Decifrando o código de segurança cibernética por meio de uma abordagem baseada em risco: práticas recomendadas da Emerson para fornecedores de energia e água

De muitas maneiras, a transformação digital é uma faca de dois gumes para os setores de energia e água.

Por um lado, avanços tecnológicos incríveis – incluindo a convergência de tecnologia da informação (TI) e tecnologia operacional (OT), conectividade aprimorada, acesso simplificado a conjuntos de dados maiores e muito mais – revolucionaram a capacidade das concessionárias e municípios de otimizar operações, gerenciar com segurança recursos de energia distribuídos e continuar a gerar energia confiável e de baixo custo e produzir água limpa. 

Por outro lado, à medida que os fornecedores de energia e água transformam suas operações para capitalizar os benefícios acima, eles se tornam cada vez mais vulneráveis a ataques e ameaças de segurança cibernética – e isso é especialmente verdadeiro se eles não tiverem a abordagem ou o parceiro certo para ajudar a protegê-los.

Hoje, os ataques de segurança cibernética contra infraestruturas críticas estão crescendo. A Agência de Proteção Ambiental dos EUA divulgou um Memorando enfatizando a necessidade de auditar as práticas de segurança dos sistemas locais de água, e a Dragos – líder em segurança cibernética industrial  – relatou recentemente um aumento contínuo dos casos em todo o setor de energia. 

E à medida que os ataques aumentam, também aumentam os custos. Na verdade, prevê-se que os ataques e ameaças globais anuais à segurança cibernética custem ao mundo US$ 8 trilhões em 2023, o que representa um aumento de US$ 3 trilhões em 2015 e deve aumentar para US$ 10,5 trilhões até 2025.

Com mais recursos de energia distribuída (DERs), como parques eólicos, instalações solares e microrredes fornecendo energia renovável para a rede que alimenta a infraestrutura crítica, há um potencial ainda maior para hackers interromperem remotamente o fluxo de eletricidade. O Departamento de Energia dos EUA declarou em um relatório de outubro que os DERs “representam desafios emergentes de segurança cibernética para a rede elétrica” e devem ser projetados com a segurança como um “componente central”.

Portanto, à medida que os hackers de hoje se tornam mais inteligentes, usam técnicas mais sofisticadas e – em muitos casos – evoluem e inovam mais rapidamente do que as empresas que visam, a pergunta é: o que as empresas podem fazer para afastá-los?

Uma abordagem baseada em risco para segurança cibernética

Independentemente do setor, a adoção de uma abordagem baseada em risco pode ajudá-lo a identificar possíveis vulnerabilidades e proteger sua empresa delas agora e no futuro. Uma abordagem baseada em risco não é proteger contra todas as ameaças, mas identificar vulnerabilidades potenciais e tomar decisões estratégicas com base na probabilidade e no impacto de cada vulnerabilidade.

Ao reforçar seus esforços de segurança cibernética, considere estas práticas recomendadas para garantir que sua abordagem seja holística e em constante evolução:

Avalie o risco.

As avaliações de risco equipam sua empresa com informações críticas que ajudam a mitigar os riscos antecipadamente. Ao conduzir uma avaliação, você determina a prontidão dos principais elementos de segurança cibernética – incluindo segurança de rede, gerenciamento de dados, proteção de perímetro e muito mais – e estabelece uma melhor compreensão da postura geral de segurança do seu sistema.

Aperte o acesso ao sistema.

As medidas de segurança podem ser incômodas e tornar a segurança limitada tentadora, mas os invasores contam com isso. Mantenha o acesso ao sistema restrito garantindo que os funcionários estejam cientes das políticas de segurança, avaliando constantemente os riscos e ajudando a criar a cultura correta de segurança internamente.

Estabeleça políticas fortes.

Mesmo as medidas mais sofisticadas e seguras podem ser inutilizadas devido a erro humano. É por isso que é fundamental educar e capacitar os funcionários com fortes políticas administrativas que reduzam os riscos de engenharia social, phishing e ataques relacionados.

Atualize seu sistema de controle.

O tempo de inatividade é caro e deve ser evitado tanto quanto possível. Ao aplicar correções e atualizações de sistema em tempo hábil, você pode minimizar o tempo de inatividade enquanto elimina o risco de ter servidores e estações de trabalho desprotegidos.

Vá além da proteção do perímetro.

Os invasores geralmente assumem que a proteção do perímetro está em vigor e, portanto, usam protocolos comuns e portas de serviço conhecidas para comprometer os componentes do sistema de controle. Para lidar com ataques direcionados, controle o perímetro do sistema e proteja qualquer ponto de entrada em potencial implantando firewalls personalizáveis e adaptáveis e verificando continuamente as brechas de segurança.

Mantenha o acesso remoto nas mãos certas.

Quase todos os sistemas de controle são implantados com algum tipo de conectividade remota – mas apenas porque o acesso remoto é a norma, não o torna uma prática segura. Em sistemas onde o acesso remoto é obrigatório, certifique-se de que ele seja monitorado e implementado com segurança. Você pode até considerar várias camadas de autenticação para aumentar a segurança.

Conheça o seu sistema de controle.

Depois de desenvolver e implantar sua abordagem baseada em risco para segurança cibernética, certifique-se de monitorar constantemente os riscos ao longo do caminho e identificar possíveis ataques e ameaças o mais rápido possível. A melhor abordagem para a segurança cibernética é aquela que evolui e se adapta constantemente.

Para empresas de energia ou concessionárias municipais que procuram inovar e acompanhar os concorrentes hoje, a transformação digital não é mais um “é bom ter” – é inegociável. E, embora possa haver riscos, eles não devem impedir as empresas de colher recompensas, como maior colaboração e inovação entre sua força de trabalho, melhorias operacionais revolucionárias e muito mais.

Além disso, no cenário em constante evolução da segurança cibernética, as práticas recomendadas acima são apenas um ponto de partida. Para realmente otimizar suas operações e abordagem baseada em risco para protegê-los, as empresas de energia e água hoje estão automatizando e integrando aos negócios as soluções de segurança cibernética líderes do setor – como o sistema de controle Ovation™ da Emerson, que é designado e certificado como tecnologia antiterrorista qualificada pela Departamento de Segurança Interna dos EUA.

Independentemente de onde uma empresa esteja em sua jornada de segurança cibernética, é importante lembrar que sempre há oportunidades para melhorar, evoluir e se preparar melhor para o próximo ataque ou ameaça potencial à espreita.

Só porque um ataque ainda não aconteceu, não significa que não acontecerá. Portanto, reserve um tempo hoje para desenvolver a abordagem certa e trabalhar com o parceiro certo. Você vai agradecer a si mesmo amanhã.