Uma nova pesquisa publicada pela DNV revela que os executivos de energia antecipam ataques cibernéticos que comprometam a vida, a propriedade e o meio ambiente no setor nos próximos dois anos. Mas a ação defensiva parece estar atrasada.
- Os profissionais de energia acreditam que os ataques cibernéticos ao setor provavelmente causarão danos à vida, à propriedade e ao meio ambiente nos próximos dois anos. 84% esperam danos físicos aos ativos e 57% antecipam perda de vidas
- Menos da metade (47%) acredita que a segurança de suas tecnologias operacionais (OT) – os sistemas de controle que gerenciam, monitoram e controlam as operações industriais – é tão robusta quanto sua segurança de TI
- Apenas 28% dos profissionais de energia que trabalham com OT dizem que sua empresa está tornando a segurança cibernética de sua cadeia de suprimentos uma alta prioridade para investimento
- Menos de um terço (31%) dos profissionais de energia afirmam com confiança que sabem exatamente o que fazer se estiverem preocupados com um possível risco ou ameaça cibernética
- Menos da metade (44%) do C-suite do setor vê a necessidade de melhorias urgentes para evitar um ataque sério em seus negócios, apesar das ameaças emergentes.
Oslo, Noruega - 19 de maio de 2022: Nova pesquisa publicada pela DNV, o provedor independente de gerenciamento de risco e garantia de qualidade, revela que os executivos de energia antecipam ataques cibernéticos que comprometam a vida, a propriedade e o meio ambiente no setor nos próximos dois anos.
O Cyber Priority, um relatório de pesquisa que explora o estado da segurança cibernética no setor de energia, conclui que mais de quatro quintos dos profissionais que trabalham nos setores de energia, energias renováveis e petróleo e gás acreditam que um ataque cibernético ao setor provavelmente causar paralisações operacionais (85%) e danos a ativos de energia e infraestrutura crítica (84%). Três quartos (74%) esperam que um ataque prejudique o meio ambiente, enquanto mais da metade (57%) prevê que causará perda de vidas.
A pesquisa da DNV é baseada em uma pesquisa com mais de 940 profissionais de energia em todo o mundo e entrevistas detalhadas com executivos do setor.
Temores crescentes sobre consequências novas e mais extremas de ataques cibernéticos seguem uma série de violações de segurança de alto perfil no setor de energia nos últimos anos.1 A pesquisa da DNV também indica que a preocupação com ameaças emergentes cresceu após a invasão da Ucrânia pela Rússia. Dois terços (67%) dos profissionais de energia dizem que os recentes ataques cibernéticos no setor levaram suas organizações a fazer grandes mudanças em suas estratégias e sistemas de segurança.
“As empresas de energia vêm abordando a segurança de TI há várias décadas. No entanto, proteger a tecnologia operacional (OT) – os sistemas de computação e comunicação que gerenciam, monitoram e controlam as operações industriais – é um desafio mais recente e cada vez mais urgente para o setor”, disse Trond Solberg, diretor administrativo de segurança cibernética da DNV.
“À medida que a OT se torna mais conectada e conectada aos sistemas de TI, os invasores podem acessar e controlar sistemas que operam infraestrutura crítica, como redes elétricas, parques eólicos, oleodutos e refinarias. Nossa pesquisa mostra que o setor de energia está despertando para a ameaça de segurança OT, mas ações mais rápidas devem ser tomadas para combatê-la. Menos da metade (47%) dos profissionais de energia acredita que sua segurança de OT é tão robusta quanto sua segurança de TI”, acrescentou Solberg.
A ação fica atrasada, pois algumas empresas esperam o melhor
Seis em cada dez entrevistados de nível C da pesquisa da DNV reconhecem que sua organização está mais vulnerável a um ataque agora do que nunca. No entanto, há sinais de que algumas empresas estão adotando uma abordagem de “esperar, ver e esperar o melhor” para lidar com a ameaça.
Menos da metade (44%) dos entrevistados do C-suite acreditam que precisam fazer melhorias urgentes nos próximos anos para evitar um ataque sério aos seus negócios, e mais de um terço (35%) dos profissionais de energia dizem que sua empresa precisaria ser impactados por um incidente grave antes de investir em suas defesas.
Uma explicação para a aparente hesitação de algumas empresas em investir em segurança cibernética pode ser que a maioria dos entrevistados acredita que sua organização até agora evitou um grande ataque cibernético. Menos de um quarto (22%) suspeita que sua organização tenha sofrido uma violação grave nos últimos cinco anos.
“É preocupante descobrir que algumas empresas de energia podem estar adotando uma abordagem de ‘esperança pelo melhor’ para a segurança cibernética, em vez de abordar ativamente as ameaças cibernéticas emergentes. Isso traça paralelos distintos com a adoção gradual de práticas de segurança física no setor de energia nos últimos 50 anos”, disse Solberg.
“Foram necessários eventos trágicos, como o incidente de Piper Alpha em 1988 e o desastre de Macondo em 2010, para que a indústria priorizasse e institucionalizasse os protocolos de segurança globais e para que uma regulamentação mais rígida entrasse em vigor. Nossa pesquisa dá um forte sinal de que a indústria precisa fazer investimentos urgentes para garantir que a segurança cibernética não se torne a causa de danos futuros à vida, à propriedade e ao meio ambiente”, acrescentou Solberg.
Pontos cegos da cadeia de suprimentos causam preocupação
A DNV recomenda que o primeiro passo para fortalecer as defesas seja identificar onde a infraestrutura crítica é vulnerável a ataques. A prioridade cibernética revela que, embora muitas organizações estejam investindo na descoberta de vulnerabilidades, esses esforços não estão sendo suficientemente estendidos para incluir empresas com as quais fazem parceria e compram.
Apenas 28% dos profissionais de energia que trabalham com OT dizem que sua empresa está tornando a segurança cibernética de sua cadeia de suprimentos uma alta prioridade para investimento. Isso contrasta com os 45% dos entrevistados operacionais de OT que dizem que os gastos com atualizações de sistemas de TI são uma alta prioridade de investimento.
“As empresas de energia podem ter uma supervisão completa de suas próprias vulnerabilidades e ter todas as medidas certas para gerenciar o risco, mas isso não fará diferença se houver vulnerabilidades não descobertas em sua cadeia de suprimentos. Nossa pesquisa identifica o "acesso remoto a sistemas OT" entre os três principais métodos para possíveis ataques cibernéticos no setor de energia. Exortamos o setor a prestar mais atenção para garantir que fornecedores e fornecedores de equipamentos demonstrem conformidade com as melhores práticas de segurança desde os primeiros estágios da aquisição”, disse Jalal Bouhdada, fundador e CEO da Applied Risk, uma empresa de segurança cibernética industrial adquirida pela DNV. em 2021.
É necessário mais treinamento da força de trabalho
Apesar das ameaças emergentes de segurança cibernética, a pesquisa da DNV revela que menos de um terço (31%) dos profissionais de energia afirmam com confiança que sabem exatamente o que fazer se estiverem preocupados com um possível risco ou ameaça cibernética em sua organização. Essa constatação aponta para a necessidade de as empresas de energia investirem no treinamento de funcionários para identificar casos de tentativas criminosas de acesso aos seus sistemas. Menos de seis em cada 10 (57%) profissionais de energia dizem que o treinamento de segurança cibernética de seus empregadores é eficaz.
“A força de trabalho de uma empresa é sua primeira linha de defesa contra ataques cibernéticos. O treinamento eficaz da força de trabalho, combinado com a garantia de que você possui a experiência certa em segurança cibernética, pode fazer toda a diferença para proteger a infraestrutura crítica. Nossa pesquisa mostra uma clara necessidade de as empresas avaliarem cuidadosamente seus investimentos para manter seu pessoal bem informado sobre como identificar e responder a incidentes em tempo hábil”, disse Bouhdada.
Referências
1 As recentes violações de segurança cibernética de alto perfil que afetam a infraestrutura crítica no setor de energia incluem um ataque indutor de desligamento no Oleoduto Colonial dos EUA em 2021 e uma série de ataques que desativam partes da rede elétrica da Ucrânia em meados da década de 2010.
Sobre a pesquisa
A prioridade cibernética explora o estado da segurança cibernética no setor de energia global de hoje, investigando a compreensão dos executivos sobre os riscos cibernéticos que seus negócios enfrentam e suas estratégias para gerenciar a ameaça em evolução. A pesquisa se baseia em uma pesquisa com 948 profissionais de energia e uma série de entrevistas aprofundadas com líderes do setor e especialistas em segurança. Foi desenvolvido e criado pela DNV e Longitude, uma empresa do Financial Times.
O trabalho de campo foi realizado entre fevereiro e março de 2022. Os entrevistados estavam baseados na Europa, Américas, Oriente Médio e África e Ásia-Pacífico. Eles incluíam empresas de capital aberto e empresas privadas, abrangendo serviços do setor de energia, transmissão e fornecimento de energia, energias renováveis e petróleo e gás. Os entrevistados da pesquisa representam uma variedade de funções dentro do setor, incluindo aqueles com profundo conhecimento de segurança cibernética, engenheiros, gerentes gerais e executivos C-suite.
