Segurança em Redes de Automação de Potência e Subestações: Considerações de Engenharia

Entenda como proteger redes de automação de potência e subestações com base na NBR 16932, IEC 61850, SCADA, Smart Grids, segurança OT, segmentação, monitoramento e ensaios de rede.

Confira!

Por que redes de automação de potência exigem uma abordagem própria de segurança

Redes corporativas normalmente são projetadas com foco em confidencialidade, integridade, disponibilidade, produtividade e proteção de dados. Já redes de automação de potência operam em outro regime de criticidade. Elas sustentam funções associadas a proteção, comando, supervisão, intertravamento, medição, registro de eventos, oscilografia, telecontrole e integração com centros de operação.

Em uma rede de subestação, uma perda de comunicação pode significar indisponibilidade de supervisão, atraso em alarmes, falha na coleta de eventos, perda de visibilidade operacional ou comprometimento de funções distribuídas. Em arquiteturas com IEC 61850, a rede também pode transportar mensagens de alta prioridade, como GOOSE e Sampled Values, que exigem tratamento cuidadoso de latência, prioridade, multicast e redundância.

Por isso, a segurança precisa ser desenhada desde a engenharia. Ela deve considerar a topologia elétrica, a filosofia de proteção, o arranjo dos bays, a arquitetura do SCADA, a localização dos IEDs, os fluxos de comunicação, o arquivo SCD, a infraestrutura física, o acesso remoto, os requisitos de teste e os procedimentos de operação e manutenção.

O papel da NBR 16932 na engenharia de redes IEC 61850

A ABNT NBR 16932 é uma das referências mais importantes para a engenharia de redes de comunicação aplicadas à automação de sistemas de potência. Ela organiza temas essenciais para o projeto de redes em ambientes IEC 61850, incluindo topologias, barramento de estação, barramento de processo, VLAN, multicast, redundância, sincronismo de tempo, gerenciamento, conectividade remota, ensaios e segurança.

Um ponto relevante é que a norma trata a rede como parte vital do sistema de automação. Isso significa que switches, enlaces, VLANs, relógios, portas, filtros e mecanismos de redundância não devem ser especificados apenas como infraestrutura de comunicação, mas como componentes que impactam diretamente a confiabilidade do sistema elétrico.

Na prática, a NBR 16932 ajuda o projetista a transformar requisitos funcionais em arquitetura de rede. Ela orienta decisões como separação de tráfego, uso de VLAN, filtragem multicast, qualidade de serviço, redundância por RSTP, PRP ou HSR, sincronismo PTP, gerenciamento por SNMP ou MMS e validação em testes de fábrica e campo.

IEC 61850: MMS, GOOSE e Sampled Values como elementos críticos da rede

A IEC 61850 padroniza a comunicação em sistemas de automação de potência e trouxe ganhos importantes de interoperabilidade, modelagem de dados e integração entre equipamentos. Ao mesmo tempo, ela aumentou a dependência da rede de comunicação para funções antes implementadas de forma mais isolada.

MMS para supervisão, controle e integração

O MMS é utilizado em comunicações cliente-servidor, normalmente associadas à supervisão, leitura de dados, comandos, relatórios, logs, configuração e integração com sistemas de automação. Em uma arquitetura SCADA, ele pode estar relacionado à comunicação entre IEDs, gateways, servidores e sistemas de engenharia.

Do ponto de vista de segurança, o MMS precisa ser considerado em políticas de acesso, segmentação, autenticação, disponibilidade e rastreabilidade. Uma arquitetura mal segmentada pode expor serviços de supervisão a redes que não deveriam alcançá-los.

GOOSE para eventos e funções de baixa latência

As mensagens GOOSE são usadas para troca rápida de eventos entre IEDs, sendo comuns em intertravamentos, lógicas distribuídas, sinais de proteção e automação. Como operam em multicast e exigem baixa latência, demandam atenção especial na configuração de VLAN, prioridade, filtragem e caminhos de rede.

O risco não está apenas em um atacante externo. Erros de engenharia, portas mal configuradas, falhas de filtragem multicast, switches sem prioridade adequada ou mudanças não controladas podem gerar perda de mensagens, atraso ou tráfego indevido. Por isso, segurança em IEC 61850 também envolve controle rigoroso de configuração e validação funcional.

Sampled Values e barramento de processo

Sampled Values são usados para transmissão de valores amostrados, especialmente em arquiteturas com barramento de processo. Nesses casos, a rede passa a transportar dados diretamente relacionados à medição e às funções de proteção. A exigência de desempenho, sincronismo e integridade se torna ainda mais crítica.

Uma rede com Sampled Values precisa ser projetada com controle de tráfego, capacidade adequada, priorização, sincronismo e redundância compatível com a filosofia de proteção. A segurança deve proteger a comunicação sem introduzir latência incompatível com a aplicação.

Segurança normativa: IEC 62351, IEC 62443, NIST SP 800-82 e ISO/IEC 27001

A própria NBR 16932 direciona o tema de segurança em redes IEC 61850 para a IEC 62351. Dentro desse conjunto, a IEC/TS 62351-6 é particularmente relevante por tratar segurança para IEC 61850. Essa referência é importante porque aborda segurança considerando o contexto específico de sistemas de potência, e não apenas controles genéricos de TI.

A IEC 62443 complementa essa visão com uma abordagem estruturada para redes industriais e sistemas de automação e controle. Conceitos como zonas, conduítes, níveis de segurança, defesa em profundidade, avaliação de riscos, políticas e ciclo de vida são especialmente úteis para organizar a segurança de subestações, centros de operação, redes de telecomunicação e acessos de engenharia.

O NIST SP 800-82r3 também é uma referência forte para segurança OT. Ele reforça que tecnologias operacionais possuem requisitos próprios de performance, confiabilidade e segurança física. Em redes de potência, essa distinção é essencial: uma medida de proteção que interrompe tráfego crítico pode gerar um risco operacional maior que o risco que pretendia reduzir.

Normas como ISO/IEC 27001, ISO/IEC 27032 e ISO/IEC 27036 ajudam a complementar o arcabouço com governança, gestão de segurança da informação, segurança cibernética e relacionamento com fornecedores. Em projetos de subestações, isso é importante porque integradores, fabricantes, equipes de manutenção, concessionárias, operadores e terceiros podem ter diferentes níveis de acesso ao ambiente OT.

Principais riscos em redes SCADA e Smart Grids

SCADA e Smart Grids ampliam a capacidade de supervisão, automação e tomada de decisão, mas também aumentam a superfície de exposição. A integração entre subestações, centros de operação, telecomunicações, redes corporativas, sistemas de manutenção, historiadores, acesso remoto e fornecedores exige uma política clara de arquitetura e segurança.

• Acesso remoto mal controlado: conexões permanentes, contas compartilhadas, ausência de MFA e falta de registro de sessão aumentam o risco operacional.
• Integração indevida entre TI e OT: rotas abertas entre rede corporativa e automação podem expor sistemas críticos a ameaças externas ou internas.
• Configuração incorreta de switches: VLANs, portas, prioridades, multicast, SNMP, firmware e protocolos de gerenciamento precisam de controle formal.
• Falta de inventário: sem inventário de IEDs, switches, gateways, servidores e versões de firmware, a gestão de risco fica incompleta.
• Dispositivos legados: equipamentos antigos podem ter limitações de autenticação, criptografia, logs, atualização e integração com ferramentas modernas.
• Falhas de sincronismo: perda ou degradação do tempo comum afeta SOE, oscilografia, análise de eventos e, em alguns casos, funções de processo.
• Topologia real diferente da projetada: mudanças em campo sem atualização documental podem comprometer redundância, diagnóstico e resposta a incidentes.

Arquitetura segura para redes de subestação

Uma arquitetura segura para redes de subestação deve começar pelo entendimento dos fluxos de comunicação. Antes de definir firewalls, VLANs, switches ou regras de acesso, é necessário saber quais dispositivos se comunicam, com quais protocolos, em quais direções, com quais requisitos de latência, prioridade, disponibilidade e registro.

Separação por zonas e conduítes

A separação por zonas e conduítes permite organizar a rede por função, criticidade e nível de exposição. Em uma subestação, zonas típicas podem incluir barramento de processo, barramento de estação, rede de proteção, rede de supervisão, DMZ OT, acesso de engenharia, rede de telecomunicações, centro de operação e rede corporativa.

Os conduítes representam os canais controlados entre zonas. Cada conduíte deve ter regras explícitas: quais protocolos são permitidos, quais origens e destinos são autorizados, quem pode acessar, quando o acesso é permitido, como os eventos são registrados e quais controles existem para detectar comportamento anômalo.

Segmentação com VLAN e filtragem multicast

VLANs são importantes para organizar domínios de tráfego, separar funções e controlar o alcance de mensagens. Em IEC 61850, elas são especialmente relevantes para GOOSE e Sampled Values, que podem utilizar multicast e prioridade de tráfego.

Entretanto, VLAN não deve ser tratada como barreira de segurança suficiente. Ela precisa ser combinada com políticas de portas, controle de acesso, autenticação quando aplicável, firewalls entre zonas, hardening de dispositivos, monitoramento contínuo, documentação e testes de aceitação. O objetivo não é apenas separar, mas garantir que o tráfego correto chegue ao destino correto no tempo correto.

Firewalls, DMZ OT e controle de tráfego

Entre a rede de automação e redes externas, a arquitetura deve prever uma DMZ OT ou camada equivalente de intermediação. Essa zona reduz a exposição direta de IEDs, gateways, servidores SCADA e estações de engenharia. Serviços como acesso remoto, transferência de arquivos, atualização, historiadores, integração com sistemas corporativos e monitoramento devem passar por controles dedicados.

Firewalls e gateways devem trabalhar com regras mínimas necessárias. Em ambientes OT, a liberação de portas e protocolos não deve ser genérica. Ela deve refletir os fluxos reais de engenharia, operação e manutenção. Sempre que possível, cada regra deve ter dono, justificativa, prazo de revisão e registro de alteração.

Acesso remoto seguro para engenharia e manutenção

O acesso remoto é um dos pontos mais sensíveis em redes de automação de potência. Ele pode ser necessário para suporte, atualização, diagnóstico e manutenção, mas precisa ser controlado. Boas práticas incluem autenticação multifator, contas individuais, autorização temporária, registro de sessão, jump server, segregação por perfil, bloqueio de acesso direto a ativos críticos e revisão periódica de permissões.

Também é recomendável que o acesso de fornecedores e integradores seja tratado como risco de cadeia de suprimentos. Isso envolve contrato, procedimento, trilha de auditoria, gestão de credenciais, janela de manutenção e responsabilidade técnica sobre alterações realizadas.

Redundância e alta disponibilidade: RSTP, PRP e HSR

Disponibilidade é um requisito de segurança em redes de automação de potência. Protocolos e arquiteturas como RSTP, PRP e HSR são usados para aumentar a resiliência da comunicação. A escolha depende da criticidade da aplicação, dos requisitos de recuperação, da topologia, do custo, da compatibilidade dos equipamentos e da filosofia de operação.

RSTP pode ser adequado em determinadas arquiteturas, mas possui tempo de reconvergência. PRP e HSR são projetados para alta disponibilidade com perda mínima ou nula de frames em cenários específicos. A decisão deve ser validada por engenharia e ensaio, principalmente quando houver GOOSE, Sampled Values ou funções críticas distribuídas.

Sincronismo de tempo com PTP, NTP e IRIG-B

O sincronismo de tempo é essencial para análise de eventos, sequência de eventos, oscilografia, correlação entre dispositivos e aplicações de barramento de processo. Em redes IEC 61850, PTP pode ser necessário quando há requisitos de alta precisão. Em outros contextos, NTP, SNTP ou IRIG-B podem aparecer conforme a arquitetura e a aplicação.

A segurança do sincronismo envolve redundância de relógios, localização adequada do grandmaster, controle de caminhos, monitoração de estado, validação de precisão e proteção contra alterações indevidas. Uma falha de tempo pode não interromper a comunicação, mas pode comprometer a confiabilidade da análise operacional.

Monitoramento e diagnóstico contínuo da rede

A segurança de uma rede de subestação não termina no comissionamento. A operação segura depende de monitoramento contínuo, diagnóstico e comparação entre o estado real e o estado esperado. A NBR 16932 destaca a importância de ferramentas de gerenciamento e diagnóstico capazes de acompanhar integridade, topologia, tráfego, dispositivos e links.

SNMP é uma tecnologia tradicional para gerenciamento de dispositivos de rede. Em ambientes IEC 61850, também pode haver integração por MMS e modelagem de objetos de comunicação. O ponto central é que switches, portas, enlaces, relógios, VLANs e mecanismos de redundância precisam ser observáveis.

Uma boa estratégia de monitoramento deve permitir descobrir dispositivos conectados, identificar links ativos, verificar estado de portas, comparar topologia real com a topologia de projeto, validar tráfego esperado, detectar alterações indevidas, medir carga de rede, monitorar perda de frames e gerar alarmes de degradação.

Ensaios e comissionamento: o que deve ser testado antes da operação

Em redes de automação de potência, testes não devem se limitar a verificar se há conectividade. É necessário testar comportamento sob carga, falha, reconexão, tráfego crítico, filtragem, prioridade, redundância, sincronismo e aderência aos arquivos de engenharia. A NBR IEC 61850-10 contribui com ensaios de conformidade, enquanto a NBR 16932 orienta ensaios de rede e aceitação.

Ensaios de conformidade IEC 61850

Os ensaios de conformidade verificam se dispositivos e ferramentas atendem aos requisitos da IEC 61850. Eles podem envolver servidores, clientes, publicação e subscrição GOOSE, Sampled Values, arquivos SCL, modelos de dados, blocos de controle, relatórios, transferência de arquivos e desempenho.

Testes de VLAN, prioridade e multicast

Em campo ou em fábrica, é necessário confirmar se as VLANs estão corretamente aplicadas, se mensagens com tag chegam apenas às portas previstas, se a prioridade de tráfego está respeitada e se multicast não está inundando trechos indevidos da rede. Isso é especialmente importante para GOOSE e Sampled Values.

Testes de redundância e recuperação

Testes de redundância devem simular desconexão e reconexão de links, falha de switches, mudança de caminho e operação sob tráfego de fundo. O objetivo é verificar tempo de recuperação, perda de frames, comportamento de RSTP, PRP ou HSR, além da continuidade de tráfego crítico.

Testes de GOOSE, SV, MMS e sincronismo

O comissionamento deve verificar se os IEDs previstos estão presentes, se a pilha MMS funciona, se mensagens GOOSE e SV são publicadas e recebidas conforme o arquivo SCD, se dispositivos inscritos recebem os dados corretos e se falhas são reportadas adequadamente. Também deve ser validado o sincronismo de tempo, especialmente quando houver PTP ou requisitos rigorosos de SOE e barramento de processo.

TAF, TAC e testes em operação

Os testes de aceitação em fábrica ajudam a validar partes da rede e procedimentos de ensaio. Os testes de aceitação em campo verificam a instalação real, incluindo conectividade, configuração, redundância, carga, sincronismo, resposta a falhas e integração com SCADA. Após a entrada em operação, o monitoramento contínuo passa a ser parte do controle de qualidade da rede.

Checklist técnico para segurança em redes de automação de potência

Dimensão	Pergunta de verificação
Arquitetura	A rede está dividida em zonas, conduítes e DMZ OT?
IEC 61850	Os fluxos MMS, GOOSE e Sampled Values estão mapeados no projeto?
VLAN e multicast	As VLANs, prioridades e filtragens multicast foram testadas?
Redundância	RSTP, PRP ou HSR foram validados com falha real de link?
Tempo	PTP, NTP, SNTP ou IRIG-B foram verificados conforme a precisão exigida?
Acesso remoto	Há MFA, autorização temporária, registro de sessão e contas individuais?
Fornecedores	O acesso de fabricantes e integradores é controlado e auditável?
Monitoramento	A topologia real é comparada com a topologia projetada e o arquivo SCD?
Hardening	Switches, gateways, IEDs e servidores têm configuração segura documentada?
Backups	Arquivos SCD, configurações de IEDs e switches possuem backup controlado?
Resposta a incidentes	Existe procedimento específico para ambiente OT e subestação?
Comissionamento	Os testes de rede fazem parte do TAF, TAC e rotina operacional?

Erros comuns em projetos de segurança para subestações

Projetos de segurança para subestações falham quando tratam a rede OT como uma rede corporativa comum ou quando ignoram a relação entre comunicação, proteção e operação. Alguns erros são recorrentes:

• Tratar VLAN como barreira suficiente de segurança.
• Aplicar controles de TI sem avaliar impacto em latência, disponibilidade e funções críticas.
• Não mapear tráfego GOOSE, SV e MMS antes de segmentar a rede.
• Permitir acesso remoto permanente de fornecedores.
• Usar contas compartilhadas em equipamentos críticos.
• Não testar falhas reais de links, portas e switches.
• Não monitorar sincronismo de tempo.
• Não manter inventário de ativos OT e versões de firmware.
• Alterar configuração em campo sem atualização do projeto e do arquivo SCD.
• Não integrar elétrica, automação, telecomunicações e cibersegurança no mesmo ciclo de engenharia.

Conclusão

A segurança em redes de automação de potência e subestações é uma disciplina de engenharia. Ela depende de normas, arquitetura, gestão de risco, segmentação, controle de acesso, hardening, monitoramento, ensaios e operação assistida por documentação confiável.

A NBR 16932, a IEC 61850, a IEC 62351, a IEC 62443 e guias de segurança OT ajudam a estruturar essa abordagem. O ponto central é reconhecer que a rede faz parte do sistema elétrico. Se ela falha, a automação falha; se ela é mal protegida, a operação fica exposta; se ela é bloqueada sem critério, funções críticas podem ser prejudicadas.

Por isso, segurança em redes de subestação deve ser pensada desde o projeto, validada em ensaios e acompanhada durante toda a vida útil do sistema.

Precisa avaliar a arquitetura, segmentação ou requisitos de teste da sua rede de automação de potência? Fale com a A3A Engenharia para estruturar uma abordagem técnica alinhada à realidade da sua subestação.

Referências Técnicas

[1] ABNT NBR 16932:2020 — Redes e sistemas de comunicação para automação de sistemas de potência — Orientações sobre engenharia de rede.

[2] ABNT NBR IEC 61850-10:2018 — Redes e sistemas de comunicação para automação de sistemas de potência — Parte 10: Ensaios de conformidade.

[3] IEC 61850 — Redes e sistemas de comunicação para automação de sistemas de potência.

[4] IEC 62351 — Segurança para gerenciamento de sistemas de potência e troca de informações associadas.

[5] ABNT IEC/TS 62443-1-1:2023 — Redes de comunicação industrial — Segurança do sistema e da rede.

[6] NIST SP 800-82r3 — Guide to Operational Technology Security.

[7] Power System SCADA and Smart Grids — Mini S. Thomas e John D. McDonald.

[8] Procedimentos de Rede do ONS — requisitos para subestações, proteção, supervisão, controle e telecomunicações.

[9] Materiais técnicos do acervo A3A sobre cabeamento estruturado, aterramento, EMC, redes industriais e segurança cibernética.

Perguntas Frequentes

O que é segurança em redes de automação de potência?

É o conjunto de práticas de engenharia, arquitetura, monitoramento e governança aplicado a redes que suportam proteção, controle, supervisão e automação de sistemas elétricos.

Qual é a relação entre NBR 16932 e IEC 61850?

A NBR 16932 orienta a engenharia de redes de comunicação para automação de sistemas de potência, considerando tecnologias e requisitos associados à IEC 61850.

VLAN garante segurança em redes IEC 61850?

Não. VLAN ajuda na segmentação lógica e na organização do tráfego, mas precisa ser combinada com controle de acesso, filtragem, monitoramento, hardening, firewall entre zonas e políticas operacionais.

Por que GOOSE e Sampled Values exigem cuidado especial?

Porque são tráfegos críticos para funções de automação, proteção e processo, com requisitos de baixa latência, prioridade, multicast e disponibilidade.

O que deve ser testado em uma rede de subestação?

Devem ser testados VLAN, prioridade, multicast, redundância, recuperação de falha, GOOSE, Sampled Values, MMS, sincronismo de tempo, conectividade, carga de rede e aderência ao arquivo SCD.

Materiais Técnicos Complementares