DIGITALIZAÇÃO DA INDÚSTRIA DE ÓLEO E GÁS IMPÕE DESAFIOS DE SEGURANÇA CIBERNÉTICA PARA O SETOR

Por Davi de Souza (davi@petronoticias.com.br) –

A digitalização da indústria de óleo e gás é uma tendência que ganhou muita força recentemente. Muitas empresas do segmento, inclusive, estão moldando seus planejamentos em torno do fornecimento destas soluções. Já outras organizações investem pesado na aquisição de tecnologias deste tipo, de olho no aumento da produtividade. Contudo, essas inovações também são acompanhadas de alguns riscos – os ataques cibernéticos. O sócio-diretor da KPMG, Rodrigo Milo, afirma que é possível que dados sejam capturados e até mesmo a operação seja afetada em virtude dessas ameaças virtuais. “Já vimos um caso recente na indústria de óleo e gás relacionado ao GPS de plataforma, que ficou à deriva porque ficou sem conexão”, contou, acrescentando que o motivo do ocorrido foi um vírus. O especialista aponta que, para evitar estes problemas, são necessários investimentos em tecnologias de monitoramento, implementação de padrões de segurança, além de trabalhar junto aos profissionais com orientações sobre o tema. Na visão de Milo, o governo também pode contribuir para aumentar a segurança digital no meio empresarial. “Assim como o governo tem atuado em outros aspectos regulatórios, o seu grande papel é ajudar a definir padrões mínimos de segurança, para que a toda a cadeia implemente isso”, concluiu.

As empresas do setor de energia do Brasil estão bem preparadas para as ameaças de ataques cibernéticos?

O que tem acontecido é que as empresas têm investido de maneira forte em controle de segurança cibernética nos últimos anos. Isso, em função da forma como existia antes a tecnologia. Hoje, com o crescimento da Internet das Coisas (IoT) e outras, geram riscos potenciais maiores. Então, as empresas estão investindo cada vez mais em segurança. Hoje, temos mercados que estão mais maduros nesses investimentos e outros que estão menos maduros. O Brasil está começando a fazer os investimentos. Se olharmos para o mercado brasileiro, ainda temos algumas questões que precisam ser trabalhadas, como as regulatórias. Ainda estamos muito imaturos nisso. Estamos evoluindo nos investimentos, mas não temos uma maturidade no tema. 

Quais são os principais riscos para as empresas do setor de energia?

A parte de fishing ainda é um problema sério. Se trata daqueles e-mails fraudulentos que fazem com que profissionais recebam essas mensagens e, a partir disso, você tem a captura de informações, como senhas. Isto é uma dificuldade nas empresas, porque não envolve só a questão de tecnologia, mas sim a consciência mental e cultural. Isto ainda é um nicho relevante em relação às empresas. 

Uma coisa que vem aumentando muito são os riscos relacionados aos ambientes de IoT. As empresas de petróleo e gás, de uma forma geral, têm investido muito forte nesta questão de IoT para automatizar os processos de uma forma geral. Isso gera riscos, porque esses componentes de IoT são tecnologias que tem contato via internet e wireless. Isso é uma preocupação também, porque estamos falando em riscos de invasão direta nestes dispositivos por problemas de atualização ou fragilidades existentes.

Um ataque é capaz de roubar apenas dados ou mesmo parar a produção de uma plataforma, por exemplo?

São dois aspectos que precisam ser avaliados. Na questão de dados, por exemplo, os dispositivos estão sendo colocados para atuarem como sensores. E uma vez invadindo esses sensores, você pode capturar dados ou colocar formas de monitorar o que esses equipamentos estão transmitindo.

Existem outras situações onde, ao utilizar a Internet das Coisas dentro da indústria, e quando há alguns problemas de segurança, é possível ter uma operação paralisada. Ou mesmo, é possível fazer com que essa operação tenha menos agilidade. Isso pode acontecer também. Ao trazer a questão de IoT para as empresas, acaba gerando um risco grande dessa operação ser impactada em função disso. Já vimos um caso recente na indústria de óleo e gás relacionado ao GPS de plataforma, que ficou à deriva porque ficou sem conexão. Foi em virtude de um vírus que entrou por um pendrive e a conexão com o GPS foi perdida. 

O Brasil hoje é um grande alvo de ataques cibernéticos?

O Brasil está no top 10 em termos de ataques, mas também é muito utilizado para ser base de ataque. Ou seja, os IPs (rótulos numéricos atribuído a cada dispositivo conectado) brasileiros são usados [por pessoas localizadas em outros países] para efetuar ataques às empresas. Isso acontece porque existe um monitoramento muito forte das indústrias, e até mesmo dos governos, em relação a algumas nações mais críticas.

Os IPs de áreas muito críticas em relação ao terrorismo são monitorados e bloqueados. E o Brasil acaba virando uma porta. Como o Brasil é um país que não tem uma cultura de terrorismo ou de ciberataques, você tem pessoas de outras nações que conseguem IPs brasileiros para fazer ataques.

Como as empresas podem prevenir este tipo de ataque?

Tudo começa trabalhando com três grandes níveis de investimentos. A primeira questão é relacionada à tecnologia. Cada vez mais, existem tecnologias que auxiliam a questão de monitoramento e de estudos de ataques, garantindo que os ataques não aconteçam. Existe também a questão de cultura. É importante que seja trabalhada esta questão nas empresas e orientar os profissionais sobre como se preocupar com a questão dos ataques. Além de implementar padrões, em termos de segurança.

E o governo pode contribuir no combate a estas ameaças?

Algumas agências já vêm se posicionando para definir padrões de segurança. Temos visto, no governo brasileiro, algumas agências reguladoras se movimentando para tentar montar algumas sugestões de padrões a serem seguidos pelas indústrias. O que o governo pode ajudar, neste contexto, é definir alguns padrões e estabelecer algumas premissas. Quando falamos em uma cadeia de valor, existem grandes empresas que atuam no mercado, mas também tem as companhias pequenas que atuam dando suporte às de maior porte. Essas empresas pequenas não têm o investimento e são alvos de ataques. Então, assim como o governo tem atuado em outros aspectos regulatórios, o seu grande papel é ajudar a definir padrões mínimos de segurança, para que a toda a cadeia implemente isso.