O setor de energia e recursos naturais é uma confluência de subsetores, abrangendo energia e utilidades, petróleo e gás, recursos naturais e produtos químicos. Todos eles estão passando por transformações significativas na maneira como trabalham e interagem com clientes e fornecedores.
É um cenário complexo, ao qual se somam as transformações simultâneas em organizações de todo espectro industrial, como manufaturas, empresas de tecnologia e setor automotivo, que têm alta dependência de energia.
A questão energética incorporou-se a todas as ações que nós, como sociedade, realizamos hoje. O setor está se adaptando a esse mundo em transformação e reconfigurando sua cadeia de valor. Já não se trata de simplesmente bombear gasolina em postos de combustível ou de acender as luzes – a energia é muito mais.
Por isso, o foco se voltou para as energias renováveis e limpas; mais especificamente, para a integração entre fontes de energia e digitalização como forma de acelerar a transição.
Essa transformação energética não é um fenômeno isolado. Quase todas as indústrias da economia global são afetadas, com muitas mudanças ocorrendo nos bastidores, tanto do ponto de vista da tecnologia da informação quanto da tecnologia operacional.
As redes e os sistemas de controle conectados a tudo, desde válvulas em plataformas de petróleo até dispositivos de medição em usinas de energia, estão em modo "sempre ativo", o que amplia os riscos de segurança contínuos e redefine a superfície de ataque em todo o setor.
Este artigo explora considerações sobre segurança cibernética e ações-chave cruciais para o setor de energia e recursos naturais. Ele fornece uma visão geral do cenário de ameaças em evolução e oferece insights importantes para líderes de segurança e negócios se tornarem ainda mais eficazes a partir do próximo ano.
Consideração 1: navegar por fronteiras globais nebulosas
Para poderem escalar suas operações, independentemente de onde estejam sediadas e do alcance de suas jurisdições, as empresas de energia e recursos naturais provavelmente vão precisar de uma presença global e de um público transfronteiriço.
Diante disso, a questão que se coloca para os profissionais de segurança em todo o setor é como encontrar o ponto ideal de equilíbrio entre capacitação empresarial e valor do negócio, garantindo ainda que tudo funcione corretamente do ponto de vista dos reguladores. Impõem-se aqui uma linha tênue e um desafio claro.
Complexidade das jurisdições – Em muitos casos, países, territórios e jurisdições possuem estruturas regulatórias diferentes para segurança cibernética. Enquanto algumas regulamentações visam uma abordagem mais unificada, como o que a Diretiva de Segurança de Redes e Informações (NIS2) tenta fazer na União Europeia (UE), outras áreas têm uma ênfase mais local, o que pode levar a interpretações diversas das regulamentações.
Essa complexidade regulatória adicional desafia as organizações do setor a cumprirem os padrões globais e/ou regionais ao mesmo tempo em que lidam com as exigências locais.
Estabilidade da rede e aumento da superfície de ataque – À medida que o setor de energia se torna mais interconectado globalmente, a superfície de ataque para ameaças cibernéticas se expande.
A integração de vários sistemas e redes através das fronteiras fornece mais pontos de entrada para cibercriminosos, desafiando a estabilidade da rede em um ambiente de energia interconectada transfronteiriça.
As ameaças cibernéticas ultrapassam fronteiras — As ameaças cibernéticas não obedecem a limites geopolíticos. Um ataque cibernético originado em um país pode facilmente impactar a infraestrutura crítica de outro. Nesse cenário, coordenar respostas e atribuir ataques são tarefas complicadas.
Restrições legais ao compartilhamento de informações – Embora a colaboração e o compartilhamento de informações sejam cruciais para medidas eficazes de segurança cibernética, existem preocupações regulatórias, legais, políticas e competitivas acerca do compartilhamento de informações sensíveis entre diferentes jurisdições, o que pode dificultar uma interação eficaz de inteligência sobre ameaças.
Politização contínua dos negócios – O setor de energia e recursos naturais é propenso ao entrelaçamento das atividades empresariais/econômicas com interesses, agendas e influências políticas. Tensões geopolíticas frequentemente resultam em aumento das ameaças cibernéticas, especialmente visando infraestruturas críticas.
O setor de energia é uma infraestrutura crítica: por isso, tende a ser um dos alvos preferenciais para ataques cibernéticos de agentes desonestos, muitas vezes com patrocínios estatais, o que potencialmente acarreta riscos tanto para as cadeias de suprimentos quanto para os consumidores.
Colaboração: por sua natureza global, o setor de energia oferece oportunidades para esforços conjuntos de segurança. Compartilhar inteligência sobre ameaças, melhores práticas da indústria e lições aprendidas internacionalmente pode melhorar a postura de segurança geral das empresas.
Padronização: a globalização pode impulsionar os esforços para estabelecer normas internacionais e melhores práticas em segurança cibernética no setor de energia. A padronização de regras e regulamentações pode simplificar a implementação de medidas de segurança além-fronteiras e em todas as cadeias de suprimentos.
Inovação: a cooperação internacional pode fomentar o desenvolvimento de soluções avançadas de segurança cibernética, beneficiando potencialmente todos os setores.
Agilidade: com redes de comunicação globais, as equipes de resposta a incidentes podem trabalhar juntas em tempo real, permitindo reações mais rápidas e eficazes às ameaças cibernéticas. Desse modo, é possível minimizar o impacto dos ataques à infraestrutura crítica.
Empresas multinacionais de energia e recursos naturais operam em várias fronteiras e devem gerenciar simultaneamente os desafios que permeiam um ambiente de negócios em rápida globalização, regimes regulatórios altamente complexos e uma superfície de ataque em constante evolução.
Muitas organizações menores estão menos preparadas para navegar efetivamente nesses desafios; porém, elas têm muito a aprender com suas contrapartes maiores e mais maduras do setor, evitando assim a necessidade de “reinventar a roda”.
Consideração 2: modernizar a segurança da cadeia de suprimentos
De novas tecnologias e processos à possibilidade de um fornecedor não seguir explicitamente seus protocolos de segurança, o ambiente de terceiros é um vetor de ameaças em constante transformação.
Dependendo da maturidade do fornecedor, as organizações precisam fazer mais (instituindo revisões mensais, por exemplo), ou talvez menos (permitindo mais autonomia e realizando revisões trimestrais), para ajudar a garantir que esses relacionamentos operem de maneira eficiente e atendam a todos os requisitos de compliance.
Apesar dos desafios e das prioridades concorrentes, o esforço para garantir que o ecossistema da cadeia de suprimentos seja seguro não deve ser um gargalo, mas um viabilizador de negócios.
Em razão de sua natureza global, o setor de energia e recursos naturais tem uma forte dependência de cadeias de suprimentos complexas. Esse ecossistema de múltiplos níveis de stakeholders, fornecedores e provedores de tecnologia torna quase impossível manter a visibilidade e o controle sobre todos os envolvidos, aumentando substancialmente os riscos cibernéticos.
Tecnologia nova versus antiga – As empresas de energia frequentemente dependem de uma mistura de tecnologias da informação (TI) e tecnologias operacional (TO) antigas e novas. A adoção de tecnologias em rede adiciona complexidade e introduz uma série interdependências e potenciais vulnerabilidades. Os sistemas de TO costumam ter uma vida útil mais longa do que os sistemas de TI, e tecnologias mais antigas frequentemente não possuem capacidades de segurança adequadas na comparação com tecnologias mais novas. O desafio consiste em integrar diferentes paisagens tecnológicas (ou seja, antigas e novas) e as medidas de segurança correspondentes — o que fica ainda mais complicado em um contexto de avanço contínuo da digitalização.
O elo mais fraco – Se existem operadores e fornecedores com diferentes níveis de maturidade em segurança cibernética ao longo da cadeia de suprimentos, é possível que haja elos fracos, ampliando o risco potencial de ocorrerem impactos em cascata. A inadequação de um dos parceiros pode afetar a sua própria segurança – ou seja, nesse contexto, há uma dependência em relação à diligência de terceiros. Ao mesmo tempo, é desafiador acompanhar a postura e as medidas de cibersegurança de todos os fornecedores e parceiros com os quais uma organização se vincula em um ecossistema.
Digitalização – O setor energia é um mercado em evolução, no qual a transição para a energia verde e a mudança nas demandas dos clientes em relação aos fornecedores impõem a necessidade de as organizações se digitalizarem e inovarem. Ao mesmo tempo, a adoção de novas tecnologias traz preocupações sobre as implicações de segurança que elas podem acarretar.
Transparência e colaboração – Gerenciar os riscos de cibersegurança associados a fornecedores de terceiros, incluindo a avaliação de suas práticas de segurança cibernética, pode ser desafiador; no entanto, a interdependência provavelmente forçará as organizações a buscarem clareza e colaboração. A transparência quanto à postura e às medidas de segurança contra violações de dados e outras vulnerabilidades cria uma cultura na qual as fraquezas podem ser identificadas e abordadas proativamente e de forma coletiva, tornando possível eliminar os elos fracos da cadeia de suprimentos.
Compartilhamento de informações – Esforços colaborativos em todo o setor de energia podem assumir a forma de compartilhamento de inteligência sobre ameaças e melhores práticas entre as partes interessadas, proporcionando melhorias coletivas na defesa contra ameaças cibernéticas.
Visibilidade e inovação – Integrar novas tecnologias à cadeia de suprimentos pode melhorar a eficiência operacional, além de possibilitar que as empresas aprimorem suas capacidades de visibilidade e monitoramento. Isso pode levar a uma maior eficácia na detecção de incidentes e a um ganho de resiliência, ao mesmo tempo em que mitiga os riscos de segurança cibernética, fortalecendo assim a segurança ao longo de toda a cadeia de suprimentos.
Atualmente, muitas organizações do setor estão nas fases iniciais de gerenciamento de riscos cibernéticos, chegando até o segundo nível da cadeia de suprimentos; porém, em muitos casos, esse processo não continua até o terceiro e o quarto níveis. Regulamentações em evolução, como a Diretiva NIS2 da UE[1], provavelmente exigirão que as organizações, bem como os fornecedores e vendedores de terceiros, tomem medidas apropriadas para gerenciar os riscos de segurança cibernética, ajudando a prevenir ou minimizando o impacto dos incidentes.
Consideração 3: Alinhar a segurança cibernética com a resiliência organizacional
As organizações de energia e recursos naturais precisam melhorar e se adaptar continuamente. Resiliência significa ter uma preparação mais adequada para lidar com incidentes de forma rápida, abrangente e com impacto mínimo – ou pelo menos controlado – sobre os negócios. À medida que as organizações navegam pelo cenário volátil e em constante transformação da segurança cibernética, a resiliência não pode ser abordada como uma série de projetos pontuais ou intermitentes. Ao contrário: ela deve ser uma estratégia adaptativa, que complemente a agenda de cibersegurança da organização, proteja os interesses dos clientes, esteja alinhada aos objetivos do negócio e se concentre na entrega de valor a longo prazo.
Resiliência operacional – Como fornecedoras de serviços essenciais, dos quais qualquer interrupção pode acarretar impactos significativos, as organizações do setor estão muito familiarizadas com a resiliência e com o desafio de garantir altos níveis de execução operacional. É importante que essas empresas percebam que não apenas sua TI, mas seus ambientes industriais e a organização como um todo, podem se tornar alvos de ataques cibernéticos. Portanto, a resiliência cibernética exige que as organizações mudem seu pensamento para ativar novas competências e medidas de segurança.
Complexidade dos ambientes industriais – Ambientes industriais, como os de geração e armazenamento de eletricidade e energias renováveis, estão entre os tipos de infraestrutura mais complexos e que desempenham um papel essencial, constituindo a espinha dorsal da atividade social e econômica. A falta de compreensão completa acerca de funções, interconectividade e dependências de todos os sistemas pode dificultar os esforços de resiliência.
Resiliência da cadeia de suprimentos – A cadeia de suprimentos impõe uma forte dependência de terceiros, quartos e até de quintos. Isso torna a recuperação de incidentes e a resiliência geral particularmente difíceis para as empresas de energia e recursos naturais.
Cenário de ameaças – As ameaças se expandem continuamente, exigindo que as organizações avaliem e atualizem continuamente seus planos de defesa e resposta para garantir que permaneçam eficazes contra ameaças que mudam e avançam sem parar.
Confiança e reputação – Manter a confiança dos clientes é fundamental para o setor de energia. Porém, quando ocorrem incidentes cibernéticos, isso não apenas interrompe as operações como corrói a credibilidade da organização. Gerenciar o impacto reputacional e a confiança dos clientes requer uma abordagem proativa e transparente para as questões de segurança cibernética.
Perspectivas – A resiliência envolve uma compreensão e gestão mais abrangentes dos riscos, incluindo não apenas ameaças de cibersegurança, mas outros fatores que podem interromper as operações. Essa abordagem holística ajuda as empresas a adotarem maneiras diferentes de pensar e, consequentemente, a identificarem uma gama mais ampla de riscos.
Adaptabilidade – Uma das marcas da resiliência é a capacidade de ser adaptável e responsivo às mudanças no cenário de ameaças, aos avanços tecnológicos e aos desenvolvimentos no ambiente de negócios. Isso possibilita que as empresas de energia se mantenham à frente dos desafios emergentes e se ajustem rapidamente, adotando novas estratégias e capacidades de cibersegurança e operacionais, tais como uma detecção e um monitoramento aprimorados.
Colaboração – As iniciativas de resiliência geralmente envolvem colaboração com parceiros de outros setores. Firmas alianças sólidas e compartilhar informações intersetoriais são atitudes que ampliam a prontidão coletiva e as capacidades de resposta.
Compliance – Uma abordagem focada na resiliência ajuda as organizações a atenderem às regulamentações de cibersegurança, além de posicioná-las para que abordem requisitos de conformidade mais amplos em relação à continuidade de negócios, à recuperação de desastres e ao gerenciamento geral de riscos.
A instabilidade global não dá sinais de chegar ao fim. Nesse cenário, a infraestrutura crítica tende a permanecer como um alvo preferencial de ataques. O setor de energia tem experiência histórica em resiliência operacional, mas os líderes devem reposicionar seus pensamentos, voltando-os mais para uma resiliência holística, o que inclui a segurança cibernética.
Segurança cibernética no mundo real do setor de energia
De modo geral, o setor de energia tem sido alvo frequente de ataques cibernéticos, em razão de seu caráter crítico e das conexões com outras indústrias.
Por exemplo: um ataque recente a um oleoduto causou uma interrupção significativa em diversos setores, resultando em escassez, aumentos de preços e interrupções na cadeia de suprimentos. O ataque também levou a paralisações operacionais e interrupções de serviços em setores que dependem da infraestrutura afetada – como o setor aéreo –, uma vez que o oleoduto danificado fornecia uma parte significativa do combustível de aviação.
O incidente destacou a vulnerabilidade da infraestrutura crítica e levantou preocupações sobre a resiliência geral do setor de energia. Como resultado, muitas empresas foram pressionadas a aumentar seus investimentos em segurança cibernética e a intensificar as avaliações de vulnerabilidade e os testes de penetração, com o objetivo de identificar fraquezas e corrigir quaisquer lacunas de segurança.
Muitas empresas de infraestrutura crítica também estabeleceram ou fortaleceram seus Centros de Operações de Segurança (Security Operations Centers - SOCs) e suas Equipes de Resposta a Incidentes de Segurança Cibernética (Cybersecurity Incident Response Teams - CIRTs), para monitorar e responder a possíveis incidentes de segurança, minimizar danos e restaurar operações rapidamente.
As empresas de energia e recursos naturais são incentivadas a adotar uma abordagem em várias camadas para gerenciar a segurança cibernética, combinando tecnologia, treinamento, capacidades de resposta, compartilhamento de informações e planos de resiliência.
Enquanto escrevia essas considerações cibernéticas, ficou claro que a inteligência artificial (IA) está emergindo com mais força – e bem antes – do que se previa. Essa tecnologia apresenta tanto oportunidades quanto ameaças para o setor de energia e recursos naturais, fatores que são discutidos de forma mais detalhada em um artigo à parte.
Prioridades para os profissionais da área de segurança
- Garantir uma governança cibernética e um gerenciamento de riscos robustos.
- Realizar inventário e gerenciamento de ativos, incluindo TI e TO, para monitorar, controlar e proteger ativos críticos.
- Construir resiliência cibernética: documentar, treinar, preparar, avaliar e aprimorar continuamente.
- Implementar um programa de gestão de riscos da cadeia de suprimentos/de terceiros.
- Acolher a inovação, efetuar testes e adotar novas tecnologias quando isso for conveniente.
- Usar os requisitos regulatórios como uma oportunidade para incrementar a segurança cibernética.
- Pensar de maneira diferente, abrindo-se para novas ideias, estratégias e táticas operacionais.
Como isso se conecta ao que os profissionais da KPMG fazem
Além de avaliarem seu programa de segurança cibernética e garantirem que ele esteja alinhado às prioridades do seu negócio, os profissionais da KPMG podem ajudar as empresas de energia e recursos naturais a desenvolverem soluções digitais avançadas, prestando aconselhamentos sobre a implementação e o monitoramento de riscos contínuos e auxiliando na elaboração de respostas adequadas a incidentes cibernéticos.
Os profissionais da KPMG são hábeis em aplicar ideias inovadoras às necessidades de segurança cibernética mais prementes do setor e em desenvolver estratégias customizadas adequadas ao propósito. Com tecnologia segura e confiável, os profissionais da KPMG oferecem uma ampla gama de soluções, incluindo avaliações da nuvem cibernética, automação da privacidade, otimização da segurança de terceiros, segurança em IA e detecção e resposta gerenciadas.
