A questão energética incorporou-se a todas as ações que nós, como sociedade, realizamos hoje. O setor está se adaptando a esse mundo em transformação e reconfigurando a cadeia de valor.
Já não se trata de, simplesmente, bombear gasolina em postos de combustível ou de acender as luzes – a energia é muito mais. Por isso, o foco se voltou para as energias renováveis e limpas; mais especificamente, para a integração entre fontes de energia e digitalização como forma de acelerar a transição.
Essa transformação energética não é um fenômeno isolado. Quase todas as indústrias da economia global são afetadas, com muitas mudanças ocorrendo nos bastidores, tanto do ponto de vista da tecnologia da informação quanto da tecnologia operacional.
As redes e os sistemas de controle conectados a tudo, desde válvulas em plataformas de petróleo até dispositivos de medição em usinas de energia, estão em modo sempre ativo, o que amplia os riscos de segurança contínuos e redefine a superfície de ataque em todo o setor.
De modo geral, o setor de energia tem sido alvo frequente de crimes cibernéticos, em razão do caráter crítico e das conexões com outras indústrias. Por exemplo, um ataque recente a um oleoduto causou uma interrupção significativa em diversos setores, resultando em escassez, aumentos de preços e interrupções na cadeia de suprimentos.
O incidente também levou a paralisações operacionais e interrupções de serviços em setores que dependem da infraestrutura afetada – como o aéreo –, uma vez que o oleoduto danificado fornecia uma parte significativa do combustível de aviação.
O incidente destacou a vulnerabilidade da infraestrutura crítica e levantou preocupações sobre a resiliência geral do setor de energia.
Como resultado, muitas empresas foram pressionadas a aumentar investimentos em segurança cibernética e a intensificar as avaliações de vulnerabilidade e os testes de penetração, com o objetivo de identificar fraquezas e corrigir quaisquer lacunas de segurança.
Muitas empresas de infraestrutura crítica também estabeleceram ou fortaleceram os Centros de Operações de Segurança e as Equipes de Resposta a Incidentes de Segurança Cibernética para monitorar e responder a possíveis incidentes de segurança, minimizar danos e restaurar operações rapidamente.
Desafios e oportunidades para segurança cibernética no setor de energia
As empresas de energia e recursos naturais vêm sendo incentivadas a adotar uma abordagem em várias camadas para gerenciar a segurança cibernética, combinando tecnologia, treinamento, capacidades de resposta, compartilhamento de informações e planos de resiliência, mas há algumas considerações que elas precisam levar em conta.
Um dos pontos diz respeito à questão regulatória. Caso queiram escalar as operações e aumentar a presença global, vão ter o desafio da complexidade das jurisdições já que, em muitos casos, países, territórios e jurisdições possuem estruturas regulatórias diferentes para segurança cibernética.
Além disso, durante a expansão, à medida que o setor se torna mais interconectado globalmente, a superfície de ataque para ameaças se expande já que elas não obedecem a limites geopolíticos.
Um ataque cibernético originado em um país pode facilmente impactar a infraestrutura crítica de outro. Nesse cenário, coordenar respostas e atribuir ataques são tarefas complicadas.
Ademais, embora a colaboração e o compartilhamento de informações sejam cruciais para medidas eficazes de segurança cibernética, existem preocupações legais, políticas e competitivas acerca desta iniciativa entre diferentes jurisdições, o que pode dificultar uma interação eficaz de inteligência sobre ameaças.
Soma-se a isso o cenário de politização contínua dos negócios porque tensões geopolíticas frequentemente resultam em aumento das ameaças cibernéticas, especialmente, visando infraestruturas críticas.
Outro ponto adicional é o fato de que as empresas também vão ter que modernizar a segurança da cadeia de suprimentos para evitar que o ambiente de terceiros seja um vetor de ameaças em constante transformação.
Dependendo da maturidade do fornecedor, as organizações precisam fazer mais ou talvez menos para ajudar a garantir que essas parcerias operem de maneira eficiente e atendam a todos os requisitos de compliance.
Apesar dos desafios e das prioridades concorrentes, o esforço para garantir que o ecossistema da cadeia de suprimentos seja seguro não deve ser um gargalo, mas um viabilizador de negócios.
Em razão da natureza global, os desafios do setor de energia e recursos naturais envolvem ainda tem uma forte dependência de cadeias de suprimentos complexas.
Esse ecossistema de múltiplos níveis de fornecedores e provedores de tecnologia torna quase impossível manter a visibilidade e o controle sobre todos os envolvidos, aumentando substancialmente os riscos cibernéticos.
Por outro lado, apesar do cenário, as oportunidades para as empresas de energia se organizarem são muitas.
Pela natureza global, o setor oferece possibilidades para esforços conjuntos de segurança. Compartilhar inteligência sobre ameaças e lições aprendidas internacionalmente pode melhorar a postura de segurança das organizações.
Além disso, a globalização pode impulsionar os esforços para estabelecer normas internacionais e melhores práticas em segurança cibernética, o que vai simplificar a implementação de medidas de segurança além-fronteiras e em todas as cadeias de suprimentos.
A cooperação entre os países também vai fomentar o desenvolvimento de soluções avançadas, beneficiando todos. Com redes de comunicação globais, as equipes de resposta a incidentes podem trabalhar juntas em tempo real, permitindo reações mais rápidas e eficazes às ameaças. Desse modo, é possível minimizar o impacto dos ataques à infraestrutura crítica.
Resiliência significa ter uma preparação mais adequada para lidar com incidentes de forma rápida e abrangente. À medida que navegam pelo cenário volátil e em constante transformação da segurança cibernética, esta não pode ser abordada como uma série de projetos pontuais ou intermitentes.
Ao contrário, deve ser uma estratégia adaptativa, que complemente a agenda de cibersegurança da organização, proteja os interesses dos clientes, esteja alinhada aos objetivos do negócio e se concentre na entrega de valor a longo prazo.
Este artigo expressa exclusivamente a posição dos autores e não necessariamente da instituição para a qual trabalham ou estão vinculados.
Manuel Fernandes é sócio-líder do setor de energia e recursos naturais da KPMG no Brasil e na América do Sul.
Rodrigo Milo é sócio de segurança cibernética e privacidade da KPMG no Brasil.