Decifrando o código de segurança cibernética com uma abordagem baseada em risco: práticas recomendadas da Emerson para fornecedores de energia e água
Por Bob Yeager
De muitas maneiras, a transformação digital é uma faca de dois gumes para os setores de energia e água.
Por um lado, avanços tecnológicos incríveis, incluindo a convergência da tecnologia da informação (TI) e da tecnologia operacional (TO), conectividade aprimorada, acesso simplificado a conjuntos de dados maiores e muito mais, revolucionaram a capacidade de serviços gerais e municípios de otimizar as operações, gerenciar com segurança os recursos de energia distribuída e continuar gerando energia confiável e de baixo custo e produzindo água limpa.
Por outro lado, à medida que os fornecedores de energia e água transformam suas operações para capitalizar os benefícios acima, eles se tornam cada vez mais vulneráveis a ataques e ameaças de segurança cibernética, e isso é especialmente verdadeiro se eles não tiverem a abordagem ou o parceiro certo para ajudar a protegê-los.
Hoje, os ataques de segurança cibernética contra infraestruturas críticas estão crescendo. A Agência de Proteção Ambiental dos EUA divulgou um memorando enfatizando a necessidade de auditar as práticas de segurança dos sistemas de água locais e a Dragos , uma líder em segurança cibernética industrial , informou recentemente um aumento contínuo nas ocorrências em toda a indústria de energia.
E à medida que os ataques aumentam, também aumentam os custos. Na verdade, os ataques e ameaças anuais globais de segurança cibernética devem custar ao mundo US$ 8 trilhões em 2023, que superará US$ 3 trilhões em 2015 e deverá subir para US$ 10,5 trilhões até 2025.
Com mais recursos de energia distribuída (DERs), como parques eólicos, instalações solares e microrredes fornecendo energia renovável para a rede que alimenta a infraestrutura crítica, há um potencial ainda maior para hackers interromperem remotamente o fluxo de eletricidade. O Departamento de energia dos EUA afirmou em um relatório de outubro que os DERs “representam desafios emergentes de segurança cibernética para a rede elétrica” e devem ser projetados com segurança como um “componente central”.
Portanto, à medida que os hackers de hoje se tornam mais inteligentes, usam técnicas mais sofisticadas e, em muitos casos, evoluem e inovam mais rapidamente do que as empresas, a pergunta é: o que as empresas podem fazer para afastá-los?
Uma abordagem baseada em risco para segurança cibernética
Independentemente do setor, a adoção de uma abordagem baseada em risco pode ajudá-lo a identificar possíveis vulnerabilidades e proteger sua empresa delas agora e no futuro. Uma abordagem baseada em riscos não é para proteger contra todas as ameaças, mas para identificar possíveis vulnerabilidades e tomar decisões estratégicas com base na probabilidade e no impacto de cada vulnerabilidade.
À medida que você reforça seus esforços de segurança cibernética, considere essas práticas para garantir que sua abordagem seja holística e esteja em constante evolução:
Avalie o risco.
As avaliações de risco equipam sua empresa com informações críticas que ajudam a mitigar os riscos antecipadamente. Ao conduzir uma avaliação, você determina a prontidão dos principais elementos de segurança cibernética, incluindo segurança de rede, gerenciamento de dados, proteção de perímetro e muito mais, e estabelece uma melhor compreensão da postura geral de segurança do seu sistema.
Aperte o acesso ao sistema.
As medidas de segurança podem ser incômodas e tornar a segurança limitada tentadora, mas os invasores contam com isso. Mantenha o acesso ao sistema restrito garantindo que os funcionários estejam cientes das políticas de segurança, avaliando constantemente os riscos e ajudando a criar a cultura correta de segurança internamente.
Estabeleça políticas fortes.
Mesmo as medidas mais sofisticadas e seguras podem ser inutilizadas devido a erro humano. É por isso que é fundamental educar e capacitar os funcionários com fortes políticas administrativas que reduzam os riscos de engenharia social, phishing e ataques relacionados.
Atualize seu sistema de controle.
O tempo de inatividade é caro e deve ser evitado tanto quanto possível. Ao aplicar correções oportunas e atualizações do sistema, é possível minimizar o tempo de inatividade, eliminando o risco de haver servidores e estações de trabalho desprotegidos.
Vá além da proteção do perímetro.
Os invasores geralmente assumem que a proteção do perímetro está em vigor e, portanto, usam protocolos comuns e portas de serviço conhecidas para comprometer os componentes do sistema de controle. Para combater ataques direcionados, controle o perímetro do sistema e proteja possíveis pontos de entrada, implantando firewalls personalizáveis e adaptáveis e buscando continuamente falhas de segurança.
Mantenha o acesso remoto nas mãos certas.
Quase todos os sistemas de controle são implantados com algum tipo de conectividade remota, mas apenas porque o acesso remoto é a norma, não o torna uma prática segura. Em sistemas onde o acesso remoto é obrigatório, certifique-se de que ele seja monitorado e implementado com segurança. Você pode até considerar várias camadas de autenticação para aumentar a segurança.
Conheça o seu sistema de controle.
Depois de desenvolver e implantar sua abordagem baseada em risco para segurança cibernética, certifique-se de monitorar constantemente os riscos ao longo do caminho e identificar possíveis ataques e ameaças o mais rápido possível. A abordagem certa para a segurança cibernética é aquela que evolui e se adapta constantemente.
Para empresas de energia ou serviços gerais municipais que procuram inovar e acompanhar o ritmo dos concorrentes hoje em dia, a transformação digital não é mais um “adicional”, ela é inegociável. E, embora possa haver riscos, eles não devem impedir as empresas de colher recompensas, como maior colaboração e inovação entre sua força de trabalho, melhorias operacionais revolucionárias e muito mais.
Além disso, no cenário em constante evolução da segurança cibernética, as práticas acima são apenas um ponto de partida. Para otimizar verdadeiramente suas operações e uma abordagem baseada em riscos para se protegerem, as empresas de energia e água estão atualmente automatizando e integrando soluções de segurança cibernética líderes da indústria, como o sistema de controle Ovation™ da Emerson que é designado e certificado como uma tecnologia antiterrorismo qualificada pelo Departamento de Segurança Interna dos EUA, em seus negócios.
Independentemente de onde uma empresa esteja em sua jornada de segurança cibernética, é importante lembrar que sempre há oportunidades para melhorar, evoluir e se preparar melhor para o próximo ataque ou ameaça potencial à espreita.
Só porque um ataque ainda não aconteceu, não significa que não acontecerá. Portanto, reserve um tempo hoje para desenvolver a abordagem certa e trabalhar com o parceiro certo. Você agradecerá amanhã.
