ATAQUES CIBERNÉTICOS CRESCEM NO SETOR DE ÓLEO E GÁS
Por Daniel Fraiha (daniel@petronoticias.com.br) –
O setor de óleo e gás é um dos mais estratégicos para países e governos, mas nem sempre tem estado protegido da forma adequada. Ao menos quando o assunto é segurança cibernética, como mostram dados apresentados pelo especialista em gestão de riscos Carlos Santiago, da consultoria Marsh Brasil. Pesquisas e relatórios recentes indicam que houve um aumento de cerca de 80% nos ataques cibernéticos bem sucedidos pela percepção das empresas do setor de óleo e gás, enquanto que aproximadamente 30% das companhias do segmento têm apenas um conhecimento muito básico dos riscos a que estão expostas. Na América Latina, um estudo da Marsh mostrou que 19% das empresas sequer desenvolveram algum plano de proteção cibernética e outras 32% ainda estão desenvolvendo os seus. “O setor de energia deve adotar uma abordagem sistêmica e avaliar os riscos em toda a cadeia de fornecimento de energia, para melhorar a proteção de sistemas e limitar qualquer possível efeito dominó”, afirma Santiago.
– Quais os maiores riscos cibernéticos para empresas e instituições do setor de óleo e gás?
Risco sistêmico é um ponto central para a cadeia de valor de energia. Muito tem sido dito, escrito e comentado sobre a ameaça à infraestrutura crítica de geração e transmissão de energia elétrica, especialmente em países desenvolvidos como os EUA. E esse é um assunto crítico. Entretanto, o risco cibernético para toda a cadeia de valor de energia é igualmente crítico, mas, frequentemente recebe atenção inadequada. O relatório The road to resilience | 2016, publicado pelo World Energy Council, traz uma boa contribuição em identificar os riscos para produção e distribuição na cadeia de oil & gas também.
Um dos grandes problemas na infraestrutura de energia, particularmente em países desenvolvidos, é a dependência de sistemas ligados em toda a infraestrutura. Os sistemas de controle implementados no setor elétrico (produção, transmissão e distribuição) assim como em óleo e gás natural podem ser muito antigos e sua atualização tecnológica é frequentemente tão custosa que se torna proibitiva em função da escala dessa infraestrutura. Sistemas SCADA mais antigos não haviam sido desenhados para segurança nem para conectividade com internet. Iniciativas em automação ou investimento em novas tecnologias têm resultado em ampla variedade de componentes nessa infraestrutura – novos dispositivos integrados com dispositivos que foram atualizados com interfaces IP. Essa situação incrementa o desafio de gestão do ponto de vista de segurança.
A interdependência entre infraestruturas é pouco compreendida, mas pode representar um sério risco sistêmico onde falhas em um sistema podem levar a falhas em outro.
– Qual o volume de recursos perdidos com este tipo de ataque no setor de Petróleo e Gás?
Nos EUA, o Consórcio Nacional para Estudo do Terrorismo e Respostas ao Terrorismo, parte do Departamento de Segurança Americano (Homeland Security), baseado na Universidade de Maryland, revela que entre 1970 e 2015, 2.723 ataques terroristas aconteceram nos EUA; e destes ataques, 2.055 (75 por cento) objetivaram infraestrutura crítica.
Segundo o World Energy Council, no relatório publicado em 2016, 80% das empresas de Óleo e Gás viram um incremento no número de ataques bem-sucedidos em 2015.
– Como estes riscos têm sido tratados pela indústria?
A publicação Cyber Handbook 2016 indica que 43% das empresas não identificaram um ou mais cenários de risco cibernético que poderiam afetá-las. Além disso, 30% das empresas têm menos que um básico entendimento de suas atuais exposições a riscos cibernéticos.
Nessa mesma linha, o resultado do II Benchmark de Gestão de Risco na América Latina, apresentado em 2016 e executado pela Marsh em parceria com o RIMS, corrobora e complementa que 19% das empresas ainda não desenvolveram um programa de segurança cibernética e outros 32% ainda estão em desenvolvimento.
– Quais as medidas que podem ser tomadas para prevenir contra esses riscos (tanto pelas empresas, quanto por governos e autoridades)?
O setor de energia deve adotar uma abordagem sistêmica e avaliar os riscos de cyber em toda a cadeia de fornecimento de energia, para melhorar a proteção de sistemas de energia e limitar qualquer possível efeito dominó que possa ser causado por uma falha em algum elo da cadeia de valor. No entanto, medidas que exigem cumprimento de cadeia de fornecimento ou cooperação transfronteiriça são mais difíceis de implementar e exigem uma cooperação reforçada em todos os setores.
As empresas devem implementar medidas para prevenir, detectar e responder a ameaças cibernéticas. Isto inclui ambas as ações técnicas e humanas para criação de resiliência. Do lado técnico, as medidas incluem segurança para o software e hardware (medidas que governam a segurança física, tais como limitar o acesso a centros de dados, e claras instruções para uso de mídias móveis e externas). Do lado da resiliência humana, nos referimos ao desenvolvimento de uma cultura de consciência robusta para os riscos cibernéticos dentro e fora das organizações.
Iniciativas multissetoriais e de colaboração com instituições governamentais e privadas ajudarão as empresas a uma melhor compreensão da natureza dos impactos de risco de cyber. Cooperação internacional deve ser incentivada para reforçar a segurança cibernética e a resiliência dos sistemas de energia. Divulgação de informações sobre incidentes, compartilhamento de melhores práticas e a introdução normas de segurança internacionais cyber são elementos-chave para enfrentar o desafio.
Uma estratégia de segurança para acompanhar os desafios crescentes deve ser tanto compreensiva como adaptável.
[…] a Agência Petronotícias, Pesquisas e relatórios recentes indicam que houve um aumento de cerca de 80% nos ataques […]