A cibersegurança na indústria de Óleo e Gás apresenta desafios. Confira as estratégias para garantir um ambiente seguro.
A crescente incidência de ataques cibernéticos nas empresas, impulsionada pelos contínuos avanços tecnológicos, torna-se uma ameaça predominante no mundo moderno. Com a dependência crescente de sistemas digitais, as empresas tornam-se mais vulneráveis aos cibercriminosos. Nesse cenário, as organizações que integram setores de infraestrutura crítica, devido à complexidade de suas operações e à escassez de medidas de segurança implementadas, tornam-se alvos visados, contribuindo para o agravamento do risco cibernético.
Visão global do cenário de cibersegurança
Diante desse cenário crítico, registros de pesquisas apontam que, apenas em 2022, houve um aumento de 28% na incidência de ataques, com uma média semanal de ataques por organização crescendo globalmente. Essa tendência não demonstrou indícios de desaceleração para o ano seguinte. Por outro lado, a carência de profissionais qualificados e a defasagem na criação de regulamentações, frequentemente incapazes de acompanhar o ritmo das violações, expõem as indústrias mais vulneráveis a ataques cibernéticos (Fonte: Cyber Security Report 2023 Check Point).
Ataques cibernéticos não apenas colocam dados de organizações em risco, mas também podem levar a uma série de consequências, tais como perdas financeiras, danos à reputação e interrupção das operações. Em termos de perdas financeiras, o custo dos ataques vem crescendo ao longo dos últimos anos, e estima-se que o custo global de crimes cibernéticos disparará de US$ 8,44 trilhões em 2022 para US$ 23,84 trilhões até 2027.
Além disso, indústrias são vulneráveis a ataques cibernéticos, especialmente devido à interconexão e complexidade dos dispositivos de Sistemas de Controle Industrial (ICS) e Tecnologia Operacional (OT). Essa dinâmica expõe as organizações a vulnerabilidades que podem ser exploradas por atacantes.
Sistemas ICS/OT
Os sistemas ICS/OT integram hardware e software para gerenciar e automatizar processos físicos nas indústrias, desempenhando um papel crucial em infraestruturas críticas, como redes elétricas, estações de tratamento de água, sistemas de transporte e instalações de saúde. A importância desses sistemas reside no fato de que qualquer interrupção pode resultar em consequências sérias, incluindo perda de vidas, danos ambientais e prejuízos econômicos. Consequentemente, os ataques cibernéticos nesses sistemas têm o potencial de ocasionar impactos, possibilitando que invasores obtenham acesso não autorizado, manipulem processos ou causem os mesmos danos citados anteriormente e danos físicos às instalações da operação.
Dada a importância crítica desses sistemas, é imperativo que organizações que gerenciam infraestruturas adotem medidas para protegê-las contra possíveis ataques cibernéticos. Um exemplo concreto dessa necessidade pode ser observado nos dados apresentados abaixo:
- Em 2022, estima-se que 83% das organizações enfrentaram mais de uma violação de dados em ambientes OT (Fonte: IBM Cost of a Data Breach Report);
- Entretanto, apenas 17% relataram essa como sendo sua primeira violação em dispositivos ICS (Fonte: IBM Cost of a Data Breach Report, 2022);
- Ademais, cerca de 25% das ameaças identificadas em 2023 contra ICS foram consideradas críticas, enquanto 44% foram classificadas como graves (Fonte: SANS ICS/OT Cybersecurity Survey, 2023);
- Como consequência desses ataques, 60% das organizações aumentaram os preços de seus serviços ou produtos, repassando os custos dos incidentes aos consumidores (Fonte: IBM Cost of a Data Breach Report);
Torna-se evidente que o aumento global dos ataques cibernéticos representa uma ameaça significativa para organizações, em particular aquelas que possuem infraestrutura crítica e dependem maciçamente da tecnologia para suas operações. Por essa razão, a segurança cibernética na indústria de óleo e gás tornou-se crucial, uma vez que esse setor ocupou a terceira posição entre os mais visados para ataques cibernéticos em ambientes de Tecnologia Operacional (OT) no ano de 2022 (Fonte: IBM XForce 2023).
Cibersegurança no setor de Óleo e Gás
A indústria de Óleo e Gás (O&G) é um grande alvo para ataques cibernéticos devido a sua posição central na infraestrutura global e a sua complexidade operacional. A interligação de sistemas de produção, distribuição e monitoramento de recursos energéticos proporciona uma vasta superfície de ataque para potenciais invasores, aumentando ainda mais a necessidade urgente de reforçar a segurança cibernética nesse setor.
Os ataques a infraestruturas de energia e de matérias-primas, como um todo, vêm aumentando consistentemente. Conforme consta no Tenable 2022 Threat Landscape Report, Nos últimos cinco anos foram registrados 35 incidentes graves, que são aqueles com potencial de causar danos severos, como paralisação de operações. Os ataques de ransomware, por sua vez, são cada vez mais bem-sucedidos, tendo aumentado 150% apenas no ano passado.
Nesse sentido, a indústria de Óleo e Gás é um alvo visado, por depender de sistemas tecnológicos complexos para viabilizar operações a nível mundial, tornando-a altamente vulnerável a ameaças cibernéticas. As consequências de ataques bem-sucedidos podem ser graves, variando desde danos físicos até interrupções na produção, desastres ambientais e perdas financeiras. Ainda de acordo com o Tenable 2022 Threat Landscape Report, as violações cibernéticas podem comprometer os sistemas de segurança, causando acidentes, lesões e potenciais desastres ambientais.
Consequentemente, o prejuízo financeiro sustentado pela indústria de Óleo e Gás decorrente do aumento de violações desta natureza é bastante expressivo: em 2022, os ataques cibernéticos custaram ao setor energético em média US$ 4,72 milhões de dólares por incidente, totalizando R$ 23,1 milhões de reais; estima-se que o prejuízo financeiro de um ataque cibernético custe até R$ 6,96 milhões por ano a empresas do ramo de Óleo e Gás¹.
As motivações para a ocorrência de ataques são, em sua maioria, financeiras: cerca de 78% dos ataques cibernéticos tinham por objetivo a obtenção de lucro de forma indevida, enquanto os demais 22% são relacionados à espionagem industrial, utilizada para obter determinadas vantagens sobre uma organização concorrente, a exemplo de: aquisição de processos ou técnicas, roubo de informações estratégicas e segredos comerciais, suborno, chantagem ou vigilância².
1,2Fonte: Data Breach Investigations Report. Verizon, 2022.
Diante deste cenário prolífico para a ocorrência do crime cibernético e consequente aferição de vultosas vantagens, não é surpreendente que o setor de Óleo e Gás tenha sido posicionado em décimo lugar em uma lista que inclui 29 indústrias com violações ocorridas em 2022.
Ataques cibernéticos relevantes no setor de Óleo e Gás
O interesse pelo setor de Óleo e Gás, contudo, não é recente: ao longo dos últimos anos, uma série de incidentes ocorreram em indústrias do setor, em maior ou menor escala e consequências variadas, tais como paralisação de operações e, até mesmo, roubo de informações. Um ataque realizado à gigante do petróleo Saudi Aramco, ocorrido em 2017, trazia consequências ainda mais devastadoras: o malware “Triton” atacou os sistemas de segurança da companhia, atingindo diretamente os sistemas de segurança de uma instalação de infraestrutura crítica.
O malware tinha potencial para desativar sistemas de segurança concebidos para prevenir acidentes industriais catastróficos. Ao ser utilizado em uma planta petroquímica como a Aramco, esta desativação poderia ter levado à liberação de gás tóxico de sulfeto de hidrogênio ou causado explosões. Isso colocaria vidas em risco, tanto dentro da instalação como na área circundante. Entretanto, um bug no código do invasor desligou os sistemas de produção da fábrica antes que pudesse causar danos significativos aos ativos operacionais e à infraestrutura (Fonte: 5 Big Cyberattacks in Oil and Gas cyberattacks critical infrastructure industrial manufacturing. DAVIS, Diana. 2022).
Abaixo, destacam-se outros incidentes relevantes ocorridos em anos recentes:
- Em 2017, o ransomware WannaCry afetou pelo menos 100 mil organizações em 150 países. Dentre eles, estava a petrolífera brasileira Petrobras, que desligou seus computadores como precaução para responder ao ataque cibernético (Fonte: 5 Big Cyberattacks in Oil and Gas cyberattacks critical infrastructure industrial manufacturing. DAVIS, Diana. 2022);
- Em dezembro de 2019, o ransomware Ryuk, criado pelo grupo Wizard Spider, foi utilizado para atacar a ExxonMobil, o que resultou em uma interrupção significativa nas operações da empresa, impactando especificamente as operações downstream – que incluem refino, produção química e distribuição de produtos petrolíferos (Fonte: 5 Big Cyberattacks in Oil and Gas cyberattacks critical infrastructure industrial manufacturing. DAVIS, Diana. 2022);
- Em maio de 2021, a empresa Colonial Pipeline sofreu um ataque de ransomware conduzido pelo grupo de hackers Darkside, o qual forçou a maior operadora de oleodutos dos EUA a interromper todas as operações. A paralisação levou à escassez de combustível e ao pânico no abastecimento em vários estados dos EUA (Fonte: 5 Big Cyberattacks in Oil and Gas cyberattacks critical infrastructure industrial manufacturing. DAVIS, Diana. 2022);
- Em junho de 2023, os postos de gasolina Petro-Canada, em todo o Canadá, foram afetados por problemas técnicos que impedem os clientes de realizar pagamentos com cartão de crédito ou pontos de recompensa, já que sua controladora, a Suncor Energy, sofreu um ataque cibernético (Fonte: CISO Advisor, 2023);
- Já em julho de 2023, a multinacional Shell foi uma das vítimas da recente campanha de ransomware em grande escala conduzida pela gangue Clop, que explorou uma vulnerabilidade de dia zero do MOVEit. A Shell confirmou que algumas informações pessoais relativas a funcionários foram acessadas sem autorização (Fonte: CISO Advisor, 2023);
Investimentos de ordem técnica, organizacional e financeira em cibersegurança tornam-se imprescindíveis na indústria de Óleo e Gás, em face do crescimento dos ataques e de modo a evitar prejuízos ainda maiores. Não obstante, alguns desafios devem ser destacados, que representam percalços à realização de melhorias relativas à cibersegurança nesse setor.
Desafios para o cenário atual de cibersegurança na indústria de Óleo e Gás
A indústria de Óleo e Gás está no centro de uma transformação tecnológica impulsionada pela automação e pela transição digital. No entanto, esse avanço tecnológico também traz consigo desafios, em termos de cibersegurança, que não podem ser ignorados.
Uma pesquisa recente realizada pela Trend Micro revelou que apenas 43% dos entrevistados da indústria afirmaram que suas organizações “sempre/geralmente fazem melhorias” na segurança cibernética após incidentes. Esse número fica aquém da média geral de 52%.
A preocupação com a segurança cibernética é ainda mais evidente quando consideramos que 4% dos entrevistados admitiram que raramente fazem melhorias após incidentes de segurança, um número preocupante que indica uma lacuna significativa na abordagem de cibersegurança em comparação com outras indústrias. Fonte: Trend Micro: O&G Survey, Tenable Solutions Brief
Desafios em cibersegurança enfrentados pelo setor de Óleo e Gás
O que dificulta um avanço expressivo em cibersegurança para indústria de O&G?
Estas dificuldades aumentam a complexidade e criticidade dos sistemas, dificultando a estabilidade dos três pilares confidencialidade, integridade, disponibilidade, de todo ambiente industrial (Fonte: Mordor Intelligence: Industry Report, Claroty: O&G Cybersecurity).
Principais Iniciativas para garantir a cibersegurança no setor de Óleo e Gás
A ameaça cibernética cresce em infraestrutura crítica e manufatura, exigindo segurança além das redes de TI. Investir em cibersegurança não é só defesa, mas também impulsiona eficiência operacional e o retorno é garantido.
Iniciativas com maiores oportunidades
Estas iniciativas garantem maior facilidade na evolução do ecossistema, auxiliando na evolução da cibersegurança da indústria.
- Redução de riscos para seguros: investir em segurança industrial pode diminuir a pontuação de risco e os prêmios de seguros, reforçando práticas de cibersegurança;
- Redução nos custos de uma brecha de segurança: investir em segurança industrial auxilia a reduzir custos, visto que um dia de inatividade não planejada pode custar mais de U$10 milhões;
- Integrações reduzem complexidade e superfície de ataque: a integração das soluções de segurança de OT com as ferramentas de TI existentes será uma ajuda significativa, maximizando o valor e proporcionando uma camada de segurança unificada;
- Redução do sucesso de ataques: investir em consciência situacional ajuda a ter uma noção clara do ambiente operacional, juntamente com insights detalhados sobre a gestão de ativos e execução, o que reduz os danos causados por ataques cibernéticos;
- Redução de perdas para atualização: realizar atualizações e executar análises durante períodos de baixa produção são ideais, por reduzir possíveis interrupções futuras e auxiliar a reduzir o sucesso de ataques cibernéticos. (Fonte: Tenable: The ROI of Industrial Cybersecurity);
Razões para investimentos em cibersegurança na visão dos CISOS
Ao serem questionados quais as principais razões para investir em cibersegurança (vale múltiplas escolhas) e o resultado foi que:
- 33% Indicaram prevenção de recorrências de ataques;
- 30% Planejam atualizar a infraestrutura e implementar tecnologia 5G;
- 27% Procuram estar de acordo com as regulações industriais (Fonte: Trend Micro O&G Survey);
Outros pontos foram analisados e identificaram as principais iniciativas que estão sendo realizadas pelos CISOs atualmente, a fim de progredir na proteção dos seus sistemas e são estes:
Visão BIP – Demais iniciativas
As iniciativas em cibersegurança vão além da infraestrutura crítica e tecnologia operacional, exigindo que a segurança abranja toda a organização, considerando ativos, processos e pessoas. Portanto, na visão dos nossos especialistas do COE Cybersec BIP Brasil, “Entendemos que existem outras inciativas tão importantes quanto as citadas anteriormente para garantir que todo o ambiente industrial esteja de fato protegido”. São alguns exemplos:
Caso hipotético: possível ataque malware em uma plataforma offshore, visando os sistemas ICS e OT
Cenários como o descrito abaixo são extremamente comuns, muitas vezes ignorados pela indústria por falta de conhecimento e investimento na área de cibersegurança. Sendo assim, iremos demonstrar, de forma hipotética, um cenário de ataque hacker a uma plataforma offshore, os danos que podem ser causados e como esse ataque poderia ter sido evitado.
No caso abaixo, um hacktivista visa uma indústria de petróleo offshore, visando cessar o funcionamento das operações e causar danos a empresa.
Ao adotar a perspectiva do hacker, primeiramente se analisa o alvo – no caso, uma petrolífera, e em seguida se investiga os sistemas predominantes, como SCADA e PLCs. Com base nessa compreensão, e tendo em mente as vulnerabilidades identificadas, o hacker escolhe o método de ataque a ser empregado, como exemplo o phishing.
Como a BIP pode ajudar a evitar esse ataque?
Com vistas a impedir a ocorrência de ataques cibernéticos e suas devastadoras consequências, algumas medidas preventivas podem ser adotadas, tais como:
- Assessment de cibersegurança em OT: realizar avaliação do nível de maturidade de sistemas OT para analisar objetivos e necessidades de segurança;
- Treinamento e conscientização: treinar funcionários sobre melhores práticas de segurança cibernética;
- Campanha de phishing: realizar testes simulados para medir conscientização sobre ameaças phishing;
- Atualização de software: manter os sistemas atualizados;
- Gestão de acesso: definir regras de acesso por tipo de usuário e implementar autenticação multifatorial (MFA);
Cases de aplicação das iniciativas BIP
A indústria de Óleo e Gás opera em plataformas complexas e interconectadas, onde a automação e o controle remoto são comuns. As brechas para ataques cibernéticos podem ocorrer, por exemplo, em plataformas offshore, representando riscos operacionais e vazamento de dados sensíveis. Nesse contexto, a BIP se destaca por sua capacidade de assegurar que tais danos dificilmente afetem as empresas com as quais trabalha, graças às suas iniciativas proativas e sua equipe especializada em proteção cibernética.
Case – Avaliação de maturidade de segurança
Abaixo, apresentamos o case realizado em uma das empresas líderes no setor de infraestrutura de gás natural, conhecida por sua extensa rede de dutos na Europa e seu compromisso com a sustentabilidade e a inovação.
Background
- A empresa inclui ambientes e negócios heterogêneos (empresa de regaseificação, armazenamento, transporte e expedição) que foram agregados em seu grupo;
- A empresa queria avaliar o nível de maturidade do sistema industrial de controle remoto e definir um modelo único para todo o negócio em termos de tecnologias e processos;
Barreiras
- Alta complexidade a ser gerenciada na entrega do serviço em termos de ambientes (storage, pipeline, distribuição), ativos e tecnologias;
- Necessidade de apoio das partes interessadas para avaliar um cenário complexo AS-IS (área de negócios, OT, TI);
Objetivos
- Definição de ações de segurança para mitigar riscos de cibersegurança e atender aos requisitos regulatórios;
- Aumentar o nível de maturidade das capacidades de cibersegurança;
- Definição de medidas de segurança técnica e organizacional para proteção do patrimônio da empresa;
- Estabelecer uma cultura de cibersegurança na população da empresa;
Fatores-chave de sucesso
Além das iniciativas BIP outros fatores que foram chave para garantir o sucesso deste projeto foram:
- Profundo conhecimento e relacionamento com stakeholders do negócio;
- Síntese de questões complexas e técnicas em linguagem de gestão para tratar de resolução e aprovar o orçamento;
Benefícios para o cliente
Como proposta de solução aos desafios encontrados, foram desenvolvidas e entregues as seguintes soluções:
- Avaliação da arquitetura de sistemas de controle SCADA;
- Avaliação do Nível de Maturidade em Segurança Cibernética;
- Modelo de governança para melhorias identificadas;
