Defesa cibernética do setor de energia é deficiente

Executivos do setor de energia esperam um aumento na quantidade de ataques cibernéticos às suas empresas, com potencial para causar danos à vida, à propriedade e ao meio ambiente nos próximos dois anos, revela o estudo “Cyber ​​Priority”, realizado pela DNV. Dos 948 participantes da pesquisa, mais de quatro quintos dos profissionais que trabalham nos setores de energia, energias renováveis e petróleo e gás acreditam que um ataque cibernético ao setor provavelmente causar paralisações operacionais (85%) e danos a ativos de energia e infraestrutura crítica (84%). Três quartos (74%) esperam que um ataque prejudique o meio ambiente, enquanto mais da metade (57%) prevê que causará perda de vidas.

A preocupação com ameaças emergentes é crescente, principalmente por que menos da metade deles (47%) acredita que a segurança de suas tecnologias operacionais (OT) – os sistemas de controle que gerenciam, monitoram e controlam as operações industriais – é tão robusta quanto sua segurança de TI.  Seis em cada dez entrevistados de nível C da pesquisa da DNV reconhecem que sua organização está mais vulnerável a um ataque agora do que nunca. 

“À medida que a OT se torna mais conectada e conectada aos sistemas de TI, os invasores podem acessar e controlar sistemas que operam infraestrutura crítica, como redes elétricas, parques eólicos, oleodutos e refinarias. Nossa pesquisa mostra que o setor de energia está despertando para a ameaça de segurança OT, mas ações mais rápidas devem ser tomadas para combatê-la. Menos da metade (47%) dos profissionais de energia acredita que sua segurança de OT é tão robusta quanto sua segurança de TI”, explica Trond Solberg, diretor administrativo de segurança cibernética da DNV.

Vulnerabilidades da cadeia de suprimentos

A DNV recomenda que o primeiro passo para fortalecer as defesas seja identificar onde a infraestrutura crítica é vulnerável a ataques. A prioridade cibernética revela que, embora muitas organizações estejam investindo na descoberta de vulnerabilidades, esses esforços não estão sendo suficientemente estendidos para incluir empresas com as quais fazem parceria e compram.

Apenas 28% dos profissionais de energia que trabalham com a OT dizem que sua empresa está tornando a segurança cibernética de sua cadeia de suprimentos uma alta prioridade para investimento. Isso contrasta com os 45% dos entrevistados operacionais de OT que dizem que os gastos com atualizações de sistemas de TI são uma alta prioridade de investimento.

Jalal Bouhdada, fundador e CEO da Applied Risk, uma empresa industrial de segurança cibernética adquirida pela DNV em 2021, defendeu a redução do potencial de “vulnerabilidades não descobertas” nas cadeias de fornecimento de energia.

“Nossa pesquisa identifica ‘acesso remoto a sistemas OT’ entre os três principais métodos para possíveis ataques cibernéticos no setor de energia. Exortamos o setor a prestar mais atenção para garantir que os fornecedores e fornecedores de equipamentos demonstrem conformidade com as melhores práticas de segurança desde os primeiros estágios da aquisição”, acrescentou.

O relatório também levanta a necessidade de as empresas de energia investirem no treinamento de seus funcionários, tanto para detectar possíveis vulnerabilidades e tentativas de ataques, quanto em como responder se um ataque de fato ocorrer.

Menos da metade (44%) dos entrevistados do C-suite acreditam que precisam fazer melhorias urgentes nos próximos anos para evitar um ataque sério aos seus negócios, e mais de um terço (35%) dos profissionais de energia dizem que sua empresa precisaria ser impactados por um incidente grave antes de investir em suas defesas.

Uma explicação para a aparente hesitação de algumas empresas em investir em segurança cibernética pode ser que a maioria dos entrevistados acredita que sua organização até agora evitou um grande ataque cibernético. Menos de um quarto (22%) suspeita que sua organização tenha sofrido uma violação grave nos últimos cinco anos.

“É preocupante descobrir que algumas empresas de energia podem estar adotando uma abordagem de ‘esperança pelo melhor’ para a segurança cibernética, em vez de abordar ativamente as ameaças cibernéticas emergentes. Isso traça paralelos distintos com a adoção gradual de práticas de segurança física no setor de energia nos últimos 50 anos”, disse Solberg.

“Foram necessários eventos trágicos, como o incidente de Piper Alpha em 1988 e o desastre de Macondo em 2010, para que a indústria priorizasse e institucionalizasse os protocolos de segurança globais e que regulamentações mais rígidas fossem implementadas. Nossa pesquisa dá um forte sinal de que o setor precisa fazer investimentos urgentes para garantir que a segurança cibernética não se torne a causa de danos futuros à vida, à propriedade e ao meio ambiente”, acrescentou Solberg.