Redação – 22.08.2022 – A ‘superfície de ataque’ do setor de energia se expande diariamente à medida que o equipamento é conectado à nuvem. Especialistas dizem que as empresas de energia não estão fazendo o suficiente para proteger suas redes digitais de malfeitores
Instalação da Colonial Pipeline Houston Station em Pasadena, Texas, em 10 de maio de 2021. O presidente dos EUA, Joe Biden, disse que um grupo com sede na Rússia estava por trás do ataque de ransomware que forçou o fechamento do maior oleoduto do leste dos EUA.
Trata-se de um clássico catch-22. Dispositivos habilitados para Internet estão desempenhando um papel fundamental na transição para energia limpa. Pense nos milhões de termostatos inteligentes e sistemas de armazenamento de energia de bateria já instalados em residências e empresas em todo o mundo. No entanto, cada dispositivo conectado à Internet é outro nó em uma “superfície de ataque” em rápida expansão, suscetível a interrupções. A cibersegurança energética deve ser uma prioridade crescente.
A infraestrutura de energia fóssil existente também é vulnerável. As empresas de petróleo e gás dependem cada vez mais de tecnologias operacionais digitais (OT) para monitorar e controlar oleodutos e outros ativos. A crescente digitalização do setor representa uma ameaça significativa à segurança – uma ameaça cristalizada pelo ataque de ransomware de maio de 2021 ao Oleoduto Colonial que interrompeu brevemente o fluxo de quase metade do combustível líquido de transporte usado na costa leste dos EUA.
Não muito tempo atrás, existia um “air gap” entre os OT que controlam os equipamentos e as redes de TI das empresas de energia. Não mais. “A natureza cada vez mais interconectada do setor oferece maior escopo de ataque, especialmente para OT crítico que anteriormente era protegido pela lacuna de ar que separa o OT dos sistemas de TI”, diz a consultoria DNV em um relatório publicado em maio de 2022.
“A onda de digitalização na indústria de petróleo e gás está criando novos pontos de acesso em redes industriais para hackers explorarem”, alertam analistas da GlobalData, empresa controladora do Energy Monitor, em um relatório recente. “À medida que a tecnologia se desenvolve, do celular à nuvem e à IoT [internet das coisas], o nível de complexidade necessário para que as organizações mantenham uma postura cibernética também aumenta.”
Especialistas alertam que as empresas de energia e os governos não estão conseguindo implementar sistemas e padrões compatíveis com a crescente ameaça. A cibersegurança energética ainda não é uma prioridade suficiente.
“As empresas de petróleo e gás estão percebendo os benefícios da integração de tecnologias em fluxos de trabalho, com a pandemia, sem dúvida, desempenhando um papel fundamental no impulso da digitalização do setor”, afirma Francesca Gregory, analista da GlobalData, em comunicado. “No entanto, a indústria em geral está em grande parte despreparada para lidar com seus riscos.”
“Os Estados Unidos não estão preparados para garantir essa transição energética”, é o veredicto contundente emitido por uma força-tarefa convocada pelo Centro de Energia Global do Conselho Atlântico em um relatório publicado no mês passado.
Nos EUA, a tarefa é complicada pelo fato de grande parte da infraestrutura energética do país estar em mãos privadas. “O setor privado deve manter a higiene cibernética e deve abordar a segurança da cadeia de suprimentos para dispositivos físicos e softwares usados em infraestrutura crítica”, escreve a força-tarefa do Atlantic Council.
A ameaça cibernética se estende muito além dos EUA. A DNV entrevistou 948 profissionais do setor de energia em 98 países para seu recente relatório de segurança cibernética, com 84% dos entrevistados acreditando que um ataque cibernético provavelmente causará danos físicos aos ativos de energia e 57% antecipando a perda de vidas nos próximos dois anos. Apenas quatro em cada dez entrevistados disseram que sua organização está preparada para um ataque ao seu sistema OT.
Os entrevistados reconhecem a escala da ameaça, mas essa conscientização não se traduz necessariamente em um apelo à ação nas empresas para as quais trabalham. “Embora os executivos prevejam um incidente grave na indústria global, é menos provável que acreditem que sua própria organização será afetada pelas consequências mais extremas e com risco de vida de uma violação”, afirma o relatório da DNV.
“Ficamos preocupados quando ouvimos que algumas empresas de energia ainda têm uma ponta de ‘esperança pelo melhor’ em segurança cibernética. As lições do passado, relacionadas aos protocolos de segurança, deixam isso claro. Será uma tragédia se for necessária uma série de ataques catastróficos, mas evitáveis, aos sistemas de controle – resultando em um ambiente operacional menos seguro em todo o setor – para que eles repensem essa abordagem”, afirma Trond Solberg, diretor administrativo de segurança cibernética da DNV, no relatório.
O ataque de ransomware Colonial Pipeline foi um alerta para o setor de energia. O ataque “estimulou um aumento nos gastos com segurança cibernética”, que agora chegará a US$ 10 bilhões até 2025, segundo a GlobalData. No entanto, o aumento dos gastos por si só não é suficiente para proteger contra ameaças cibernéticas. As empresas devem inculcar uma cultura de vigilância e contratar as pessoas certas. E os governos devem estar prontos para intervir para ajudar a proteger empresas privadas contra violações.
“Apesar do aumento nos gastos com segurança cibernética, o setor ainda não está levando a segurança cibernética a sério o suficiente”, concluem analistas da GlobalData. O recente relatório de segurança cibernética da empresa “descobriu que apenas 20% das maiores empresas de petróleo e gás por valor de mercado tinham um diretor de segurança da informação no conselho. Isso sugere que, embora as empresas tenham aberto espaço para a segurança cibernética em seus orçamentos, a segurança cibernética está ausente da estratégia central das empresas.” A cibersegurança energética ainda não é uma prioridade estratégica.
O relatório do Atlantic Council insta o governo federal dos EUA a desenvolver diretrizes para segurança de produtos e cadeia de suprimentos, para “conduzir testes de penetração robustos e medidas proativas, além do que está comercialmente disponível”, e para melhorar o compartilhamento de informações e a coordenação entre agências federais e o setor privado para proteger a infraestrutura crítica.
“A relação interconectada entre o governo e o setor privado é uma característica definidora dos desafios e das soluções para proteger a superfície de ataque em vasta expansão do setor de energia”, escreve a força-tarefa do Atlantic Council. Traduzido do texto originalmente publicado pelo EnergyMonitor.
__________________________
Participe da Jornada InfraDigital – Cibersecurity em Energia, um webinar que ocorre dia 8 de novembro. O evento é uma iniciativa da plataforma de conteúdo InfraDigital, uma parceria entre o Portal IPNews e o Portal InfraROI, com o patrocínio da GlobalSign e da Netskope. Inscreva-se gratuitamente.