As mudanças tecnológicas que a indústria de petróleo e gás viu nos últimos anos trouxeram enormes benefícios ao criar eficiências e reduzir custos. Mas esses mesmos avanços também aumentaram o número e a variedade de riscos de segurança cibernética. Joe Morgan, Gerente de Desenvolvimento de Segmento, Infraestrutura Crítica, Américas, na Axis, analisa como os produtores de petróleo e gás podem mitigar os riscos de segurança cibernética.
Estou envolvido na indústria de petróleo e gás de uma forma ou outra há mais de 35 anos. Esse longo período me permitiu testemunhar mudanças incríveis tanto no mercado quanto na tecnologia. Houve booms e explosões, a descoberta de novos campos de petróleo e gás e técnicas para alcançar essas reservas. Vi o surgimento da instrumentação de fundo de poço que dá indicações de fatores— como pressão, volume -, bem como novas técnicas de estimulação para extrair cada milímetro.
Ao longo dos anos, houve grandes avanços tecnológicos na indústria de petróleo e gás, e o ritmo da mudança continua atualmente. A transformação tecnológica está acelerando. Mas com esses avanços vêm os riscos de segurança cibernética, que também estão aumentando constantemente no setor.
Esta publicação analisará como os produtores de petróleo de hoje estão usando novas tecnologias de sensores para melhorar as eficiências e reduzir os custos, e examinará como os riscos de segurança associados podem ser mitigados.
De "ouvidos atentos" a sensores conectados à rede
O principal objetivo de um produtor de petróleo é manter seus poços rentáveis, e a tecnologia desempenha um papel significativo nas operações. Onde antes o ouvido atento de um operador de serviço de campo podia detectar o som de um rolamento com falha, hoje os sensores incorporados localmente assumiram o controle.
Sensores inteligentes e sistemas SCADA (Supervisory Control and Data Acquisition) estão ajudando as empresas a monitorar e relatar sobre os aspectos operacionais do petróleo e gás. Esses sensores podem detectar alterações precocemente e transmitir dados críticos de uma instalação a um gerente de fábrica ou enviá-los a milhares de quilômetros de distância para uma sala de controle remoto.
Até recentemente, o monitoramento remoto era muito caro, mas as inovações em tecnologias celulares (alimentadas por energia solar e armazenamento em baterias) agora permitem que os sensores enviem informações por longas distâncias. Os sensores inteligentes também podem ser programado para enviar dados ou alertas quando houver um problema, reduzindo significativamente os custos operacionais.
A verificação de alertas ou alarmes pode ser alcançada usando sensores adicionais, incluindo câmeras visuais e térmicas. Eles podem ser posicionados para determinar se o sensor inicial — por exemplo, um detector de fumaça ou gás, ou um sensor de áudio — indicou um problema corretamente e, portanto, provocou a resposta apropriada.
Os produtores estão adaptando sistemas para monitorar remotamente os sites de poços para segurança, processo, bem como saúde e segurança, usando uma combinação dessas novas tecnologias. Isso moverá os produtores de uma posição reativa para uma proativa, beneficiando os aspectos operacionais de um site e diminuindo a necessidade de alguns serviços de poço. O funcionamento contínuo dos sensores pode detectar atividades anormais, substituindo verificações manuais aleatórias. Isso acabará poupar dinheiro e manter o poço rentável.
Combater ameaças cibernéticas à infraestrutura crítica
O setor de petróleo e gás forma uma parte importante do setor de infraestrutura crítica de um país, e a segurança cibernética é a principal preocupação para a maioria das operações. Em nosso mundo cada vez mais conectado, qualquer endpoint de rede pode oferecer uma oportunidade para um ataque cibernético. O setor viu um aumento nos ataques de ransomware, muitas vezes visando dispositivos IoT como ponto de entrada na rede, devido às suas vulnerabilidades de segurança inerentes.
Os ataques de malware do tipo cavalo de Troia também representam uma ameaça direta às operações de petróleo e gás, pois normalmente visam permitir que os invasores obtenham algum nível de controle operacional da planta, o que, mesmo que limitado, poderia ter consequências graves.
Um criminoso malicioso pode, por exemplo, acionar um falso alerta de que uma peça da máquina falhou. Se não for verificada, uma resposta reativa incorreta pode causar mais danos do que o evento real. Mesmo o ato de verificar manualmente um falso alarme pode causar uma interrupção dispendiosa das operações.
Ataques bem-sucedidos contra infraestruturas críticas, os numerosos subsetores e as autoridades associadas poderiam ter efeitos catastróficos. Um ataque cibernético bem-sucedido também pode resultar em um efeito em cascata ou dominó: se um subsetor cair, outros subsetores provavelmente seguirão.
Uma solução comprometida dentro de um setor crítico pode ter consequências graves não apenas para os negócios, mas também para a sociedade. Como os países dependem desses serviços, as implicações podem ser amplas. Do ponto de vista comercial, um ataque cibernético bem-sucedido pode ter impactos negativos na reputação da marca, no preço das ações e na lucratividade, além de resultar em tempo de inatividade operacional e multas regulatórias.
Portanto, é crucial que as organizações se defendam contra esses ataques, que continuam a se transformar e evoluir. De fato, as regulamentações em algumas regiões estão cada vez mais exigindo que entidades críticas demonstrem resiliência face às ameaças cibernéticas, não apenas em suas próprias operações, mas em todas as sua cadeias de valor.
Avaliação da cadeia de suprimento
Hackers são oportunistas e procurarão explorar vulnerabilidades em processos existentes. Além da verificação, os fabricantes de sensores avançados adicionaram mais camadas de proteção e procurarão parceiros de segurança cibernética terceirizados para ajudar a reforçar suas defesas. Portanto, a devida diligência da cadeia de suprimento nunca foi tão importante quando consideramos os riscos associados a um ataque cibernético.
Ao proteger suas próprias operações contra ataques cibernéticos, os produtores de petróleo e gás precisam olhar para além dos benefícios operacionais ganhos com a nova tecnologia e se concentrar na maturidade da segurança cibernética das empresas em toda a sua cadeia de suprimento.
Para apoiar a avaliação de parceiros dentro da cadeia de suprimento de uma organização, a abordagem precisa ir além dos aspectos operacionais da própria tecnologia. As áreas a serem consideradas ao longo da avaliação devem ser o processo e as políticas que eles têm em vigor para demonstrar sua própria maturidade interna, como a ISO 27001. Se essas organizações não puderem demonstrar o que estão fazendo para se protegerem contra ataque cibernético, como podem ser confiáveis para proteger seus clientes? É essencial trabalhar com fornecedores de tecnologia que demonstrem transparência em relação à sua própria abordagem à segurança cibernética e em suas próprias cadeias de valor.
À medida que o setor de petróleo e gás entra em uma nova era de maior automação, o papel do parceiro tecnológico se tornará ainda mais fundamental para o sucesso. As soluções que eles fornecem ajudarão a melhorar as eficiências e a reduzir os custos no setor, especialmente do ponto de vista do monitoramento remoto. No entanto, uma avaliação cuidadosa da segurança cibernética desses negócios é crítica e deve ser priorizada durante o processo de aquisição. Na minha experiência, seria um desastre se a tecnologia que foi implementada para melhorar as operações de negócios e melhorar a lucratividade, resultasse no comprometimento dos sistemas do usuário.
Se reconhecermos que todos os negócios são somente tão fortes quanto o elo mais fraco, precisamos garantir que a segurança cibernética se enquadre no processo de avaliação e não seja uma reflexão posterior. Só então as organizações de petróleo e gás estarão em uma posição forte para aproveitar as soluções tecnológicas emergentes.
