O maior duto de combustíveis dos Estados Unidos sofreu um ataque cibernético no último domingo, 9 de maio, que preocupa os fornecedores com a iminente falta de gasolina e diesel na Costa Leste do país. A Colonial Pipeline, responsável pelo duto, corre para desenvolver um plano para restabelecer o fornecimento para os estados, que ainda não foi normalizado.
O ataque, que ocorreu quando a maioria dos americanos estão vacinados, indo ao escritório e planejando viagens, fez o mercado futuro de gasolina aumentar em até 4,2% durante as negociações eletrônicas do domingo. A ação foi classificada como um ransomware, quando hackers invadem redes, criptografam os dados e travam as máquinas até que a vítima pague um resgate.
Pelo abalo em parte da infraestrutura crítica e que alimenta uma cadeia operacional gigantesca, o incidente no oleoduto dos EUA pode ser considerado um dos mais custosos à economia atual. Os efeitos sentidos irão muito além de a operadora ter que restabelecer seus sistemas, que foram paralisados.
O gasoduto transporta 2,5 milhões de barris por dia – 45% do abastecimento de diesel, gasolina e combustível de aviação da Costa Leste, o que consequentemente tem impacto sob a cadeia logística e o dia a dia do consumidor. Na segunda-feira (10), os preços dos combustíveis nos EUA aumentaram seis centavos por galão na semana, para US$ 2,967 por galão. Caso as operações não voltassem ao normal, segundo especialistas, os consumidores poderiam sentir um aumento de até US$ 0,30 centavos por galão.
Incidentes como este demonstram a importância de empresas de setores de dependência e impacto críticos em reconhecer que seus ativos são alvos de um número crescente de ataques cibernéticos cada vez mais sofisticados, perpetrados por uma variedade de invasores, incluindo estados-nação e organizações internacionais criminosas.
No Brasil, diversas empresas no setor de energia recentemente também foram alvo de hackers. Muitas vezes as empresas reconhecem que ataques cibernéticos podem apresentar "riscos corporativos" – mas não têm uma abordagem abrangente em relação à segurança cibernética semelhante à abordagem para gerenciamento de segurança: governança robusta, sistemática, gestão baseada em risco e multidimensional, programas baseados em estruturas comprovadas, incluindo melhores práticas e programas de seguro.
Outro ponto é que as práticas de segurança cibernética precisam estar incorporadas à cultura corporativa organizacional, incluindo as tecnologias adquiridas em tornar a operação mais digitalizada e não apenas atrelada à necessidade de adequações regulatórias em razão de legislação da segurança da informação. Muitas empresas que têm se tornado vítimas de incidentes negligenciam que sua operação tenha brechas sistêmicas que impõem riscos de uma falha operacional em decorrência de um incidente. É importante acompanhar o desfecho no caso dos gasodutos da Colonial para que empresas dos mais diversos ramos percebam que podem sofrer perdas catastróficas em razão de uma parada operacional.
Marta Schuh, superintendente de riscos cibernéticos da consultoria de riscos Marsh Brasil.