A indústria de petróleo e gás tem sido desafiada entre os ambientes de TI e OT.
Os preços do gás não são a única coisa a atingir recordes em 2022. De acordo com o Identity Theft Resource Center , os ataques de ransomware dobraram em 2020, novamente em 2021, e estão a caminho de superar o phishing como a principal causa raiz de dados violações em 2022.
Agora, mais do que nunca, a indústria de petróleo e gás precisa estar preparada para a eventualidade de um ataque cibernético destrutivo. A proteção de infraestrutura crítica da North American Electric Reliability Corporation (NERC CIP) é uma estrutura de conformidade regulatória para o setor elétrico, que pode ser aplicada ao setor de petróleo e gás para compartilhar as melhores práticas e elevar a postura de segurança cibernética das indústrias adjacentes.
Um pipeline de ataques
O ataque de ransomware Colonial Pipeline foi um dos ataques cibernéticos mais significativos nos últimos dois anos, mas um ataque semelhante à indústria de petróleo e gás hoje pode ser ainda mais perturbador. Quando a DarkSide, uma família russa de ransomware, violou o Colonial Pipeline, eles entraram pelo lado de TI do negócio. Como resultado dessa violação de TI, a empresa foi forçada a encerrar seu ambiente de tecnologia operacional (OT) para evitar que o ataque se espalhasse. As consequências foram uma crise de gás de uma semana.
Quem sabe o que um ataque direto à rede OT poderia ter feito?
A Rússia tem sido amplamente criticada por fornecer um porto seguro para gangues de ransomware. Vazamentos recentes da Conti, a família de ransomware mais lucrativa existente, revelaram que as autoridades policiais russas alertaram as famílias de ransomware sobre investigações pendentes. Embora a Rússia tenha se envolvido na prisão performática da família de ransomware REvil em janeiro de 2022, é improvável que esse tipo de apaziguamento continue à luz do conflito em andamento na Ucrânia.
De fato, em fevereiro de 2022, Conti ameaçou usar “todos os recursos possíveis” para atacar a infraestrutura crítica de qualquer ator que se envolva em “ataques cibernéticos ou quaisquer atividades de guerra” contra a Rússia. Além disso, em março de 2022, um FBI FLASH alertou que o RagnarLocker comprometeu pelo menos 52 organizações em 10 setores de infraestrutura crítica, incluindo energia. Além disso, um ataque cibernético de 2015 na rede elétrica da Ucrânia parece mais relevante agora do que nunca.
As organizações precisam aprender com os eventos passados para proteger melhor sua infraestrutura hoje e no futuro.
Considere isso do analista sênior da Forrester, Brian Kime: “No ano passado, observamos mais ransomwares projetados para detectar historiadores de dados e outros tipos de tecnologias comuns em ambientes OT. Antes disso, a maioria das ameaças aos sistemas industriais vinha de atores do nexo de estado. O cenário de ameaças para proprietários de infraestrutura crítica e ativos industriais está se expandindo a cada ano.”
Linhas borradas
Assim como os limites entre os ataques de ransomware e as ameaças persistentes avançadas (APTs) se tornaram indefinidos, o setor de petróleo e gás foi desafiado pelas fronteiras indefinidas entre os ambientes de TI e OT. A maré inexorável da convergência TI/OT promete maior eficiência, mas não é isenta de riscos.
Parte do desafio é que os ambientes de TI e OT normalmente são gerenciados por equipes diferentes com prioridades diferentes, mas os sistemas de controle industrial são particularmente vulneráveis a explorações e ataques. Muitos desses sistemas e ambientes de OT tradicionais foram desenvolvidos há muito tempo e exigem sistemas operacionais legados que não são mais suportados. Isso deixa muitos ambientes de OT vulneráveis, com uma superfície de ataque mais ampla devido à longa lista de vulnerabilidades conhecidas.
A proteção desses sistemas geralmente é realizada isolando-os fisicamente com redes air-gapped e zonas desmilitarizadas (DMZ), mas isso pode apresentar seus próprios desafios. Mesmo que os dispositivos IIoT corroam o perímetro de TI/OT, continua sendo difícil implantar e gerenciar soluções de segurança cibernética em redes OT.
Por exemplo, atualizar as definições de antivírus e aplicar patches de segurança a sistemas legados vulneráveis pode exigir o download de atualizações para um host dedicado, a verificação da origem da atualização e a verificação de malware, a gravação das atualizações em mídia portátil e o uso dessa mídia para atualizar o servidor de correção. Mas mesmo dispositivos de mídia portáteis, como chaves USB, podem ser sua própria fonte de risco. Stuxnet, um worm malicioso que destruiu centrífugas nucleares, teria sido implantado por uma chave USB infectada.
Profissionais de petróleo e gás—O que podemos fazer?
Com tudo isso conhecido, as empresas de petróleo e gás precisam reavaliar constantemente sua postura de segurança OT. O planejamento e a tecnologia de segurança cibernética não são uma operação “concluída”. As equipes precisam analisar constantemente as ameaças, vulnerabilidades e desafios mais recentes enfrentados não apenas no setor de petróleo e gás, mas em todos os setores de infraestrutura crítica.
A melhor coisa que uma organização pode fazer é formalizar suas políticas de segurança cibernética, priorizando a conformidade em todos os sites. Isso ajudará a garantir que nada escape pelas rachaduras. Em seguida, as equipes devem avaliar a tecnologia e as práticas atuais, comparando-as com as ameaças e vulnerabilidades mais recentes. Algo tão simples quanto analisar como os dados entram e saem de suas instalações pode percorrer um longo caminho. A formalização de como você verifica os dados e o conteúdo antes que eles entrem na rede crítica segura pode ajudar a evitar que malware entre em seu ambiente de produção.
A capacidade de aplicar essas políticas com tecnologia pode proporcionar tranquilidade aos operadores que não precisam se preocupar se uma política está sendo cumprida em todos os sites. Há muitas mudanças simples que podemos fazer em nossas práticas atuais que podem contribuir muito para melhorar nossa postura de segurança cibernética. O importante é lembrar que a cibersegurança é uma jornada e precisamos estar sempre aprendendo e melhorando nosso programa atual.
E o NERC CIP?
O NERC CIP é uma estrutura de conformidade regulatória que abrange uma dúzia de padrões de aplicação, desde segurança física até segurança cibernética, pessoal e treinamento. Apenas os sistemas elétricos a granel (BES) são obrigados a cumprir com o NERC CIP, mas esses padrões ainda podem fornecer orientações valiosas para a indústria de petróleo e gás intimamente relacionada.
Por exemplo, o NERC CIP-010-3 (Cybersecurity—Configuration Change Management and Vulnerability Assessments) fornece controles específicos para os desafios de gerenciamento, autorização e mitigação do risco de ativos cibernéticos transitórios, como chaves USB. O gerenciamento de vulnerabilidades de software deve ser realizado por meio de patches de segurança. A mitigação de códigos maliciosos deve ser obtida por meio de software antivírus. Um dispositivo físico deve verificar as chaves USB em busca de malware antes de entrar em ambientes OT.
Olhando para o futuro, a NERC implementará três novos padrões de cadeia de suprimentos em 1º de outubro de 2022. Esses novos padrões destinam-se a abordar os riscos de segurança cibernética relacionados a ataques como a violação SolarWinds, o ataque Kaseya ransomware e a vulnerabilidade Log4J. A implementação de um centro de operações de segurança (SOC) e uma equipe de resposta a incidentes (IR) são as marcas de um programa maduro de segurança cibernética – ambos também podem ser benéficos para o setor de petróleo e gás.
Fonte: Smart industry
Notícias do setor industrial você encontra aqui no portal da indústria brasileira, Indústria S.A.
