Los cambios tecnológicos que ha experimentado la industria del petróleo y el gas en los últimos años han aportado enormes beneficios a la hora de crear eficiencias y reducir costes. Pero estos mismos avances también han aumentado el número y la variedad de riesgos relacionados con la ciberseguridad. Joe Morgan, director de desarrollo de segmentos de infraestructuras críticas para América en Axis, analiza cómo los productores de petróleo y gas pueden mitigar los riesgos asociados a la ciberseguridad.
Llevo más de 35 años trabajando en la industria del petróleo y el gas en diferentes cargos. Este largo periodo me ha permitido ver cómo han cambiado el mercado y la tecnología. Ha habido momentos de expansión y de contracción, el descubrimiento de nuevos yacimientos de petróleo y gas, y técnicas para llegar a estas reservas. He visto la aparición de instrumentación de fondo de pozo que ofrece indicaciones de factores, como la presión y el volumen, así como nuevas técnicas de estimulación para extraer cada onza de producto.
A lo largo de los años, se han producido grandes avances tecnológicos en la industria del petróleo y el gas, y hoy en día el ritmo sigue cambiando. La transformación tecnológica se está acelerando. Pero con estos avances vienen los riesgos de ciberseguridad, que también han aumentado constantemente en el sector.
Este artículo analizará cómo los productores de petróleo actuales están utilizando nuevas tecnologías de sensores para mejorar la eficiencia y reducir los costes, y cómo se pueden mitigar los riesgos de seguridad asociados.
De los «oídos atentos» a los sensores conectados en red
El objetivo principal de un productor de petróleo es mantener sus pozos rentables, y la tecnología desempeña un papel importante en las operaciones. Donde antes el oído atento de un operario de servicio podía detectar el sonido de un rodamiento defectuoso, hoy en día los sensores integrados locales han tomado el relevo.
Los sensores inteligentes y los sistemas SCADA (Control de supervisión y adquisición de datos) están ayudando a las empresas a monitorizar e informar sobre los aspectos operativos del petróleo y el gas. Estos sensores pueden detectar cambios tempranos y transmitir datos críticos a través de una instalación a un gerente de planta o enviarlos a miles de kilómetros de distancia a una sala de control remoto.
Hasta hace poco, la supervisión remota era demasiado cara, pero las innovaciones en tecnologías celulares (alimentadas por energía solar y almacenamiento con batería) ahora permiten que los sensores envíen información a largas distancias. Los sensores inteligentes también se pueden programar para enviar datos o avisos cuando hay un problema, lo que reduce significativamente los costes operativos.
La verificación de avisos o alarmas se puede lograr utilizando sensores adicionales, incluidas cámaras visuales y térmicas. Estos se pueden colocar para determinar si el sensor inicial, por ejemplo, un detector de humo o gas, o un sensor de audio, ha indicado correctamente un problema y, por lo tanto, generar la respuesta adecuada.
Los productores están adaptando sistemas para monitorizar de forma remota las instalaciones de pozos en cuanto a seguridad, procesos y salud, utilizando una combinación de estas nuevas tecnologías. Esto cambiará a los productores de una postura reactiva a otra proactiva, lo que beneficiará los aspectos operativos de una instalación y reducirá la necesidad de algunos servicios en los pozos. Los sensores que funcionan todo el día pueden detectar actividades anómalas, sustituyendo las comprobaciones manuales aleatorias. Esto, en última instancia, permitirá ahorrar dinero y mantendrá la rentabilidad del pozo.
Lucha contra las ciberamenazas para infraestructuras críticas
El sector del petróleo y el gas forma una parte importante del sector de infraestructuras críticas de un país, y la ciberseguridad es la principal preocupación para la mayoría de las operaciones. En nuestro mundo cada vez más conectado, cualquier punto final de red puede ofrecer una oportunidad de ciberataque. El sector ha visto un aumento de los ataques de ransomware, a menudo dirigidos a dispositivos de IoT como punto de entrada en la red, debido a sus vulnerabilidades de seguridad inherentes.
Los ataques de malware tipo troyano también representan una amenaza directa para las operaciones relacionadas con el petróleo y el gas, ya que suelen tener como objetivo permitir que los atacantes obtengan algún nivel de control operativo de la planta que, aunque sea limitado, podría tener graves consecuencias.
Un agente malicioso podría, por ejemplo, activar un falso aviso de que una pieza de la maquinaria ha fallado. Si no se verifica, una reacción incorrecta podría causar más daños que el evento real. Incluso el acto de verificar manualmente una falsa alarma podría provocar una costosa interrupción de las operaciones.
Los ataques exitosos contra infraestructuras críticas, los numerosos subsectores y las autoridades asociadas podrían sufrir efectos catastróficos. Los ciberataques exitosos también pueden provocar un efecto en cascada o con efecto dominó: si un subsector cae, probablemente le seguirán otros subsectores.
Una solución comprometida dentro de un sector crítico podría tener consecuencias graves no solo para el negocio, sino también para la sociedad. Dado que los países confían en estos servicios, las implicaciones podrían ser amplias. Desde una perspectiva empresarial, un ciberataque exitoso podría tener impactos negativos en la reputación de su marca, el precio de las acciones y la rentabilidad, así como provocar tiempos de inactividad operativos y sanciones reglamentarias.
Por lo tanto, es crucial que las organizaciones se defiendan de estos ataques, que siguen evolucionando sin pausa. De hecho, las normativas de algunas regiones exigen cada vez más que las entidades críticas demuestren resiliencia frente a las ciberamenazas, no solo en sus propias operaciones, sino en toda su cadena de valor.
Evaluación de la cadena de suministro
Los hackers son oportunistas y buscarán explotar las vulnerabilidades de los procesos existentes. Además de la verificación, los fabricantes de sensores avanzados han agregado más capas de protección y buscarán socios de ciberseguridad externos para ayudar a reforzar sus defensas. Por lo tanto, la diligencia debida de la cadena de suministro nunca ha sido tan importante cuando consideramos los riesgos asociados a un ciberataque.
A la hora de proteger sus propias operaciones de los ciberataques, los productores de petróleo y gas deben mirar más allá de las ganancias operativas obtenidas de las nuevas tecnologías y centrarse en la madurez de la ciberseguridad de las empresas en toda su cadena de suministro.
Para respaldar la evaluación de los socios dentro de la cadena de suministro de una organización, el enfoque debe ir más allá de los aspectos operativos de la propia tecnología. Las áreas que deben tenerse en cuenta a lo largo de la evaluación deben ser el proceso y las políticas que tienen en marcha para demostrar su propia madurez interna, como la norma ISO 27001. Si estas organizaciones no pueden demostrar lo que están haciendo para protegerse de los ciberataques, ¿cómo se puede confiar en ellas para proteger a sus clientes? Es esencial trabajar con proveedores de tecnología que demuestren transparencia con respecto a su propio enfoque de la ciberseguridad, y a través de sus propias cadenas de valor.
A medida que el sector del petróleo y el gas entra en una nueva era de mayor automatización, el papel del socio tecnológico será aún más crucial para el éxito. Las soluciones que proporcionan ayudarán a mejorar la eficiencia y reducir los costes en el sector, especialmente desde una perspectiva de supervisión remota. Sin embargo, una evaluación cuidadosa de la ciberseguridad de estas empresas es crítica y debe priorizarse durante el proceso de adquisición. Según mi experiencia, sería un desastre si la tecnología implementada para mejorar las operaciones empresariales y mejorar la rentabilidad diera como resultado que los sistemas del usuario se viesen comprometidos.
Si reconocemos que cada empresa solo es tan fuerte como su eslabón más débil, debemos asegurarnos de que la ciberseguridad forme parte del proceso de evaluación y no sea una reflexión posterior. Solo entonces las organizaciones dedicadas al petróleo y al gas estarán en una posición sólida para aprovechar las soluciones tecnológicas emergentes.
