Ciberseguridad para petróleo y gas: una descripción general
El valor creciente de los datos comerciales, la vulnerabilidad de los sistemas en red y la importancia de la infraestructura de combustible han convertido a las empresas de petróleo y gas en objetivos importantes para los piratas informáticos malintencionados. La industria ya ha sido víctima de varios ataques de alto perfil. El hackeo del Oleoducto Colonial comprometió las redes de la empresa, cerró sus operaciones y privó a la Costa Este de un oleoducto que suministra casi la mitad del combustible de la región.
Las compañías de petróleo y gas necesitan invertir en ciberseguridad y rápidamente. De lo contrario, algunas de las infraestructuras más importantes del país podrían quedar expuestas a futuros ataques.
Amenazas cibernéticas que enfrenta la industria del petróleo y el gas
Los cambios significativos en los sistemas de petróleo y gas han hecho que las empresas sean mucho más vulnerables a los ciberataques en los últimos años. La digitalización en curso en la industria y la transición de los sistemas centralizados a las estrategias de gestión distribuida han hecho que la gestión de los riesgos cibernéticos sea esencial para el petróleo y el gas.
Muchas empresas confían en estrategias de ciberseguridad débiles, como los sistemas air-gapped, que son computadoras que no están conectadas a Internet. En algunos casos, sistemas que se asumió erróneamente que tenían espacios de aire se convirtieron en blancos fáciles para los ataques.
Si bien estas estrategias nunca han proporcionado una defensa sólida contra los ataques, pueden hacer que las empresas sean especialmente vulnerables a medida que pasa el tiempo. Los sistemas heredados que nunca tuvieron la intención de ser fácilmente accesibles ahora están conectados a Internet para fines de visibilidad y mantenimiento, cerrando la brecha entre TI y TO para la industria.
Sistemas conectados a Internet y dispositivos inteligentes, que son cada vez más común en la industria pesada, ayudan a las empresas de petróleo y gas a recopilar datos en tiempo real sobre las operaciones de campo, mejorar el mantenimiento y aumentar la visibilidad de la flota de vehículos. También aumentan aún más la superficie de ataque de las redes de la empresa.
Estos sistemas también pueden almacenar una inmensa cantidad de información sobre los aparatos de petróleo y gas. Una herramienta de mantenimiento predictivo que utiliza datos de sensores IoT puede incluir detalles como el tipo de revestimiento metálico que utiliza una máquina para predecir correctamente desgaste de la máquina, resistencia a la corrosión y conductividad.
Toda esta información podría estar disponible para los atacantes que violan con éxito las defensas cibernéticas de una empresa.
La inversión en tecnología inteligente y digitalización también se está acelerando, lo que significa que es probable que las dificultades para proteger estos sistemas sean más difíciles de gestionar. Como resultado, la ciberseguridad efectiva para el petróleo y el gas será cada vez más necesaria.
La creciente brecha de talento en ciberseguridad puede crear problemas adicionales
Esperar para invertir en ciberseguridad podría crear desafíos pronto. Hay un gran escasez de profesionales de la ciberseguridad, y los líderes de la industria creen que no es probable que la brecha laboral se reduzca en el corto plazo. La escasez está en camino de empeorar en los próximos años, en parte porque muchos otros sectores de la economía están luchando con sus propios nuevos desafíos de ciberseguridad.
Si las empresas de petróleo y gas no actúan ahora, será menos probable que contraten el talento profesional necesario para desarrollar políticas de ciberseguridad sólidas y herramientas de seguridad internas.
Lo que podría significar una ciberseguridad deficiente para la industria
Ya tenemos una idea de los peligros que enfrenta la industria y las posibles consecuencias cuando los piratas informáticos tienen éxito.
El Oleoducto Colonial transporta 2,5 millones de barriles cada día – alrededor del 45% de la gasolina, el diésel y el combustible para aviones de la costa este. Después de un ataque de ransomware dirigido a la empresa, la tubería estuvo fuera de línea durante seis días. Las operaciones normales no se reanudaron por completo hasta que pasaron otros tres días.
Como resultado, el costo nacional promedio de la gasolina subió al punto más alto en seis años, con precios que aumentaron entre seis y 19 centavos por galón. La empresa pagó 75 bitcoins, aproximadamente 4,4 millones de dólares en ese momento, como rescate a los piratas informáticos.
Los ataques futuros podrían tener un impacto devastador similar: aumentar los precios de la gasolina, amenazar el suministro de combustible e interrumpir significativamente las operaciones normales.
Cómo la industria puede desarrollar ciberresiliencia
Cada negocio en la industria del petróleo y el gas enfrenta riesgos únicos y, como resultado, deberá adoptar algunas políticas de seguridad cibernética específicas del negocio. Sin embargo, algunos puntos en común permitirán que las empresas tomen algunos de los mismos pasos para fortalecer sus defensas cibernéticas.
Estos principios y mejores prácticas serán esenciales para las empresas de petróleo y gas que deseen modernizar sus defensas cibernéticas y prepararse para amenazas futuras.
1. Estrategias de ciberseguridad en toda la empresa
Las defensas cibernéticas efectivas requieren la aceptación total de la empresa. A medida que TI y OT se vinculan más estrechamente y la transformación digital conecta los sistemas comerciales, las operaciones de ciberseguridad en silos se vuelven riesgosas.
Los modelos de gobierno empresarial deben facilitar la colaboración en toda la empresa que reduzca el riesgo de aislar al equipo de ciberseguridad. Las revisiones periódicas de la estructura y el gobierno de la empresa con respecto a la seguridad pueden ayudar a los gerentes, propietarios y miembros de la junta directiva de la empresa a determinar si su enfoque está funcionando bien.
2. Adopte la seguridad como principio de diseño
Los sistemas de petróleo y gas deben diseñarse teniendo en cuenta la ciberseguridad. Los expertos en seguridad deben participar en los nuevos proyectos desde el principio para garantizar que se consideren los riesgos potenciales en cada paso del proceso.
Todos los departamentos deben ser conscientes de las amenazas potenciales y comprender sus propias responsabilidades con respecto a la gestión del riesgo cibernético.
3. Apoyo a las Operaciones de Ciberseguridad Empresarial
Un enfoque holístico de gestión de riesgos debe garantizar que los programas de resiliencia cibernética tengan los recursos, la financiación, el acceso y la supervisión necesarios para operar de manera efectiva. La documentación estandarizada y los procesos de evaluación de riesgos ayudarán a las empresas a garantizar que las operaciones de seguridad cibernética se informen de una manera que las haga más fáciles de financiar y mantener.
4. Colaboración e intercambio de información
La colaboración de toda la industria, especialmente a nivel internacional, será esencial. Compartir información sobre amenazas, discutir las mejores prácticas y colaborar con socios comerciales ayudará a las empresas de petróleo y gas a desarrollar defensas cibernéticas más efectivas.
Participar en conversaciones, mostrarse dispuesto a colaborar con ciberprofesionales de otras empresas y trabajar hacia los estándares de la industria sobre políticas ayudará a la industria a prepararse mejor para las amenazas.
El uso de marcos de riesgo como el Marco de ciberseguridad del NIST o el ISO 27000 estándar para la seguridad de la información podría ser un punto de partida eficaz.
Preparación del petróleo y el gas para las próximas amenazas a la ciberseguridad
La industria del petróleo y el gas se enfrenta a amenazas cada vez mayores de los ciberdelincuentes. El costo de una violación exitosa es alto, por lo que las empresas deben actuar con rapidez para desarrollar prácticas de seguridad efectivas. Un enfoque de toda la empresa que fomente la seguridad como principio de diseño y facilite la colaboración ayudará a las empresas a identificar nuevas amenazas y crear sistemas seguros.