# Aprimorando a segurança da rede elétrica: atendendo aos requisitos NERC CIP com o Bitwarden ## Visão geral A [North American Electric Reliability Corporation](https://www.nerc.com/Pages/default.aspx) (NERC) é um órgão regulador internacional sem fins lucrativos dedicado a definir padrões de conformidade que ajudam a reduzir os riscos à rede elétrica e aos sistemas de energia que atendem centenas de milhões de pessoas nos Estados Unidos, no Canadá e em parte do México. Os requisitos de [Proteção de Infraestrutura Crítica](https://www.nerc.com/pa/Stand/Pages/Cyber-Security-Permanent.aspx) (CIP) da NERC explicam por que uma estrutura de cibersegurança projetada para proteger e resguardar ativos críticos é vital para o fornecimento confiável e eficaz de eletricidade em todo o sistema elétrico de grande porte (BES) da América do Norte. Esses padrões são aplicados como regulamentos, tornando-os uma exigência legal. A Federal Energy Regulatory Commission (FERC) desempenha um papel crucial na aplicação desses padrões NERC CIP para aumentar a segurança e a confiabilidade da rede elétrica, especialmente após grandes apagões ao longo da história. A NERC citou um [aumento nas ameaças cibernéticas](https://www.reuters.com/technology/cybersecurity/us-electric-grid-growing-more-vulnerable-cyberattacks-regulator-says-2024-04-04/) contra as redes elétricas norte-americanas, afirmando em uma transmissão pela web que os “pontos fracos virtuais e físicos das redes, ou pontos em software ou hardware suscetíveis a cibercriminosos, aumentaram para uma faixa de 23.000 a 24.000”. Este artigo detalha a natureza das ameaças crescentes à rede elétrica. Ele também explora como o gerenciamento de senhas de nível empresarial aumenta a resiliência da segurança no setor de energia, fortalece a [segurança de senhas](https://bitwarden.com/pt-br/how-secure-is-my-password/) e garante controles de acesso que limitam ameaças internas e externas em conformidade com os padrões NERC CIP. ## A rede elétrica como vetor de ataque A rede elétrica é um componente crítico do crescimento econômico, afetando tanto a infraestrutura quanto a segurança nacional. Em termos simples, sem um sistema elétrico de grande porte em funcionamento, a sociedade pararia. Isso também a torna um alvo excepcionalmente atraente para cibercriminosos.  Uma constatação recente do [Government Accountability Office (GAO)](https://www.gao.gov/blog/securing-u.s.-electricity-grid-cyberattacks) revela os desafios crescentes para proteger a tecnologia operacional no setor de energia, observando que:  > “Há vários pontos de vulnerabilidade no sistema de redes elétricas dos EUA. Por exemplo, os sistemas de distribuição da rede — que transportam eletricidade dos sistemas de transmissão aos consumidores — tornaram-se mais vulneráveis, em parte porque sua tecnologia operacional permite cada vez mais acesso remoto e conexões a redes corporativas. Isso poderia permitir que agentes de ameaça acessassem esses sistemas e potencialmente interrompessem as operações. > Nações e grupos criminosos representam as ameaças cibernéticas mais significativas à infraestrutura crítica dos EUA, de acordo com a Avaliação Anual de Ameaças de 2022 do Diretor de Inteligência Nacional. Esses agentes de ameaça estão cada vez mais capazes de atacar a rede elétrica.” Ataques recentes contra a rede elétrica exploram vulnerabilidades físicas e de cibersegurança. A NERC [se referiu às ameaças cibernéticas](https://www.eenews.net/articles/tensions-at-home-and-abroad-pose-growing-threat-to-us-grid/) como “mais difíceis de quantificar diretamente”. Como observado acima, as fragilidades de segurança no sistema elétrico aumentaram, resultando em uma média de 60 ataques cibernéticos adicionais por dia. ## Detalhamento dos padrões NERC CIP para proteção de infraestrutura crítica Há 13 requisitos NERC CIP relevantes para empresas de redes elétricas: - [Categorização de sistemas cibernéticos BES](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-002-5.1a.pdf): exige que as organizações identifiquem ativos que poderiam comprometer o BES mais amplo em caso de ataque cibernético e que categorizem e protejam esses ativos de acordo. Isso inclui identificar e proteger “ativos cibernéticos BES” e “ativos cibernéticos críticos” para garantir a operação confiável do BES. - [Controles de gerenciamento de segurança](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-003-8.pdf): as organizações devem implementar controles de gerenciamento de segurança, como treinamento de pessoal e comunicação de incidentes de segurança, que protejam os sistemas cibernéticos BES contra comprometimento. - [Pessoal e treinamento](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-004-6.pdf): indivíduos que acessam sistemas cibernéticos BES devem passar por uma avaliação de risco e receber treinamento de conscientização em segurança.  - [Perímetros de segurança eletrônica](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-005-6.pdf): as organizações devem definir e, em seguida, proteger perímetros de segurança eletrônica (ESPs) que protejam os ativos BES. - [Segurança física dos sistemas cibernéticos BES](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-006-6.pdf): as equipes devem ter um plano de segurança física para proteger os sistemas cibernéticos BES contra comprometimento. - [Gerenciamento de segurança de sistemas](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-007-6.pdf): este padrão especifica os requisitos técnicos, operacionais e procedimentais necessários para proteger a ciberinfraestrutura do BES, como monitorar e remover códigos maliciosos e alterar senhas padrão conhecidas. - [Relato de incidentes e planejamento de resposta](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-008-6.pdf): descreve os requisitos de resposta a incidentes, como a frequência com que documentar e por quanto tempo reter evidências de incidentes. - [Planos de recuperação para sistemas cibernéticos BES](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-009-6.pdf): aborda os requisitos de planos de recuperação para apoiar a estabilidade contínua do BES em caso de incidente. - [Gerenciamento de alterações de configuração e vulnerabilidades](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-010-3.pdf): para prevenir e detectar alterações não autorizadas em sistemas cibernéticos BES, as organizações devem seguir as especificações sobre quando e como definir configurações. - [Proteção de informações](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-011-2.pdf): As empresas devem proteger as informações críticas para a operação do BES durante o armazenamento, o uso e o trânsito. - [Comunicações entre centros de controle](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-012-1.pdf): Os dados transmitidos entre centros de controle devem ser protegidos o tempo todo. - [Gerenciamento de riscos da cadeia de suprimentos](https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-013-1.pdf): As organizações devem implementar controles de segurança para mitigar riscos da cadeia de suprimentos. - [Segurança física](https://www.ferc.gov/media/reliability-standard-cip-014-3): As organizações devem implementar um plano para proteger suas instalações físicas e subestações contra ataques físicos. A lista de verificação de conformidade com a NERC CIP é bastante extensa. Com foco aqui nas recomendações de segurança de senhas, as diretrizes recomendam que as organizações: - Revoguem o acesso a contas compartilhadas para evitar uma situação em que as senhas em dispositivos de subestações e geração sejam alteradas constantemente devido à rotatividade de funcionários. - Usem um gerenciador de senhas para garantir senhas fortes e [exclusivas](https://bitwarden.com/pt-br/password-generator/) nas contas, ajudando a mitigar o risco de ataques bem-sucedidos de pulverização de senhas ou preenchimento de credenciais, além de minimizar o [compartilhamento de senhas](https://bitwarden.com/pt-br/blog/password-sharing-best-practices-for-teams/) inseguro ou acidental com pessoas não autorizadas. - Implementem a autenticação multifator para reforçar ainda mais a segurança. - Evitem ataques de senha online limitando o número de tentativas que um invasor pode fazer. ## Por que o Bitwarden é a melhor solução de senhas para o sistema elétrico de grande porte Um [ataque cibernético](https://bitwarden.com/pt-br/blog/what-is-a-cyberattack/) contra um sistema de rede elétrica poderia paralisar operações e o fornecimento crítico de energia. Felizmente, softwares de conformidade com a NERC CIP, como o Bitwarden, são a primeira linha de defesa contra cibercriminosos. Ao permitir que fornecedores de energia gerem e gerenciem senhas fortes e exclusivas, o Bitwarden reduz sua vulnerabilidade a violações relacionadas a senhas. Outros benefícios importantes incluem: - **Controles de acesso baseados em função** que permitem aos administradores personalizar e conceder permissões granulares, bem como [controlar quem tem acesso ](https://bitwarden.com/pt-br/help/user-types-access-control/)a determinadas funções. Ao limitar o acesso dos usuários com base na necessidade, as organizações de redes elétricas mantêm o controle sobre sistemas sensíveis. - Um **cofre criptografado de ponta a ponta** que protege não apenas senhas, mas também cartões corporativos e outras informações de identificação pessoal (PII). - **Recursos de autenticação multifator** oferecem às organizações uma segunda camada de autenticação para impedir ataques de força bruta ou ameaças internas. - **Recursos de compartilhamento de senhas** permitem que equipes e departamentos gerem, gerenciem e compartilhem com segurança senhas complexas e outros dados sensíveis de qualquer local ou dispositivo. - **Opções de integração fluidas e flexíveis** incluem logon único (SSO) com provedores de identidade e serviços de diretório (incluindo [SCIM](https://bitwarden.com/pt-br/help/about-scim/)). - **Onboarding simplificado** com um console de administração centralizado, no qual políticas corporativas podem ser habilitadas e usuários são provisionados automaticamente. - **Acesso multiplataforma** com um número ilimitado de dispositivos. - **Relatórios de vulnerabilidade** que revelam senhas fracas ou reutilizadas e registros de eventos detalhados para monitorar o acesso de usuários e grupos a dados sensíveis com trilhas de auditoria. - **Auditorias regulares**[**de segurança feitas por terceiros**](https://bitwarden.com/pt-br/blog/third-party-security-audit/), análise criptográfica e testes de penetração do Bitwarden para garantir que o gerenciador de senhas mantenha os mais altos padrões de segurança. Como o sistema elétrico de grande porte sustenta a economia, impacta a segurança nacional e impulsiona a vida cotidiana, é vital que as credenciais usadas por fornecedores de energia permaneçam altamente protegidas com senhas fortes e exclusivas. A implementação de um gerenciador de senhas em toda a empresa também trará grandes benefícios para organizações que precisam atender aos requisitos rigorosos e juridicamente vinculantes da NERC CIP. ## Comece a usar o Bitwarden Para explorar os recursos e capacidades empresariais do Bitwarden, comece com uma [avaliação gratuita hoje mesmo](https://bitwarden.com/pt-br/pricing/business/). ## Tenha agora uma segurança de senhas poderosa e confiável. Escolha seu plano. ## Pessoal ### Acabou de começar? *Obtenha o gerenciamento básico de senhas hoje mesmo. Sempre gratuito.* [Criar conta gratuita](https://bitwarden.com/go/start-free/) --- ### Premium **$1.65** *por mês* *Cobrado anualmente por US$ 19,80* Aproveite recursos premium - Autenticador integrado - Anexos de arquivos - Acesso de emergência - Bloqueador de phishing - Relatórios de segurança e muito mais Compartilhe itens do cofre com mais um usuário [Criar conta Premium](https://bitwarden.com/go/start-premium/) --- ### Famílias **$3.99** *por mês* *Até 6 usuários, cobrado anualmente por US$ 47,88* Proteja os logins da sua família - 6 contas premium - Compartilhamento ilimitado - Coleções ilimitadas - Armazenamento da organização Compartilhe itens do cofre entre seis pessoas [Iniciar teste gratuito do Families](https://bitwarden.com/go/start-families-trial/) --- Preços exibidos em USD e baseados em uma assinatura anual. Impostos não incluídos. ## Empresas ### Teams *Para equipes e empresas em crescimento que precisam avançar rapidamente.* **$4** *por mês / por usuário, cobrado anualmente* **Sem concessões** Todos os recursos Premium, além de recursos avançados como: - Compartilhe credenciais com segurança - Audite atividades com logs de eventos - Sincronize seu diretório existente - Automatize o provisionamento com SCIM [Iniciar teste gratuito](https://bitwarden.com/go/start-teams-trial/) --- ### Enterprise *Para empresas que precisam de proteção e controle avançados.* **$6** *por mês / por usuário, cobrado anualmente* **Proteção máxima** Todos os recursos Premium e Teams, além de recursos de nível empresarial como: - Controle de acesso granular - Integração com SSO sem senha - Recuperação de conta fácil - Flexibilidade para auto-hospedagem - Remediação de riscos com o Access Intelligence [novo] - Plano Families gratuito para todos os usuários [Iniciar teste gratuito](https://bitwarden.com/go/start-enterprise-trial/) --- ### Fale com vendas *Para grandes organizações, fale com um especialista sobre um plano sob medida e saiba como a Bitwarden pode:* *por mês* - Reduzir riscos de cibersegurança - Aumentar a produtividade - Integrar-se perfeitamente A Bitwarden se adapta a empresas de qualquer porte para levar segurança de senhas à sua organização [Fale com Vendas](https://bitwarden.com/talk-to-sales) --- Preços exibidos em USD e com base em uma assinatura anual. Impostos não incluídos.