Nas últimas décadas, a indústria de petróleo e gás passou por grandes mudanças no mercado e na tecnologia. Houve altos e baixos, a descoberta de novos campos de petróleo e gás e novas técnicas para chegar a essas reservas, o surgimento de instrumentação de fundo de poço para fornecer indicações de fatores – como pressão, volume – bem como métodos de extração.
Assim, em meio a grandes mudanças tecnológicas na indústria, com esses avanços vêm os riscos de segurança cibernética, que têm aumentado constantemente neste setor. Por isso, é importante analisar como os produtores de petróleo de hoje estão usando novas tecnologias de sensores para melhorar a eficiência e reduzir custos e examinar como os riscos de segurança associados podem ser mitigados.
De ouvidos aguçados à tecnologia de sensores
O principal objetivo de um produtor de petróleo é manter o poço lucrativo e a tecnologia desempenha um papel significativo nas operações. Onde antes o ouvido aguçado de um homem podia detectar o som de um rolamento falhando, os sensores assumiram esta tarefa. Sensores inteligentes e sistemas SCADA estão ajudando as empresas a monitorar e relatar os aspectos operacionais de petróleo e gás. Esses sensores podem detectar mudanças precoces e transmitir dados críticos em uma instalação para um gerente de fábrica ou enviá-los a milhares de quilômetros de distância para uma sala de controle remoto. Até recentemente, o monitoramento remoto era muito caro, mas as inovações em LTE e tecnologias celulares semelhantes (alimentadas por energia solar e armazenamento de bateria) permitem que os sensores enviem informações por longas distâncias. Sensores inteligentes também podem ser programados para enviar dados quando houver um problema, reduzindo significativamente os custos operacionais.
Os produtores estão adaptando esses sistemas para monitorar remotamente locais de poços para segurança, processo e saúde e segurança, usando essas novas tecnologias combinadas. Isso levará os produtores de uma postura reacionária para uma postura proativa, beneficiando os aspectos operacionais de um local e diminuindo a necessidade de alguns serviços de poço. Os sensores que funcionam ininterruptamente podem detectar atividades anormais, substituindo as verificações manuais aleatórias. Em última análise, isso economizará dinheiro e manterá o poço lucrativo. Muitas empresas estão trazendo esses recursos para suas redes, mas com isso surgem os riscos cibernéticos em potencial.
Combatendo as ameaças cibernéticas à infraestrutura crítica
A indústria de petróleo e gás constitui uma parte importante do setor de infraestrutura crítica de um país e a segurança cibernética. Ataques bem-sucedidos podem ter efeitos catastróficos nas organizações e nos cidadãos. Além disso, também pode resultar em um efeito cascata ou dominó: se um subsetor cair, outros subsetores podem seguir.
É crucial que as organizações se defendam desses ataques, que continuam a se transformar e evoluir. A indústria tem visto um aumento nos ataques de ransomware contra dispositivos IoT, devido às suas vulnerabilidades de segurança inerentes. Isso ressalta a necessidade de pensar na segurança dos novos sensores. Além dos ataques tradicionais que exigem dinheiro, existem ataques de malware do tipo Cavalo de Tróia, que passam por períodos de dormência e atividade de coleta de informações para evitar a detecção. Uma vez coletadas informações suficientes, os hackers podem assumir o controle operacional. Imagine se isso acontecesse em uma usina de petróleo e gás. Um agente mal-intencionado pode disparar um falso alerta de que uma peça de máquina está com defeito. Se não for verificada, uma resposta incorreta pode causar mais danos do que o próprio evento.
Implementação de camadas adicionais de segurança
A verificação dos alertas ou alarmes pode ser realizada por sensores adicionais. Dois tipos de sensores evolutivos são câmeras visuais e térmicas, que podem ser posicionados para determinar se realmente há um evento com risco potencial. O monitoramento remoto em tempo real pode adicionar uma camada extra de segurança, especialmente em um momento em que as empresas de petróleo e gás enfrentam circunstâncias desafiadoras. As flutuações nos preços do petróleo causaram uma redução das equipes in loco e uma maior dependência de visitas esporádicas do pessoal.
Os hackers são oportunistas e procuram explorar vulnerabilidades nos processos existentes. Além da verificação, os fabricantes de sensores adicionaram mais camadas de proteção e procuram parceiros terceirizados de segurança cibernética para reforçar suas defesas. Portanto, a diligência da cadeia de suprimentos nunca foi tão importante quando consideramos os riscos associados a um ataque cibernético.
Avaliação da cadeia de suprimentos
Além dos benefícios operacionais obtidos com as novas tecnologias, os produtores de petróleo e gás devem olhar e se concentrar na maturidade da segurança cibernética dos negócios em sua cadeia de suprimentos para se proteger contra possíveis ataques. Uma solução comprometida em um setor crítico pode ter consequências terríveis não apenas para o negócio, mas também para a sociedade. Como os países dependem desses serviços, as implicações podem ser generalizadas. Do ponto de vista comercial, um ataque cibernético bem-sucedido pode ter impactos negativos na reputação da marca, no preço das ações e na lucratividade, além de resultar em paralisação operacional e multas regulatórias.
Para apoiar a avaliação dos parceiros de negócios dentro de sua cadeia de suprimentos, a abordagem precisa ir além dos aspectos operacionais da própria tecnologia. As áreas a serem consideradas durante a avaliação devem ser o processo e as políticas que eles adotam para demonstrar sua própria maturidade interna, como a ISO27001. Se essas organizações não puderem demonstrar o que estão fazendo para se proteger de ataques cibernéticos, como poderão proteger seus clientes?
Com relação à tecnologia, quais recursos e ferramentas eles têm para mitigar o risco de seus produtos serem a causa raiz de um ataque? Por exemplo, recursos como firmware assinado e inicialização segura garantem que o dispositivo não seja comprometido antes da implantação. A tecnologia segue uma configuração 'segura por design, segura por padrão', onde todas as provisões de segurança são habilitadas imediatamente? Eles têm auxiliares de comissão para proteger um dispositivo em uma rede? Como eles estão apoiando o gerenciamento completo do ciclo de vida da tecnologia? O que é seguro hoje, não significa que será seguro amanhã. Eles oferecem um inventário de dispositivos que permitirá que as atualizações de firmware sejam gerenciadas proativamente de maneira eficiente? É reconhecido pelas políticas de TI que as atualizações de firmware se tornarão mais valiosas do que a garantia de hardware do fabricante; especialmente ao considerar a duração esperada de uso e o risco representado por firmware desatualizado.
À medida que o setor de petróleo e gás entra em uma nova era tecnológica, o papel do parceiro tecnológico se tornará ainda mais fundamental para o sucesso. As soluções fornecidas ajudarão a melhorar a eficiência e reduzir os custos do setor, especialmente do ponto de vista do monitoramento remoto. No entanto, uma avaliação cuidadosa da segurança cibernética desses negócios é crítica e deve ser priorizada durante o processo de aquisição. Seria um desastre se a tecnologia implantada para melhorar as operações comerciais e a lucratividade resultasse no comprometimento dos sistemas do usuário. Se reconhecermos que toda empresa é tão forte quanto o elo mais fraco, precisamos garantir que a segurança cibernética se enquadre no processo de avaliação e não seja uma reflexão tardia. Só então as organizações de petróleo e gás estarão em uma posição forte para aproveitar as vantagens das soluções tecnológicas emergentes.
Fernando Lira, Regional Sales Manager na Axis Communications.