As empresas de petróleo e gás enfrentam alguns dos mais urgentes desafios de infra-estrutura de segurança cibernética da era moderna. “Há dois tipos de empresas neste setor”, segundo Corie Allemand, líder mundial de O&G na Stratus, “aquelas que foram invadidas e aquelas que sabem que foram invadidas”.
A vulnerabilidade de todos os sistemas a ataques cibernéticos é verificada por inúmeros exemplos, desde o notório hack Stuxnet de uma década atrás até a recente quebra do Gasoduto Colonial. Enfrentar a miríade de desafios de infra-estrutura de segurança cibernética é uma ordem alta – uma ordem que é agravada por exigências regulatórias cada vez mais rigorosas que podem rapidamente se tornar incontroláveis dentro de arquiteturas de automação industrial legadas e redes OT tradicionais. Em um webinar recente com a Xage Security, nossos especialistas desembalam as novas diretrizes DHS para infra-estrutura de segurança cibernética em O&G, suas implicações no mundo real para as operadoras e os conceitos de alto nível de Edge que fazem a jornada da transformação digital parecer quase fácil demais.
Como chegamos até aqui – Aprendendo com o Worm Stuxnet
10 anos atrás, Stuxnet foi o primeiro hack de um sistema de automação industrial, abrindo os olhos do mundo para como os hackers podem acessar e controlar sistemas de AI e dados falsos dentro deles, apesar do airgap entre a rede OT e a web. Na época, acreditava-se que esta abordagem de airgap criava redes confiáveis que só seriam vulneráveis por dentro e impossíveis de serem acessadas pela internet por fora. Infelizmente, esta suposição não poderia ter sido mais errada.
De acordo com o livro de 2015 “Industrial Network Security” de Eric D. Knapp e Joel Thomas Langill, “Stuxnet provou que muitas suposições de ameaças cibernéticas industriais estavam erradas, e o fez usando malware que era muito mais sofisticado do que qualquer coisa vista antes”. Seis anos depois, à medida que as empresas de petróleo e gás embarcam em suas jornadas de digitalização, esta afirmação continua a soar verdadeira.
O vírus Stuxnet entrou na chamada rede protegida, na qual os profissionais OT de todos os lugares confiaram na época. Apesar da intenção dos hackers de acessar o ambiente de uma organização e completar uma missão criminosa, que eles cumpriram, sua criação abalou o mundo, mutando e devastando a infra-estrutura crítica das nações, uma a uma. “Ele se espalhou por todo o mundo”, afirma Allemand no recente webinar, “o vírus da verborreia é muito, muito preciso”.
A Stuxnet provou à indústria que nenhuma rede, por mais distante que esteja da rede mundial, pode ser confiável. Esta constatação mudou o curso da automação industrial, acelerando a digitalização de muitos setores, incluindo O&G. Essa jornada de transformação digital é contínua, e especialmente crítica para que as empresas de petróleo e gás possam acertar, pois pode aumentar os perfis de risco das organizações e fortalecer sua postura de segurança.
Os dois lados da digitalização para empresas de petróleo e gás
Trazer mais digitalização para os ambientes de automação industrial é um senão – 22 de várias maneiras. Enquanto tecnologias emergentes como Edge Computing introduzem novas ferramentas e capacidades que melhoram a tomada de decisões e protegem a segurança dos operadores e dos dados, elas também apresentam demandas urgentes de infra-estrutura de segurança cibernética. “Ao trazermos estas novas tecnologias para estes novos sistemas, devemos garantir que a segurança esteja no topo da nossa mente”, diz Allemand.
Com isto em mente, as organizações de O&G não devem se afastar da transformação digital. No recente webinar, o especialista Stratus Rudy de Anda reflete “para ser competitivo, você tem que se conectar e aproveitar seus dados”. Há inúmeras histórias de sucesso em que as organizações que fazem isso bem não apenas sustentam sua infra-estrutura de segurança cibernética, mas também desbloqueiam benefícios que aumentam sua participação no mercado e promovem seus objetivos comerciais. Especialistas da Xage e Stratus revelam como as empresas de petróleo e gás podem colher as promessas da digitalização, ao mesmo tempo em que garantem a conformidade regulamentar e sem rasgar e substituir o hardware legado.
Dentro das Diretrizes do DHS para Infra-estrutura de Segurança Cibernética de Dutos
Em julho, o DHS emitiu diretrizes de segurança cibernética para oleodutos “numa tentativa de evitar uma repetição do fechamento do Gasoduto Colonial que provocou uma enorme escassez de combustível e a compra de gasolina em pânico”, de acordo com o Washington Post. Embora estas exigências respondam a uma necessidade urgente de um manual de segurança cibernética padronizado no setor, elas também apresentam desafios onerosos que desencorajam tanto os operadores quanto o pessoal de TI.
Apenas alguns dos requisitos do DHS que os especialistas Xage e Stratus discutem no webinar incluem:
- Uma metodologia de confiança zero que evita a confiança implícita de qualquer rede
- Medidas de mitigação da rotação de credenciais de usuários e gestão de acesso a ativos
- Protocolos para atualização e correção de software
De acordo com Joe Blazeck, Líder de Vendas e Desenvolvimento de Negócios da Xage Security, “estamos realmente nos afastando do conceito de redes confiáveis, onde as organizações verificam uma vez no perímetro, e estamos caminhando para uma abordagem de segurança onde as organizações verificam continuamente cada usuário, cada dispositivo, aplicação e transação. Estamos evitando a confiança implícita em dispositivos e redes e estamos nos movendo para este novo princípio de menor privilégio”.
Embora estas diretrizes possam parecer óbvias, elas apresentam dores de cabeça no campo. Um exemplo principal são as atualizações de software que rotineiramente causam paralisações não planejadas devido à grande variedade de regiões em que os dutos operam e aos grupos de empreiteiros de TI, muitas vezes desconectados, que remendem os dutos de forma fragmentada através dessas vastas geografias. Essas implementações baseadas em computador podem parecer uma tarefa simples, tanto para a plataforma quanto para o software, mas quando você pensa nessa plataforma espalhada pela América do Norte, você compreende a amplitude do desafio desse tipo de atualização. Os principais desafios em torno da correção de software, juntamente com o controle de gerenciamento de ativos e o grande número de credenciais individuais a serem mantidas, são apenas algumas dores de cabeça para os operadores responsáveis por garantir a infra-estrutura crítica hoje.
Stratus e Xage aliviam a dor do DX para dutos, desbloqueando possibilidades de mudança de jogo
A implementação de uma metodologia de confiança zero e outras estratégias de mitigação necessárias é simples e fácil com o direito Edge Fornecedores de soluções de segurança informática e cibernética. Segundo Blazeck, “o princípio fundamental da confiança zero é que nenhum ator, sistema, rede ou serviço operando fora ou dentro do perímetro de segurança é confiável”. Em vez disso, estas organizações verificam toda e qualquer solicitação de conexão a qualquer sistema antes de conceder acesso. Você quase pode imaginar que as ferramentas de segurança em um modelo de confiança zero assumem que os dispositivos e usuários têm intenções maliciosas, e quase assumem que já ocorreu uma violação”. O que isto significa praticamente é que os administradores devem responder à questão de como implementar um conjunto bem sucedido de regras para verificar cada transação em sua rede, um desafio que pode rapidamente se tornar incontrolável em redes OT tradicionais que dependem de conjuntos de regras granulares um-para-um.
É aqui que entram Xage e Stratus. Blazeck continua, “Abordamos isto construindo identidades para todas estas diferentes peças”. Construímos uma identidade para cada usuário, dispositivo e aplicação e a estendemos a pontos de dados”. Em seguida, controlamos – por agrupamento e por política, em oposição a abrir e fechar portas de firewall – como essas identidades são permitidas a interagir entre si”. Cada identidade, seja ela um usuário ou uma coisa, tem seu próprio perímetro, e cada identidade é capaz de interagir com outras identidades com base em políticas administradas no sistema central Xage. Esta abordagem de confiança zero centrada na identidade permite que os operadores mantenham conexões confiáveis com todos os pontos finais remotos”. Estas são apenas algumas das capacidades que as soluções Xage oferecem. Executando este tipo de corte -edge software de segurança cibernética em um servidor tolerante a falhas como o Stratus ztC Edge também permite que as organizações operem através de interrupções, com segurança.
A beleza das soluções Xage e Stratus é que elas se baseiam principalmente em software e podem ficar em cima de hardware legado, permitindo capacidades como filtragem de acesso no local para CLPs mais antigos sem nenhuma sensação de segurança cozida. “Quase parece um pouco fácil, um pouco simples”, diz Allemand, “mas podemos implantar isto … fazendo todas as coisas que a digitalização promete”. Você tem um servidor rodando no edge, capaz de realizar estas tarefas de levantamento pesado no edge – incluindo segurança – à medida que você amplia essa rede para atender às novas exigências”.
A criticidade de adotar uma solução de computação industrial segura não pode ser subestimada. Afinal, se as organizações tiverem que usar dados do Edge Dispositivos de computação para tomar melhores decisões comerciais, então é imperativo garantir a autenticidade, precisão e privacidade desses dados, que os hackers têm uma propensão comprovada para falsificar em arquiteturas de AI tradicionais.
Quando a jornada de transformação digital é eficientemente assegurada, no entanto, as oportunidades são infinitas. Segundo o especialista Stratus Rudy de Anda, “O que estamos descobrindo é que se você implantar essas tecnologias, e as implantar eficientemente, é uma oportunidade de ganhar largura de banda para implantar algumas dessas ferramentas realmente poderosas conectadas e edge que alavancam seus dados ao mesmo tempo em que fortalecem sua postura de segurança, em vez de enfraquecê-la”.
Para saber mais, assista abaixo o webinar completo, Actionable Insights to DHS Cybersecurity Requirements in Oil and Gas.
