Conheça o setor de petróleo e gás

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

Definir o cenário de ameaça digital em expansão do setor de petróleo e gás (OG).
Descrever as complexidades de garantir ambientes operacionais industriais globais.
Explicar a importância da tecnologia operacional (TO) para se proteger contra ataques cibernéticos.

Este módulo foi produzido em colaboração com o Fórum Econômico Mundial (WEF). Saiba mais sobre conteúdo de parceiros no Trailhead.

Antes de começar

Se você concluiu o módulo Desenvolvimento do programa de resiliência cibernética, já sabe o que é resiliência cibernética, por que nos preocupamos com isso, o que você tem que fazer para cultivá-la e como os membros do conselho podem promover e fortalecer a resiliência cibernética de uma organização. Agora vamos aprofundar um pouco mais este tema explorando como ele se manifesta na indústria de petróleo e gás (OG). À medida que uma das indústrias mais complexas do mundo vai fazendo uma transição multifacetada (do analógico para o digital, de centralizada para distribuída e de fósseis para baixa emissão de carbono), o gerenciamento de riscos cibernéticos e a prevenção de ameaças cibernéticas estão rapidamente se tornando essenciais para as cadeias de valor das empresas.

O panorama de ameaças digitais

A revolução digital e a transição de fontes de energia baseadas em fósseis para fontes de energia de baixo carbono transformaram juntas o modelo de negócios da indústria de OG, de décadas, em apenas alguns anos. O futuro do setor de OG depende da digitalização, do processo de conversão de informações em formato digital, para gerenciar uma vasta rede de ativos e operações globais de energia a fim de maximizar os lucros, melhorar a segurança e minimizar as emissões.

Hoje, as empresas controlam ativos de energia física com a vinculação de tecnologia operacional (TO) a redes de tecnologia da informação (TI) que tiram proveito de big data, inteligência artificial (IA) e automação. A TO monitora e gerencia ativos de processos industriais e equipamentos de fabricação/industriais. A TI cobre qualquer forma de tecnologia: qualquer equipamento, serviço ou técnica usado por uma empresa, instituição ou qualquer outra organização que lide com informações.

Esses novos vínculos generalizados entre TO e TI servem como fatores-chave para um modelo operacional mais eficiente, resiliente e de menor pegada de carbono para o setor de energia. No entanto, essas mudanças trazem riscos cibernéticos para a infraestrutura crítica, setores cujos ativos, sistemas e redes são considerados tão vitais para um país que sua incapacitação ou destruição teria um efeito debilitante na segurança, na segurança econômica ou de saúde pública nacional. Como tanto a infraestrutura crítica quanto toda a cadeia logística estão expostas a riscos cibernéticos, a segurança cibernética é uma consideração central do modelo de negócios do setor de OG.

Para se adiantar a ataques cibernéticos nessa indústria em rápida mudança, as empresas de OG precisam garantir que a mitigação de riscos cibernéticos ande no mesmo ritmo da inovação. O risco cibernético é o prejuízo que pode ocorrer quando uma ameaça cibernética afeta um ativo e resulta em um impacto relevante em uma organização. O risco cibernético pode ser medido como a provável frequência e o provável impacto de um evento de prejuízo.

A chave para gerenciar o risco cibernético é a resiliência cibernética. De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), o termo "resiliência cibernética" refere-se à resiliência organizacional contra ameaças cibernéticas, com grande ênfase na implementação efetiva de boas práticas de cibersegurança e um plano de continuidade de operações (COOP). Para prosperar no cenário de ameaças de hoje, os executivos do setor de OG precisam sempre melhorar a resiliência cibernética de sua organização, avaliar riscos novos e existentes e criar um diálogo entre membros do conselho, diretores corporativos e profissionais de segurança relevantes.

Os membros do conselho e os diretores corporativos do setor de OG têm um papel importante a desempenhar na promoção da resiliência cibernética em suas organizações. Os membros do conselho são representantes corporativos responsáveis por supervisionar estratégias de gestão e identificar e planejar respostas a riscos em toda a empresa que afetem a empresa e seu valor para stakeholders e acionistas. Os membros do conselho precisam equilibrar a vantagem competitiva associada à digitalização do ambiente operacional industrial de sua empresa com a maior exposição a ameaças cibernéticas que buscam interromper as operações.

Os diretores corporativos são responsáveis por informar sobre a capacidade da organização de gerenciar a resiliência cibernética. O diretor de segurança da informação (CISO) é frequentemente o indivíduo dentro da organização responsável por supervisionar o programa de resiliência cibernética, que visa proteger a infraestrutura digital contra ameaças cibernéticas e garantir a continuidade das operações de negócios.

Com as conexões de dispositivos industriais estimadas em 37 bilhões até 2025, a digitalização está transformando rapidamente o setor de OG de um negócio baseado em commodities realizado com equipamentos analógicos em uma indústria automatizada, controlada remotamente e voltada para IA, o que transformou a tomada de decisões baseadas em risco em um processo muito rápido. Um exemplo de conexão de dispositivos industriais no setor de OG são sensores que monitoram os níveis de estoque de tanques de petróleo e despacham automaticamente caminhões quando os tanques precisam ser esvaziados. Eles também monitoram o desempenho das bombas não subterrâneas para alertar as equipes de manutenção sobre problemas e enviam aos funcionários sinais de alerta de preocupações de segurança para evitar ferimentos e fatalidades. As notificações do sensor do tanque de petróleo em tempo real permitem o bombeamento contínuo, o que otimiza o transporte de estoque e minimiza os custos de inatividade.

Um tanque de petróleo em terra, um caminhão conectado e uma bomba não subterrânea

Ao mesmo tempo, em meio a essa transformação digital, agentes hostis veem cada vez mais a indústria de energia como um alvo maduro para lançar ataques cibernéticos com o intuito de obter ganhos financeiros, criminosos ou geopolíticos. No entanto, muitas empresas de OG não estão acostumadas a pensar em si mesmas como empresas digitais e, portanto, não possuem tecnologias de segurança cibernética, sistemas, pessoal e protocolos para proteger ambientes operacionais industriais.

Como garantir ambientes operacionais industriais

A segurança cibernética no setor de OG é inerentemente difícil devido à complexidade de administrar uma grande organização com diferentes empresas, ativos e pessoal localizados em todo o mundo e que trabalha com uma complexa cadeia logística de clientes e fornecedores. A transformação de muitas empresas de OG de um estado de sistemas operacionais isolados em negócios totalmente integrados resultou em uma cadeia logística complexa e no aumento das interdependências entre negócios upstream, midstream e downstream.

Essa interdependência digital expandiu o impacto de possíveis ataques cibernéticos. Além disso, os equipamentos herdados não foram construídos com as vulnerabilidades de segurança ou necessidades de interconectividade dos ambientes operacionais modernos em mente, o que traz desafios para a modernização da tecnologia subjacente do setor.

Sem tecnologias e protocolos robustos de cibersegurança, as empresas que demorarem a priorizar a implantação de soluções adequadas de higiene cibernética e monitoramento e defesa de dispositivos vulneráveis não serão capazes de competir com colegas protegidos por cibersegurança que oferecem produtos e serviços entregues de forma confiável e eficiente. Em muitos casos, as empresas enfrentam desafios com a higiene cibernética, pois os sistemas estão interconectados, mas a responsabilidade está dividida em silos ou é compartilhada entre muitos parceiros com prioridades variadas. Muitas organizações acham a complexidade da segurança cibernética atordoante, e isso é particularmente verdade quando se precisa proteger ambientes de TO e de TI.

Usar TO para se proteger contra ataques cibernéticos

Para entender melhor a importância do TO para se proteger contra ataques cibernéticos, vamos ver um exemplo. Erika é membro do conselho de uma refinaria de OG. Sem que ela soubesse, ao longo de vários anos, um agente hostil violou as defesas cibernéticas da refinaria usando malware específico de TO para atingir os sistemas de segurança usados na produção de OG. Malware (abreviação de "software malicioso") é um arquivo ou código, normalmente entregue por meio de uma rede, que infecta, explora, rouba ou gera praticamente qualquer comportamento que um invasor deseja.

Depois de passar despercebido por 3 anos pela equipe de segurança da empresa de OG, os invasores ativaram seu malware para interromper os sistemas de segurança da refinaria. Mas quando o ataque foi implantado, um erro no malware fez com que a fábrica fosse desativada em vez de causar danos físicos significativos, como pretendido.

Imediatamente após o ataque, o pessoal de segurança da fábrica (e terceiros) não consideraram a desativação repentina como resultado direto de um ataque cibernético e, portanto, não investigaram essa possibilidade como uma causa raiz da desativação. Com o malware ainda ativo, um mês depois, os atacantes fizeram uma segunda tentativa de interromper o sistema de segurança da refinaria, mas dessa vez tentaram desligar uma infraestrutura ainda mais crítica. Felizmente, os invasores falharam novamente devido a um erro diferente. Durante a investigação, a equipe de segurança da fábrica solicitou apoio de especialistas de TO para investigar as paralisações. Após a segunda investigação, os especialistas em segurança descobriram que os invasores estavam manipulando os sistemas de TO da fábrica.

A recuperação do incidente de segurança até o funcionamento completo levou mais de 70 dias e custou dezenas de milhões de dólares. Ataques como esses não são incomuns e poderiam ter sido detectados com medidas e um plano de resposta a incidentes em vigor e ensaiado. Se essas medidas tivessem sido implantadas, o tempo perdido e o impacto do ataque teriam sido reduzidos significativamente.

Erros de adversários evitaram danos físicos nesse incidente, mas a governança do conselho pode — e deve — tornar as organizações mais resilientes contra ameaças cibernéticas de TO à infraestrutura de segurança crítica. Como membro do conselho, Erika tem a responsabilidade de promover a implementação dessa abordagem para minimizar as chances de outro incidente como esse.

Seis princípios de risco cibernético no setor de OG

Quando aplicável, o conselho de administração de uma organização é a principal entidade responsável pela segurança das decisões financeiras, jurídicas, estratégicas e éticas de uma empresa. Em organizações menores, seus líderes cibernéticos aplicáveis podem usar esses princípios para melhorar a resiliência cibernética. Vamos rever as orientações de membros do conselho que os ajudam a executar seu papel de supervisão e a obter insights acionáveis para melhorar a resiliência cibernética.

Os diretores corporativos responsáveis pela resiliência cibernética precisam comunicar claramente aos conselhos por que a resiliência cibernética importa para a segurança e o sucesso de sua organização. Este módulo mostra aos diretores corporativos e gerentes atividades recomendadas para ajudar a implementar princípios de resiliência cibernética e facilitar a comunicação sobre riscos com os membros do conselho executivo.

De acordo com o Fórum Econômico Mundial (WEF), existem seis princípios que ajudam os conselhos de administração das empresas de OG a amadurecer sua abordagem à segurança cibernética. Saiba mais sobre esses princípios na próxima unidade.

Procurando ajuda?