Convergência Cibernética e de Segurança Física no Setor da Energia
Saiba de que forma as iniciativas de convergência IT-OT estão a ajudar a combater as preocupações trazidas pelas ameaças à segurança no setor energético?
O foco do setor energético está na necessidade de segurança
O setor energético pode não ser um dos primeiros em que pensamos quando olhamos para a temática da cibersegurança. No entanto, as infraestruturas críticas nesta área estão a tornar-se cada vez mais vulneráveis aos ataques de diferentes países e também dos cibercriminosos internacionais.
As empresas de energia começaram a utilizar estruturas baseadas em gestão de risco para gerir a cibersegurança e toda a área operacional. Mas os ciberinimigos estão cada vez mais sofisticados e versáteis, motivo pelo qual a indústria se vê obrigada a ser, também ela, cada vez mais ágil para responder a todo o tipo de ameaças. Além disso, começam também a aumentar as ameaças internas e os ataques à infraestrutura.
Os dogmas relacionados com a segurança ao nível do petróleo e do gás caíram por terra em 2012, quando o vírus Shamoon foi usado para atingir a Saudi Aramco. O ataque teve um efeito devastador nos sistemas que geriam toda a logística da companhia, o que resultou numa total incapacidade de esta conseguir chegar ao mercado de produtos refinados. Felizmente, as suas áreas de produção e processamento não foram afetadas, mas apenas porque esses sistemas acabaram por ser isolados.
Tradicionalmente, as empresas de energia operam dentro das suas firewalls com conectividade limitada à infraestrutura e operações remotas. O problema, no caso das empresas de petróleo e gás, é que os sistemas e a infraestrutura estão cada vez menos isolados e mais vulneráveis a ataques do exterior. E existem duas formas de olhar para o problema:
- Um sistema SCADA legado, que controla um ativo, pode ser relativamente seguro; na verdade, embora não seja altamente sofisticado do ponto de vista da segurança, ele não está ligado a uma rede mais ampla de ativos o que se torna uma mais-valia.
- Por outro lado, ativos digitais de última geração têm elevada segurança, mas, geralmente, estão ligados a uma rede corporativa complexa e muito maior, o que os torna mais vulneráveis.
À medida que as empresas de petróleo e gás continuam a tirar partido do Edge Computing para mover os seus dados, é importante realizar uma avaliação abrangente de todas as vulnerabilidades da infraestrutura. Além dos novos sistemas e tecnologia, um desafio importante no setor de energia é a confiança em ativos legados com sensores limitados por software que podem não dispor de recursos de criptografia de nível industrial. Isso pode deixar os dispositivos de Edge Computing fora do perímetro e mais vulneráveis, no caso de uma empresa de energia optar por desincentivar a adoção de tecnologia de ponta com segurança integrada.
Convergência de segurança de TI e OT
Não será de todo incomum para uma empresa de energia ter uma combinação de ativos tecnológicos mais antigos no seu portfólio, o que acaba por obrigar a uma avaliação detalhada em termos dos riscos de segurança. O custo e os recursos adicionais para proteger pessoal, ativos e infraestrutura são muitas vezes responsáveis por um atraso da empresa ao longo da sua jornada digital. Foi também isso que sucedeu do lado das TI! A verdade é que as principais empresas de petróleo e gás olharam durante demasiado tempo com ceticismo e desconfiança para a cibersegurança, especialmente na nuvem. Mas as ideias mudaram nos últimos anos e a adoção de soluções eficazes neste campo aumentou.
A IDC espera, portanto, que aumente também a adoção de tecnologia de ativos conectados à medida que os padrões de cibersegurança e operacional melhoram, num ambiente onde as medidas de segurança de TI e OT começam agora a convergir.
As iniciativas de convergência IT-OT estão a ser amplamente impulsionadas pela crescente preocupação com ameaças de segurança e violações no setor de energia. A integração IT-OT, no que se refere à segurança, é uma boa prática, já que as empresas de energia estão a enfrentar ameaças e preocupações crescentes que exigem tecnologia, medidas e protocolos de segurança física e cibersegurança. Atualmente, a maioria das empresas do setor energético faz uma gestão independente da sua segurança física e da cibersegurança. Dito isso, os fornecedores de rede e segurança de TI têm aqui uma oportunidade única para se posicionar nos níveis iniciais da adoção da Internet das Coisas (IoT) e participar na evolução da arquitetura de infraestrutura de segurança OT associada, disponibilizando o seu know-how tecnológico e aplicando uma abordagem holística em ambos os ambientes.