provocado na sociedade.