A seguir, entrevista concedida na 6a feira pelo diretor-geral do ONS, Hermes Chipp:
O que ocorreu no site da ONS? É possível haver invasões?
Hermes Chipp - Houve uma falha. Corrigimos. Não existe um sistema que tenha risco zero. Cada vez que acontece [a descoberta de um ponto vulnerável], a gente reavalia.
Nós não somos perfeitos. Alguém sempre pode entrar. Mas a rede corporativa é separada da rede operacional. Ocorre que não estamos isentos nem existe solução perfeita.
Como foi descoberto o problema?
Chipp - Uma pessoa noticiou em um blog e nós verificamos. Corrigimos o problema com a ajuda da comunidade de segurança de informações, especialistas em tecnologia. O sistema estava respondendo com uma mensagem de erro de maneira indevida. Isso não existe mais.
O ONS detectou se houve algum tipo de invasão ao sistema?
Chipp - Não houve registro de invasão nem há registro de tentativa de invasão.
Não deveria ter havido um trabalho preventivo?
Chipp - Foi e está sendo feito. O que ocorre é que há também muitos tentando descobrir uma forma de penetrar no sistema. E nós sempre estamos nos aperfeiçoando. Mas quem disser que tem 100% de proteção contra hackers está mentindo.
Ainda que o sistema operacional seja, como o sr. diz, separado do corporativo, a vulnerabilidade encontrada permitia a uma pessoa má intencionada modificar as informações do banco de dados do ONS.
Chipp - Qualquer alteração de dados é checada. Todos os comandos operacionais são dados por voz e ficam gravados. Não é o sistema de computadores que automaticamente faz alguma alteração.
Sim, mas a ordem por voz é dada com base nos dados do sistema. Se os dados são alterados, não pode ocorrer de uma ordem ser dada indevidamente?
Chipp - Não, porque nós temos uma atualização de dados a cada meia hora. São 48 atualizações por dia. Quem está envolvido percebe quando ocorre alguma mudança brusca e sempre faz uma checagem.
Nesse episódio do apagão de terça-feira, qual a chance de o sistema do ONS ter sido vítima de alguma invasão por meio da internet?
Chipp - Nenhuma. Não ocorreu isso. Já está esclarecida a razão do blecaute.
O sr. poderia descrever o que se passou?
Chipp - Tudo está documentado e será apresentado no que chamamos de RAP, ou relatório de análise de perturbações. Fica pronto até o fim do dia na terça-feira. Devo apresentar tudo em Brasília, inclusive na Comissão de Minas e Energia da Câmara, na quinta-feira. Nesse relatório estarão os oscilogramas mostrando as descargas e os curtos-circuitos que derrubaram as três linhas de transmissão vindas de Itaipu.
O sr. poderia esclarecer o que são esses oscilogramas?
Chipp - Há aparelhos chamados oscilopertubógrafos que registram o que se passa no sistema de transmissão quando há anormalidades. São curvas que são registradas com todas as variações possíveis. Nesse caso, há dados mostrando uma coincidência de descargas na região de Itaberá (SP), com a derrubada quase simultânea das três linhas.
Mas há relatos de que não houve chuva tão forte na região...
Chipp - É bom explicar essa aparente contradição. Neste momento, não é relevante constatar se houve ou não incidência intensa de muitos raios. O que importa é saber se houve descarga nas linhas a ponto de derrubar o circuito. E isso está comprovado nos oscilogramas. O tempo total para o desligamento dos três circuitos foi da ordem de 120 milissegundos, caracterizando praticamente três curtos-circuitos simultâneos.
Mas então aí está demonstrada uma vulnerabilidade do sistema. Esse tipo de apagão pode ocorrer de novo a qualquer momento?
Chipp - Essas linhas de Itaipu existem desde meados da década de 1980. Nunca tivemos um episódio desses com três circuitos caindo ao mesmo tempo. De 2000 para cá, já houve nove episódios em que três circuitos caíram, mas não exatamente ao mesmo tempo. Em todas essas nove vezes, o sistema foi capaz de se reequilibrar sem o que aconteceu na terça-feira. Agora, se você me perguntar se há hipótese de descargas elétricas derrubarem três circuitos de uma vez, vou dizer que essa possibilidade é remotíssima, mas não impossível.
O ONS tem sido criticado por não ter um sistema capaz de evitar um apagão semelhante. Por exemplo, detectar imediatamente a queda dos três circuitos e segregar uma parte do país.
Chipp - Isso seria impossível pelo tempo envolvido: 120 milissegundos. A única forma de evitar um blecaute como o de terça-feira seria construir um sistema de pelo menos mais dois circuitos correndo em paralelo ao atual. Algo como um sistema redundante. É economicamente inviável. Sou presidente de um grupo dos 12 maiores operadores de sistema elétricos do mundo e sei que inexiste esse tipo de plano de contingência ou critério de segurança em outros países. O custo seria muito alto para conter efeitos de eventos de remotíssima probabilidade.
Então o sistema continuará vulnerável?
Chipp - Não creio que essa seja a forma correta de descrever o sistema. Houve um fato inédito: descargas elétricas simultâneas que derrubaram três circuitos de uma só vez em um local próximo à mesma subestação. No ano passado tivemos em um dia a queda de sete torres dos circuitos vindos de Itaipu por causa de fortes ventos. Duas linhas caíram e o que sobrou segurou o sistema. Ou seja, há segurança no atual modelo, mas não para quando ocorrem fenômenos dessa natureza, com descargas elétricas que derrubam os três circuitos de uma vez.
O fato de terem ocorrido as descargas elétricas simultâneas em três linhas não abre a hipótese de ter ocorrido sabotagem? De que essas descargas tenham sido provocadas por alguém de forma deliberada? Os oscilogramas podem descartar essa teoria?
Chipp - A hipótese de sabotagem está descartada. Temos a comprovação dos danos causados aos equipamentos, que estão chamuscados na subestação de Itaberá. Um ser humano não conseguiria fazer isso. Os oscilogramas mostram que os eventos ocorreram de maneira simultânea. No relatório da terça-feira saberemos o local exato nas linhas. Para ter sido sabotagem seria necessário que três pessoas, ao mesmo tempo, tivessem conseguido conectar um aparelho às linhas, gerado grande diferença de potencial, rompido os isolamentos e provocado os curtos-circuitos. Tudo num tempo total, nas três linhas, de 120 milissegundos.
Mas alguém poderia ter sabotado o sistema de controle. Por exemplo, penetrado no sistema e trocado dados para forçar uma ordem errada?
Chipp - Não há evidência de dados trocados no nosso sistema. Além disso, para provocar tal acidente, a troca de dados teria de ser de tal magnitude que nunca passaria sem ser notada. Quando entra um dado atípico, há uma checagem. E o sistema não tem nenhum registro dessa natureza nem de que houve alguma ordem errada.
Que tal seguir o blog no Twitter?
Aqui, depois clique em "follow" [seguir]