Grande parte dos profissionais de energia do mundo acredita que, nos próximos dois anos, ataques cibernéticos comprometerão vidas, meio ambiente e a propriedade privada de pessoas em todo o mundo. Cerca de 85% desses especialistas consideram provável que operações sejam desligadas por ataques cibernéticos, e 84% esperam que danos a ativos e infraestrutura aconteçam. Isso é o que declarou Jalal Bouhdada, CEO da Applied Risk e especialista em segurança cibernética durante o Cyber Security Summit Brasil 2022, conferência global que reuniu experts da cibersegurança.
Os dados são da pesquisa “The Cyber Priority: Uncover the state of cyber security in the energy sector in 2022”, feita com mais de 940 profissionais de energia em cerca de 98 países. Segundo o especialista, a indústria está acordando para as ameaças aos sistemas de tecnologia de automação de infraestrutura crítica no mundo todo, mas ainda há muito o que ser feito.
Veja isso
NSA orienta sobre como proteger infraestruturas críticas de OT/ICS
UE terá nova diretiva de segurança para infraestruturas críticas
“Infraestruturas são alvos extremamente lucrativos para as empresas. Há muitas discussões e a indústria está acordando para as ameaças, o que é muito importante, mas é necessário destacar que nós não estamos do lado vencedor, já que os atacantes estão nos atingindo por cada vez mais áreas diversificadas”, explica Jalal. Segundo ele, esses ataques acontecem em quatro etapas que consistem em definir o efeito e alvo desejados, coletar dados do sistema alvo, definir técnicas para navegar e manipular o ambiente e ganhar acesso ao sistema para, por fim, executar o ataque para o efeito alcançado.
Com a crescente preocupação com as pautas de descarbonização, descentralização, democratização e digitalização – chamadas de 4Ds – na Europa, há mais foco e atenção sendo atraído para as infraestruturas críticas e de supply chain, uma vez que tais medidas mudam o cenário geopolítico, trazendo preocupação para as empresas que são parte do setor. Segundo dados da pesquisa, 6 em cada 10 executivos reconhecem que, mais do que nunca, suas organizações estão vulneráveis a ataques, e 4 em cada 10 esperam fazer melhorias urgentes nos próximos anos para prevenir uma falha de segurança.
Entre os exemplos de falhas de segurança recentes mencionadas pelo profissional está o ataque à South Staffordshire Plc, empresa de distribuição de água no Reino Unido. Na ocasião, dados sobre o nível de produtos químicos na água que seria distribuída para 1,5 milhão de pessoas foram roubados, causando alarde para a população e as autoridades locais pelo risco de contaminação da água potável.
Segundo ele, a primeira linha de defesa da empresa no combate ao crime cibernético são as pessoas. A pesquisa mostra que 3 em cada 10 profissionais de energia afirmam que têm conhecimento claro do que deve ser feito em caso de preocupação com um possível risco ou ameaça cibernética, e 6 em cada 10 consideram que o treinamento de segurança cibernética recebido é eficaz. “Treinamento reforçado combinado com a estratégia de segurança cibernética correta faz toda a diferença na hora de proteger ativos críticos. O investimento é importante para entender as limitações da área, principalmente para treinar a nova geração de especialistas”.
Jalal afirma que ainda há uma ingenuidade sobre cibersegurança no setor de energia, apesar de avanços. “Os riscos são altos e, uma vez que o ataque é concretizado, a empresa vai sofrer danos não apenas à reputação, mas danos físicos que podem acarretar explosões, contaminações e desligamentos elétricos, por exemplo”, finaliza.