A cibersegurança industrial é o próximo risco.
O setor de energia deve trabalhar junto para restaurar a confiança na era digital.
Quando o furacão Harvey chegou, Houston sabia o que fazer. Os planos de resposta a emergências foram imediatamente colocados em prática para salvar vidas e dar início a uma longa recuperação.
Mas enquanto os líderes do setor de energia se reuniram na capital mundial da energia para o CERAWeek, precisamos nos fazer uma pergunta difícil: Temos algum plano para quando formos atingidos por ciberataques?
Veja, não é “se formos atingidos”, mas sim “quando formos atingidos”. Os ciberataques contra as indústrias de energia e óleo e gás são agora tão inevitáveis quanto os furacões. Agora, a ciberguerra evoluiu e vai além da simples infecção de sistemas de computador, os ataques também são capazes de danificar o mundo físico.
Os cibercriminosos estão concentrados em explorar redes recém-digitalizadas e equipamentos conectados à Internet das Coisas, para atingir a infraestrutura crítica. Eles querem prejudicar nossos negócios e, por fim, prejudicar o público, interrompendo o fornecimento de serviços públicos essenciais, como eletricidade, gás e água.
Além disso, acreditamos que ataques grandes e pequenos, que ocorrem 24 horas por dia, estão diminuindo a confiança nas soluções digitais que ajudarão as empresas de energia a impulsionar a competitividade e atender melhor aos seus clientes.
Um estudo recente do setor de óleo e gás realizado pelo Ponemon Institute relatou que 68% dos entrevistados tiveram pelo menos um comprometimento de segurança no ano passado, com 30% de todos os ataques direcionados à tecnologia operacional. O Departamento de Energia dos Estados Unidos também informou no ano passado que a infraestrutura de eletricidade do País estava em “perigo iminente” devido aos ciberataques que estão “se tornando cada vez mais frequentes e sofisticados”.
Nenhuma empresa ou organização pode resolver esse tipo de ameaça por conta própria. Acreditamos que precisamos nos unir agora para encontrarmos uma abordagem proativa de responsabilidade compartilhada. Os ataques estão acontecendo o tempo todo. Toda organização será hackeada, e o gerenciamento desses ataques tornou-se agora um procedimento operacional padrão na era digital. Enquanto nos concentramos na prevenção, também precisamos investir no aumento da resiliência da nossa tecnologia operacional, pois as tecnologias digitais emergentes
precisam ser protegidas de forma nativa para evitar o contágio que temos visto em ataques recentes de grande escala. Também precisamos desenvolver planos de resposta a ataques para minimização dos danos.
Estes são alguns dos objetivos da nova Carta de Compromisso (Charter of Trust) que nossas empresas criaram. É uma aliança global destinada a proteger tudo na era digital, desde redes elétricas e plataformas de petróleo até fábricas e sistemas de transporte. E, como primeiro passo, estabelece uma série de princípios que consideramos particularmente relevantes para o setor de energia.
Primeiro, a responsabilidade pela cibersegurança deve ser considerada nos níveis mais altos de todas as empresas. O papel de CIO, ou diretor de TI, agora é facilmente reconhecido. Temos também o CISO, ou diretor de segurança da informação, que deve estar presente em todas as empresas. Com isso, a segurança ainda é tarefa de todos. As paredes que separam a tecnologia da informação (TI) da tecnologia operacional (TO) devem agora ser derrubadas para enfrentar os desafios.
Em segundo lugar, precisamos encontrar a melhor liderança de pensamento, e não há dúvida de que você a encontrará tanto no setor público quanto no privado. Manter um entendimento conjunto entre empresas e governos ajudará a desenvolver os requisitos de cibersegurança mais eficazes e a promover uma cultura que inova continuamente e se adapta às novas ameaças.
Terceiro, precisamos preencher uma grande lacuna que é a falta de profissionais de cibersegurança. De acordo com a empresa de pesquisa Cybersecurity Ventures, o déficit mundial de profissionais qualificados em cibersegurança chegará a 3,5 milhões até 2021. Isso não ocorre somente por falta de cursos de cibersegurança, pois também precisamos expandir a disciplina para incorporar novos conhecimentos e competências, principalmente no novo campo ciberindustrial.
Um novo compromisso com formação em escolas e empresas pode desenvolver o talento necessário, isso é fundamental. Porque sem experiência em cibersegurança, as organizações não têm a capacidade de instituir práticas de segurança em cada projeto, nem a determinação e a capacidade de lidar com vulnerabilidades. Ao invés de corrigir problemas, elas às vezes se isolam dos benefícios da conectividade na era digital.
Em quarto lugar, precisamos aumentar a transparência. É impossível resolver um problema se você não sabe que ele existe. Toda empresa deve explorar as ferramentas de monitoramento disponíveis para identificar os pontos fracos e detectar rapidamente riscos ou violações de segurança. Porém, o próximo passo para a transparência é o que esperamos alcançar com a Carta de Compromisso. Ela representa a vontade de compartilhar percepções em tempo real para atingir uma meta ainda maior: desenvolver uma estratégia em comum e um conjunto de projetos para proteger nosso setor.
Acreditamos que o nível de ciberameaça exige nossa atenção imediata; por isso, pedimos que mais empresas se associem à Carta de Compromisso. Mais conhecimento compartilhado só pode resultar em mais segurança. E, conforme vimos até agora, mais segurança só pode garantir que os benefícios da reinvenção digital superam em muito os riscos.
Leo Simonovich é Vice-Presidente e Diretor Global de Segurança Digital e Ciberindustrial da Siemens Energy. Scott Goodhart é Vice-Presidente e Diretor de Segurança da Informação da The AES Corporation. Yuri Rassega é Diretor de Segurança da Informação da ENEL.
Por Leo Simonovich, Yuri Rassega e Scott Goodhart
