Los cambios tecnológicos que ha experimentado la industria del petróleo y el gas en los últimos años han traído consigo enormes ventajas a la hora de generar eficiencias y reducir costos. Pero estos mismos avances también han aumentado el número y la variedad de riesgos de ciberseguridad. Joe Morgan, Segment Development Manager, Critical Infrastructure, Americas de Axis, analiza la manera en que los productores de petróleo y gas pueden mitigar los riesgos de ciberseguridad.
Llevo más de 35 años trabajando en la industria del petróleo y el gas de una forma u otra. Esta larga trayectoria me ha permitido ser testigo de cambios increíbles tanto en el mercado como en la tecnología. Se han producido episodios de expansión y contracción económica, se han descubierto nuevos yacimientos de petróleo y gas, e ideado técnicas para llegar a esas reservas. He visto la aparición de equipos para el fondo del pozo que proporcionan indicaciones de factores tales como la presión y el volumen, así como nuevas técnicas de estimulación para extraer cada onza de crudo.
A lo largo de los años, se han producido grandes avances tecnológicos en la industria del petróleo y el gas, y el ritmo de cambio continúa en la actualidad. En cualquier caso, la transformación tecnológica se está acelerando. Pero estos avances acarrean riesgos para la ciberseguridad, que también han aumentado constantemente en el sector.
En este artículo se tratará la manera en que los productores de petróleo modernos están utilizando nuevas tecnologías de sensores para mejorar la eficiencia y reducir los costos, y se analizará cómo se pueden mitigar los riesgos de seguridad asociados.
Del “buen oído” a los sensores conectados en red
El objetivo principal de un productor de petróleo es mantener la rentabilidad de sus pozos y la tecnología desempeña un papel importante en las operaciones. Cuando antes era el oído atento de un operador de servicio de campo el que podía detectar el sonido de un rodamiento defectuoso, este trabajo lo han asumido actualmente los sensores integrados locales.
Los sensores inteligentes y los sistemas SCADA (Supervisory Control and Data Acquisition) están ayudando a las empresas a supervisar e informar sobre aspectos operativos del petróleo y el gas. Estos sensores pueden detectar cambios tempranos y transferir datos críticos a través de las instalaciones a un gerente de planta o enviarlos a miles de kilómetros de distancia a una sala de control remoto.
Hasta hace poco, el monitoreo remoto era demasiado costoso, pero las innovaciones en las tecnologías celulares (impulsadas por la energía solar y el almacenamiento en baterías) permiten ahora a los sensores enviar información a largas distancias. Los sensores inteligentes también se pueden programar para enviar datos o alertas cuando surge un problema, lo que reduce significativamente los costos operativos.
La verificación de alertas o alarmas se puede lograr utilizando sensores adicionales, incluidas cámaras visuales y térmicas. Estos se pueden posicionar para determinar si el sensor inicial, por ejemplo, un detector de humo o gas, o un sensor de audio, ha indicado correctamente un problema y, por lo tanto, ha generado la respuesta adecuada.
Los productores están adaptando los sistemas para monitorear plantas de pozos de forma remota en lo que respecta a la seguridad, los procesos y la salud y la seguridad, utilizando una combinación de estas nuevas tecnologías. Esto hará que los productores pasen de adoptar una postura reaccionaria a adoptar una postura proactiva, algo positivo para determinados aspectos operativos de una planta, además de reducir la necesidad de algunos servicios de pozos. Los sensores que funcionan todo el día pueden detectar actividades anómalas, sustituyendo las comprobaciones manuales aleatorias. Esto, en última instancia, ahorrará dinero y mantendrá la rentabilidad del pozo.
Lucha contra ciberamenazas para infraestructuras críticas
El sector del petróleo y el gas constituye una parte importante del sector de infraestructuras críticas de un país, y la ciberseguridad es la principal preocupación para la mayoría de las operaciones. En nuestro mundo cada vez más conectado, cualquier terminal conectado a una red puede representar una oportunidad de ciberataque. El sector ha visto un aumento de los ataques de ransomware, a menudo dirigidos contra dispositivos de IoT, como punto de entrada a la red, debido a sus vulnerabilidades de seguridad inherentes.
Los ataques de malware utilizando troyanos también representan una amenaza directa para las operaciones de petróleo y gas, ya que suelen tener por objetivo permitir a los atacantes obtener algún nivel de control operativo de la planta que, aunque sea limitado, podría tener consecuencias graves.
Un actor malicioso podría, por ejemplo, activar una falsa alerta indicando que ha fallado un componente de una máquina. Si no se comprueba y se responde del modo incorrecto, esto podría causar más daños que el evento real. Incluso el acto de verificar manualmente una falsa alarma podría provocar una costosa interrupción de las operaciones.
Si tenemos en cuenta los numerosos sectores secundarios y las autoridades asociadas existentes, unos ataques exitosos contra infraestructuras críticas podrían tener unos efectos catastróficos. Los ciberataques de éxito también pueden provocar un efecto en cascada o dominó: si un cae un sector secundario, probablemente le seguirán otros sectores secundarios.
Una solución comprometida dentro de un sector crítico no solo podría tener unas terribles consecuencias para la empresa, sino también para la sociedad. El hecho de que los países confíen en estos servicios, supone que las implicaciones podrían ser aún amplias. Desde una perspectiva empresarial, un ciberataque exitoso podría tener impactos negativos en la reputación de la marca, el precio de las acciones y la rentabilidad, así como provocar tiempos de inactividad operativos y multas administrativas.
Por lo tanto, resulta esencial que las organizaciones se defiendan de estos ataques, que no dejan de evolucionar y transformarse. De hecho, en algunas regiones, los reglamentos exigen cada vez más que las entidades de importancia crítica demuestren resiliencia frente a las ciberamenazas, no solo en sus propias operaciones, sino en toda su cadena de valor.
Evaluar la cadena de suministro
Los hackers son oportunistas y buscarán explotar vulnerabilidades en procesos existentes. Además de la verificación, los fabricantes de sensores avanzados han añadido más capas de protección y buscarán socios de ciberseguridad terceros para ayudar a reforzar sus defensas. Por lo tanto, jamás ha sido tan importante actuar con la diligencia debida en la cadena de suministro si consideramos los riesgos asociados a un ciberataque.
A la hora de proteger sus propias operaciones de los ciberataques, los productores de petróleo y gas deben mirar más allá de los beneficios operativos obtenidos con nuevas tecnologías y centrarse en la madurez de la ciberseguridad de las empresas existentes en toda su cadena de suministro.
Para respaldar la evaluación de socios en la cadena de suministro de una organización, el enfoque debe ir más allá de los aspectos operativos de la propia tecnología. Las áreas que deben tenerse en cuenta en la evaluación deben ser los procesos y las políticas vigentes para demostrar su propia madurez interna, como la norma ISO 27001. Si estas organizaciones no pueden demostrar lo que están haciendo para protegerse frente a los ciberataques, ¿cómo se puede confiar en ellas para proteger a sus clientes? Resulta esencial trabajar con proveedores de tecnología que demuestren transparencia en relación con su propio enfoque hacia la ciberseguridad y en sus propias cadenas de valor.
A medida que el sector del petróleo y el gas accede a una nueva era de mayor automatización, el papel del socio tecnológico será aún más importante para el éxito. Las soluciones que proporcionan contribuirán a mejorar la eficiencia y reducir los costos en el sector, sobre todo desde la perspectiva del monitoreo remoto. Sin embargo, la evaluación exhaustiva de la ciberseguridad de estas empresas tiene una importancia crítica y debe priorizarse durante el proceso de compra. Sé por experiencia que sería un desastre si la tecnología que se implementó para mejorar las operaciones empresariales y mejorar la rentabilidad, resultara en que los sistemas de los usuarios se vieran comprometidos.
Si reconocemos que la fortaleza de cualquier empresa viene determinada por el eslabón más débil, tenemos que asegurarnos de que la ciberseguridad forme parte del proceso de evaluación y que no se convierta en una simple ocurrencia. Solo entonces las organizaciones de petróleo y gas se encontrarán en una posición de fuerza para aprovechar las soluciones tecnológicas emergentes.
