Empresas de energia não estão priorizando a segurança cibernética

Redação – 02.09.2022 – Avaliação se refere aos Estados Unidos segundo dados do site Energy Monitor, mas o sinal de alerta vale também para o setor no Brasil

Para Justin Gerdes, jornalista especializado em energia, a cibersegurança energética deve ser uma prioridade crescente, mas isso não necessariamente está no radar de assuntos críticos de algumas empresas do setor. De acordo com ele, as empresas de petróleo e gás dependem cada vez mais de tecnologias operacionais digitais (OT) para monitorar e controlar oleodutos e outros ativos. A crescente digitalização do setor representa uma ameaça significativa à segurança – uma ameaça cristalizada pelo ataque de ransomware de maio de 2021 ao Oleoduto Colonial que interrompeu brevemente o fluxo de quase metade do combustível líquido de transporte usado na costa leste dos Estados Unidos.

Para o especialista existia um gap entre as OT, que controlam os equipamentos, e as redes de TI das empresas de energia. Não mais. E do dados vem da consultoria DNV em relatório lançado nesse ano. “A natureza cada vez mais interconectada do setor de hoje oferece maior escopo de ataque, especialmente para OT crítico que anteriormente era protegido pela lacuna de ar que separa o OT dos sistemas de TI”, avalia o documento.

“A onda de digitalização na indústria de petróleo e gás está criando novos pontos de acesso em redes industriais para hackers explorarem”, alertam analistas da GlobalData, empresa controladora da Energy Monitor. “À medida que a tecnologia se desenvolve, do celular à nuvem e à IoT, o nível de complexidade necessário para que as organizações mantenham uma postura cibernética também aumenta”, detalham os analistas do GlobalData.

A mesma ponderação está sendo feita pelo Centro de Energia Global do Atlantic Council.: os Estados Unidos não estão preparados para garantir essa transição energética é o veredicto contundente emitido por uma força-tarefa convocada pelo Centro.

Segundo o documento, a tarefa é complicada pelo fato de grande parte da infraestrutura energética do país estar em mãos privadas. “O setor privado de energia deve manter a higiene cibernética e deve abordar a segurança da cadeia de suprimentos para dispositivos físicos e softwares usados ​​em infraestrutura crítica”, escreve a força-tarefa do Atlantic Council.

A ameaça cibernética se estende muito além dos Estados Unidos: A DNV entrevistou 948 profissionais do setor de energia em 98 países para seu recente relatório de segurança cibernética, com 84% dos entrevistados acreditando que um ataque cibernético provavelmente causará danos físicos aos ativos de energia e 57% antecipando a perda de vidas nos próximos dois anos.

Apenas quatro em cada dez entrevistados disseram que sua organização está preparada para um ataque ao seu sistema OT.

Os entrevistados reconhecem a escala da ameaça, mas essa conscientização não se traduz necessariamente em um apelo à ação nas empresas para as quais trabalham. “Embora os executivos prevejam um incidente grave na indústria global, é menos provável que acreditem que sua própria organização será afetada pelas consequências mais extremas e com risco de vida de uma violação”, afirma o relatório da DNV.

“Ficamos preocupados quando ouvimos que algumas empresas de energia ainda podem ter uma posição de ‘esperança pelo melhor’ em segurança cibernética. As lições do passado, relacionadas aos protocolos de segurança, deixam isso claro. Será uma tragédia se for necessária uma série de ataques catastróficos, mas evitáveis, aos sistemas de controle – resultando em um ambiente operacional menos seguro em todo o setor – para que eles repensem essa abordagem”, disse Trond Solberg, diretor administrativo de segurança cibernética da DNV, no relatório.

__________________________

Participe da Jornada InfraDigital – Cibersecurity em Energia, um webinar que ocorre dia 8 de novembro. O evento é uma iniciativa da plataforma de conteúdo InfraDigital, uma parceria entre o Portal IPNews e o Portal InfraROI, com o patrocínio da GlobalSign e da Netskope. Inscreva-se gratuitamente.