As alterações tecnológicas a que a indústria do petróleo e gás assistiu nos últimos anos trouxeram enormes benefícios na criação de eficiências e redução de custos. Mas estes mesmos avanços também aumentaram o número e a variedade dos riscos de cibersegurança. Joe Morgan, Gestor de Desenvolvimento do Segmento, Infraestrutura Crítica, Américas, na Axis, analisa como os produtores de petróleo e gás podem mitigar os riscos de cibersegurança.
De uma forma ou de outra, há mais de 35 anos que estou envolvido na indústria do petróleo e do gás. Este longo período permitiu-me testemunhar mudanças incríveis, tanto no mercado como na tecnologia. Houve momentos altos e baixos, a descoberta de novos campos de petróleo e gás e técnicas para chegar a estas reservas. Assisti ao surgimento da instrumentação de fundo de poço que dá indicações de fatores como a pressão e o volume, bem como novas técnicas de estimulação para extrair cada onça.
Ao longo dos anos, houve grandes avanços tecnológicos na indústria do petróleo e do gás, e o ritmo de mudança mantém-se nos dias de hoje. Quando muito, a transformação tecnológica está a acelerar. Mas estes avanços trazem consigo os riscos de cibersegurança, que também têm vindo a aumentar de forma consistente no setor.
Esta publicação analisará a forma como os produtores de petróleo atuais estão a utilizar novas tecnologias de sensores para melhorar as eficiências e reduzir os custos, e examinará como os riscos de segurança associados podem ser mitigados.
Dos "ouvidos atentos" aos sensores ligados em rede
O principal objetivo de um produtor de petróleo é manter os seus poços rentáveis, e a tecnologia desempenha um papel significativo nas operações. Onde antes o ouvido atento de um operador de serviço de campo conseguia detetar o som de um rolamento avariado, hoje em dia foram os sensores locais incorporados que assumiram o controlo.
Os sensores inteligentes e os sistemas SCADA (Supervisory Control and Data Acquisition) estão a ajudar as empresas a monitorizar e a reportar os aspetos operacionais do setor do petróleo e do gás. Estes sensores conseguem detetar alterações precoces e transmitir dados críticos de uma instalação a um gestor de fábrica ou enviá-los a milhares de quilómetros de distância para uma sala de controlo remoto.
Até recentemente, a monitorização remota era demasiado dispendiosa, mas as inovações nas tecnologias celulares (alimentadas por energia solar e armazenamento em baterias) permitem agora que os sensores enviem informações a longas distâncias. Os sensores inteligentes também podem ser programados para enviar dados ou alertas quando existir um problema, reduzindo significativamente os custos operacionais.
A verificação de alertas ou alarmes pode ser obtida utilizando sensores adicionais, incluindo câmaras visuais e câmaras térmicas. Estas podem ser posicionadas de modo a determinar se o sensor inicial – por exemplo, um detetor de fumo ou gás, ou um sensor de áudio – indicou corretamente um problema e, por conseguinte, provocou a resposta adequada.
Os produtores estão a adaptar sistemas para monitorizar remotamente os locais de poços quanto à segurança, processamento e saúde e segurança, utilizando uma combinação destas novas tecnologias. Isto irá mover os produtores de uma posição reativa para uma posição pró-ativa, beneficiando os aspetos operacionais de um local e diminuindo a necessidade de alguns serviços de poços. Os sensores que funcionam a tempo inteiro podem detetar atividade anormal, substituindo as verificações manuais aleatórias. Isto irá, em última análise, poupar dinheiro e manter o poço rentável.
Combater ciberameaças às infraestruturas críticas
O setor do petróleo e do gás representa uma parte importante do setor de infraestruturas críticas de um país, e a cibersegurança é a principal preocupação para a maioria das operações. No nosso mundo cada vez mais conectado, qualquer endpoint de rede pode constituir uma oportunidade de ciberataque. O setor assistiu a um aumento dos ataques de ransomware, visando frequentemente dispositivos IoT como o ponto de entrada na rede, devido às suas inerentes vulnerabilidades de segurança.
Os ataques de malware do tipo cavalo de Troia também representam uma ameaça direta às operações no setor do petróleo e gás, uma vez que, por norma, visam permitir que os atacantes conquistem algum nível de controlo operacional da central, o que, mesmo que apenas limitado, pode ter consequências graves.
Um elemento malicioso pode, por exemplo, desencadear um falso alerta de que uma peça de maquinaria falhou. Se não for verificado, uma resposta reativa incorreta pode causar mais danos que o evento real. Mesmo o ato de verificar manualmente um falso alarme pode causar uma interrupção dispendiosa nas operações.
Os ataques bem-sucedidos contra infraestruturas críticas, os numerosos subsetores e as autoridades associadas podem ter efeitos catastróficos. Os ciberataques bem-sucedidos também podem resultar num efeito em cascata ou dominó: se um subsetor cair, é provável que outros subsetores o acompanhem.
Uma solução comprometida num setor crítico pode ter consequências graves, não só para o negócio como também para a sociedade. À medida que os países confiam nestes serviços, as implicações podem disseminar-se. Do ponto de vista empresarial, um ciberataque bem-sucedido pode ter impactos negativos na reputação da sua marca, no preço das ações e na rentabilidade, bem como resultar em tempo de inatividade operacional e multas regulamentares.
Por isso, é crucial que as organizações se defendam contra estes ataques, que continuam a mudar e a evoluir. De facto, os regulamentos em algumas regiões estão a exigir cada vez mais que as entidades críticas demonstrem resiliência face às ciberameaças, não só nas suas próprias operações como em toda a sua cadeia de valor.
Avaliação da cadeia de distribuição
Os hackers são oportunistas e procurarão explorar vulnerabilidades nos processos existentes. Além da verificação, os fabricantes de sensores avançados adicionaram mais camadas de proteção e procurarão parceiros de cibersegurança externos para ajudar a reforçar as suas defesas. Por isso, a devida diligência da cadeia de distribuição nunca foi tão importante quando consideramos os riscos associados a um ciberataque.
Ao protegerem as suas próprias operações contra ciberataques, os produtores de petróleo e gás precisam de olhar além dos benefícios operacionais obtidos com a nova tecnologia e focar-se na maturidade da cibersegurança das empresas em toda a sua cadeia de distribuição.
Para apoiar a avaliação de parceiros dentro da cadeia de distribuição de uma organização, a abordagem precisa de ir além dos aspetos operacionais da própria tecnologia. As áreas a considerar ao longo da avaliação devem ser o processo e as políticas que têm em vigor para demonstrar a sua própria maturidade interna, como a ISO 27001. Se estas organizações não conseguirem demonstrar o que estão a fazer para se protegerem contra ciberataques, como podem revelar-se fidedignas na proteção dos respetivos clientes? É essencial trabalhar com fornecedores de tecnologia que demonstrem transparência relativamente à sua própria abordagem à cibersegurança, bem como em todas as suas próprias cadeias de valor.
À medida que o setor do petróleo e do gás entra numa nova era de maior automatização, o papel do parceiro tecnológico tornar-se-á ainda mais crucial para o sucesso. As soluções que fornecem ajudarão a melhorar as eficiências e a reduzir os custos no setor, especialmente do ponto de vista da monitorização remota. No entanto, é fundamental efetuar uma avaliação cuidadosa da cibersegurança destas empresas e deve ser-lhe dada prioridade durante o processo de aquisição. De acordo com a minha experiência, seria desastroso se a tecnologia que foi implementada para melhorar as operações comerciais e melhorar a rentabilidade, resultasse no comprometimento dos sistemas do utilizador.
Se reconhecermos que todas as empresas são apenas tão fortes quanto o elo mais fraco, temos de garantir que a cibersegurança se insere no processo de avaliação e não é apenas abordada posteriormente. Só então as organizações do setor do petróleo e gás estarão numa posição forte para tirar partido das soluções tecnológicas emergentes.
