Por Manuel Fernandes, sócio-líder do setor de energia e recursos naturais da KPMG no Brasil e na América do Sul e Rodrigo Milo, sócio de segurança cibernética e privacidade da KPMG no Brasil
A questão energética incorporou-se a todas as ações que nós, como sociedade, realizamos hoje. O setor está se adaptando a esse mundo em transformação e reconfigurando a cadeia de valor. Já não se trata de, simplesmente, bombear gasolina em postos de combustível ou de acender as luzes – a energia é muito mais. Por isso, o foco se voltou para as energias renováveis e limpas; mais especificamente, para a integração entre fontes de energia e digitalização como forma de acelerar a transição.
De modo geral, o setor de energia tem sido alvo frequente de crimes cibernéticos, em razão do caráter crítico e das conexões com outras indústrias. Por exemplo, um ataque recente a um oleoduto causou uma interrupção significativa em diversos setores, resultando em escassez, aumentos de preços e interrupções na cadeia de suprimentos. O incidente também levou a paralisações operacionais e interrupções de serviços em setores que dependem da infraestrutura afetada – como o aéreo –, uma vez que o oleoduto danificado fornecia uma parte significativa do combustível de aviação.
O incidente destacou a vulnerabilidade da infraestrutura crítica e levantou preocupações sobre a resiliência geral do setor de energia. Como resultado, muitas empresas foram pressionadas a aumentar investimentos em segurança cibernética e a intensificar as avaliações de vulnerabilidade e os testes de penetração, com o objetivo de identificar fraquezas e corrigir quaisquer lacunas de segurança. Muitas empresas de infraestrutura crítica também estabeleceram ou fortaleceram os Centros de Operações de Segurança e as Equipes de Resposta a Incidentes de Segurança Cibernética para monitorar e responder a possíveis incidentes de segurança, minimizar danos e restaurar operações rapidamente.
As empresas de energia e recursos naturais vêm sendo incentivadas a adotar uma abordagem em várias camadas para gerenciar a segurança cibernética, combinando tecnologia, treinamento, capacidades de resposta, compartilhamento de informações e planos de resiliência, mas há algumas considerações que elas precisam levar em conta. Um dos pontos diz respeito à questão regulatória. Caso queiram escalar as operações e aumentar a presença global, vão ter o desafio da complexidade das jurisdições já que, em muitos casos, países, territórios e jurisdições possuem estruturas regulatórias diferentes para segurança cibernética.
Além disso, durante a expansão, à medida que o setor se torna mais interconectado globalmente, a superfície de ataque para ameaças se expande já que elas não obedecem a limites geopolíticos. Um ataque cibernético originado em um país pode facilmente impactar a infraestrutura crítica de outro. Nesse cenário, coordenar respostas e atribuir ataques são tarefas complicadas.
Ademais, embora a colaboração e o compartilhamento de informações sejam cruciais para medidas eficazes de segurança cibernética, existem preocupações legais, políticas e competitivas acerca desta iniciativa entre diferentes jurisdições, o que pode dificultar uma interação eficaz de inteligência sobre ameaças. Soma-se a isso o cenário de politização contínua dos negócios porque tensões geopolíticas frequentemente resultam em aumento das ameaças cibernéticas, especialmente, visando infraestruturas críticas.
Outro ponto adicional é o fato de que as empresas também vão ter que modernizar a segurança da cadeia de suprimentos para evitar que o ambiente de terceiros seja um vetor de ameaças em constante transformação. Dependendo da maturidade do fornecedor, as organizações precisam fazer mais ou talvez menos para ajudar a garantir que essas parcerias operem de maneira eficiente e atendam a todos os requisitos de compliance. Apesar dos desafios e das prioridades concorrentes, o esforço para garantir que o ecossistema da cadeia de suprimentos seja seguro não deve ser um gargalo, mas um viabilizador de negócios.
Em razão da natureza global, os desafios do setor de energia e recursos naturais envolvem ainda tem uma forte dependência de cadeias de suprimentos complexas. Esse ecossistema de múltiplos níveis de fornecedores e provedores de tecnologia torna quase impossível manter a visibilidade e o controle sobre todos os envolvidos, aumentando substancialmente os riscos cibernéticos.
Por outro lado, apesar do cenário, as oportunidades para as empresas de energia se organizarem são muitas. Pela natureza global, o setor oferece possibilidades para esforços conjuntos de segurança. Compartilhar inteligência sobre ameaças e lições aprendidas internacionalmente pode melhorar a postura de segurança das organizações. Além disso, a globalização pode impulsionar os esforços para estabelecer normas internacionais e melhores práticas em segurança cibernética, o que vai simplificar a implementação de medidas de segurança além-fronteiras e em todas as cadeias de suprimentos. A cooperação entre os países também vai fomentar o desenvolvimento de soluções avançadas, beneficiando todos. Com redes de comunicação globais, as equipes de resposta a incidentes podem trabalhar juntas em tempo real, permitindo reações mais rápidas e eficazes às ameaças. Desse modo, é possível minimizar o impacto dos ataques à infraestrutura crítica.
Resiliência significa ter uma preparação mais adequada para lidar com incidentes de forma rápida e abrangente. À medida que navegam pelo cenário volátil e em constante transformação da segurança cibernética, esta não pode ser abordada como uma série de projetos pontuais ou intermitentes. Ao contrário, deve ser uma estratégia adaptativa, que complemente a agenda de cibersegurança da organização, proteja os interesses dos clientes, esteja alinhada aos objetivos do negócio e se concentre na entrega de valor a longo prazo.