El Riesgo Cibernético en la Industria Petrolera
Las empresas de petróleo y gas dependen de sistemas de control industrial para mantener operaciones seguras y confiables.
Con mayor frecuencia, las empresas están integrando tecnología conectada a la red, haciendo estos sistemas más rápidos y eficientes, pero, inevitablemente creando resquicios para violaciones potenciales de ciberseguridad.
El futuro parece ser uno en el que las empresas de O&G integrarán robótica, analytics y el Internet de las cosas (IoT) en su ambiente operacional, con buena razón: Aumentar la conectividad tiene el potencial de impulsar la creación de valor al utilizar información y análisis para encontrar nuevos mercados, mejorar el desempeño operacional y simplificar la cadena de suministro. Sin embargo, un campo petrolero, oleoducto o refinería más conectado es potencialmente más vulnerable y los ejecutivos debe tomar esto en consideración.
En una industria en la cual el enfoque de ciberseguridad se encuentra menos madura de lo que debería estar. al aumenten los riesgos, cada compañía deberá adaptar su propia estrategia digital. Es importante alejarse de los enfoques que pretenden dar soluciones rápidas y en su lugar, desarrollar acciones y controles optimizados para poder proteger los activos existentes de nuevas amenazas.
Ductos, refinerías y terminales de almacenamiento dependen en gran medida de sistemas de control industrial (ICS, por sus siglas en inglés) para mantener operaciones seguras y uniformes.
Con avances en tecnología de sensores, poder de procesamiento y capacidad de operación remota, la tecnología del IoT podría abrir un increíble valor al eliminar redundancias, aumentando disponibilidad, asignando materia prima, instalaciones y producto mientras reduce costos. Sin embargo, el IoT no sólo posee oportunidades para un aumento en eficiencia a través de sistemas de administración inteligentes, sus sistemas conectados aumentan los riesgos de seguridad y sus consecuencias.
En este momento, los peligros son en su mayoría especulativos. Al día de hoy, hay escasa evidencia de que los ciber ataques al sector de O&G hayan causado incidentes a gran escala en la distribución, plantas de producción, refinerías de downstream o estructuras tales como ductos y terminales de almacenamiento. Sin embargo, varios incidentes sospechosos ofrecen incentivos para ser cautelosos.
En 2012, en la empresa Saudi Aramco, un empleado abrió un correo electrónico, sin saber que contenía un virus maligno (malware), esto ocasionó que se perdiera la información de más de 30,000 discos duros de sus computadoras. Afortunadamente no impactó a sus sistemas industriales y el suministro de petróleo pudo continuar.
Externo a petróleo y gas, pero probablemente más relevante para refinerías, es el ataque de 2014 en una acerera en Alemania, que provocó la pérdida de control de un horno de fundición, causando daños significativos a la planta. Esté incidente llama la atención ya que fue el primer ataque verificado en cruzar la barrera entre lo cibernético y lo físico, para causar daños en el mundo real.
No es difícil imaginar como un ataque similar puede afectar una refinería, provocando un derrame de los tanques, ruptura de depósitos o incluso una explosión. Mientras los riesgos de salud, seguridad y medio ambiente son los prioritarios, las compañías también se enfrentan a riesgos financieros más allá de limpieza y demandas. Por ejemplo, la pérdida de un solo día de operaciones para una refinería de 100,000 barriles diarios podría reducir los ingresos en más de $5.5 millones y la ganancia por $1.4 millones.
Una vez que la empresa identifique los riesgos de ciberseguridad claves y desarrolle un marco de análisis, necesita actuar.
Dos barreras que enfrentan las empresas de O&G potencialmente son la falta de concientización y la falta de coordinación. Adicionalmente, puede haber preocupación por la escasez de talento de ciberseguridad y los costos de implementación. No resulta sorprendente que la planeación sea clave para el éxito. Incluso con un plan sólido en pie, el respaldo ejecutivo y el soporte de las partes afectadas pueden ser igual de importantes para ir de la idea a la implementación.
La ciberseguridad será cada vez más importante en las empresas de downstream, debido en parte a la sofisticación de los agresores en potencia, pero sobre todo, debido a la complejidad y escala de la digitalización de los negocios. La tecnología del IoT y otras tendencias avanzadas de la industria prometen un incremento en eficiencia, reducción de desperdicio y transformación de todo el negocio. Sin embargo, así como el número de sensores, algoritmos inteligentes y procesos automatizado aumenta, también lo hacen los riesgos. Las empresas que identifiquen vulnerabilidades desarrollen los marcos adecuados de análisis y tomen pasos tangibles hacia adelante, podrán enfrentar los retos de frente y reducir los riesgos de ciberseguridad.
Fuente de Información: Refining at Risk, Securing downstream assets from cybersecurity threats, A report by Deloitte Center for Energy Solutions
