Não há tempo a perder: as organizações do setor de mineração e metais devem se esforçar para ficarem à frente das ameaças cibernéticas

Por: Juan Valbuena, EY Americas Metals & Mining Cybersecurity Leader

Com o avanço da transição energética, as empresas do setor de mineração e metais estão se modernizando para se antecipar às mudanças. No entanto, essa maior adoção de tecnologia pode atrair criminosos cibernéticos em busca de oportunidades para explorar esse progresso?

Resumo

• O setor de mineração e metais está se transformando para assumir um papel estratégico na economia limpa do futuro.
• A convergência entre TI e tecnologia operacional (TO), aliada a um planejamento proativo de segurança cibernética, será essencial para minimizar paralisações, problemas de segurança e riscos reputacionais, além de proteger dados, propriedade intelectual e reduzir perdas financeiras.
• Com criminosos cibernéticos monetizando dados e impactando o ambiente de negócios em um cenário de conflitos geopolíticos, a colaboração entre empresas é fundamental para estabelecer protocolos de segurança e desenvolver a resiliência necessária para enfrentar e mitigar ameaças.

As empresas de mineração e metais enfrentam um dilema relevante, à medida que são pressionadas a atender às expectativas de uma economia limpa. A necessidade de mudança é evidente – modernizar-se e evoluir são passos essenciais para garantir relevância no futuro. Entretanto, o maior desafio não está apenas em decidir como realizar essa transição para tecnologias como automação, inteligência artificial (IA), internet das coisas (IoT) e computação em nuvem.

Novas tecnologias são requisito essencial para as empresas de mineração que miram o futuro. Por outro lado, ainda que essas tecnologias ofereçam eficiência e segurança, prometam corte de custos, lucratividade e redução da emissão de carbono, de forma a garantir sustentabilidade e competitividade no longo prazo, elas também podem expor as organizações ao risco de ataques cibernéticos capazes de paralisar suas operações.

A segurança cibernética deve ser uma prioridade. Em termos relativos, o processo de transição do setor é lento, mas seu progresso na adoção e implementação de tecnologias operacionais tem sido constante. A complexidade da mudança e a escala e amplitude da implementação são dispendiosas e, muitas vezes, desanimadoras. As lacunas na cultura e qualificação para adaptação das equipes a novas formas de trabalho criam atritos internos, e os requisitos regulatórios e das partes interessadas aumentam a pressão.

Com a crescente automação, a migração para a nuvem e a dependência de dados operacionais, os vetores de ataque se multiplicam. Consequentemente, rganizações que ainda possuem programas cibernéticos imaturos ou insuficientes ficam cada vez mais vulneráveis.

Os criminosos estão percebendo isso e os incidentes cibernéticos no setor de mineração estão aumentando. Tanto que o Centro de Análise de Compartilhamento de Informações de Mineração e Metais (MM-ISAC) do Canadá rastreou 11 incidentes de segurança cibernética em 2023, o dobro do ano anterior.¹

Com a Quarta Revolução Industrial se aproximando, e o fato de que o alvo de um em cada quatro ataques cibernéticos detectados em 2023 é do segmento manufatureiro, é possível que o setor de mineração e metais esteja no topo da lista dos criminosos, sendo que este setor foi considerado o mais suscetível a ataques no ano passado.²

Desde o vírus Stuxnet, que supostamente destruiu tecnologias de produção de urânio no Irã há mais de duas décadas, até o ataque de ransomware do ano passado, que paralisou as operações de uma empresa de cobre no Canadá e de outra na Alemanha, há exemplos em todo o mundo.

Nenhuma organização está imune. Embora organizações menos vulneráveis a ataques sejam mais facilmente protegidas, as de mineração e metais continuam a adotar tecnologias e depender de parceiros suscetíveis da cadeia de suprimentos, em um ambiente impactado pelo cenário geopolítico.

E, embora aquelas com uma superfície de ataque menor sejam mais fáceis de proteger, à medida que o setor de mineração e metais continua a adotar novas tecnologias e depender de parceiros vulneráveis na cadeia de suprimentos em um ambiente influenciado por fatores geopolíticos, nenhuma organização está imune.

Então, o que as empresas de mineração e metais precisam fazer para progredir e, ao mesmo tempo, reduzir o potencial de ameaças hoje e no futuro?

Para se sofisticarem tecnologicamente, as empresas precisam entender melhor sua exposição, além de determinar e planejar uma reflexão sobre seu apetite ao risco de forma proativa. A governança e uma estrutura sólida de gestão de risco podem ajudar a mapear a telemetria da organização, implementar os processos corretos e preparar as equipes com os protocolos necessários para responder aos incidentes com urgência e agilidade.

Muitas vezes, a falta de compreensão de uma organização sobre os reais impactos e a amplitude das ameaças cibernéticas é a principal barreira à ação. A liderança sabe, por exemplo, que um comprometimento pode interromper a produção, então podem implementar contingências essenciais para lidar com isso.

Mas, e se um ataque cibernético manipular os registros para que os sistemas de monitoramento não reconheçam uma negligência? Ou, no caso de um problema mais sério, e se os controles de saúde e segurança hackeados colocassem em risco não apenas a produção, mas a vida humana?

A construção de uma fortaleza cibernética que possa efetivamente prever e agir na eventualidade desses problemas requer conexão dentro e fora do local, além de sinergias, prioridades e supervisão alinhadas – do topo de uma organização para baixo.

O relatório da EY sobre os 10 principais riscos e oportunidades de negócios de mineração e metais em 2024 indica que os riscos à infraestrutura, propriedade intelectual, finanças, reputação, cadeia de suprimentos e potenciais perigos físicos e para funcionários estão no topo da lista de preocupações dos executivos relacionadas à segurança cibernética.

Essa é a prova de que a segurança cibernética não é mais um mero problema de tecnologia. Se os riscos devem ser mitigados enquanto a disrupção continua, a alta administração e as áreas de Gestão de Risco e Operações devem estar em sintonia.

Reunir todas as partes interessadas para uma conversa significa que as equipes de segurança cibernética devem colaborar e trabalhar lado a lado com a operação para identificar aplicações de serviços críticos. A comunicação aberta – com total visibilidade e divulgação das atividades de gestão de riscos e seus impactos holísticos sobre a produção e segurança, marca e reputação – também pode ajudar a promover uma cultura de segurança cibernética, além de criar resiliência e prontidão para diminuir o impacto do “fator humano” em toda a empresa.

Preparando o terreno

Embora seja um desafio, reunir as equipes de liderança, tecnologia e operacionais para uma conversa é essencial para definir o perfil de risco e construir um plano holístico de segurança cibernética. A EY ajuda as organizações a preparar essas discussões, realizando avaliações de capacidade e risco, definindo e implementando estratégias de mitigação de riscos cibernéticos e até simulando ataques cibernéticos para torná-los reais para as partes afetadas e para melhor identificar as lacunas que representem perigo.

Nossas habilidades proporcionam continuidade até mesmo para os cenários maix complexos e prevendo desafios de forma proativa, seja avaliando a governança e o ambiente atuais de um cliente ou criando equipes, intermediando conversas e avaliando políticas.

Nossa rede global especializada no setor permite que nos conectemos prontamente com diferentes locais, onde quer que suas operações estejam. Os centros de excelência EY wavespace^TM  criam oportunidades de colaboração em salas de reuniões virtuais, atravessando fronteiras físicas e abrindo espaço para que todas as vozes sejam ouvidas e perspectivas únicas sejam trazidas à mesa.

Nossa mobilidade e capacidade de estar em vários lugares nos permitem incorporar equipes locais nos escritórios das empresas, para fornecer soluções customizadas mais rápidas e seguras. E, por meio da nossa rede global, podemos ajudar as organizações a explorar e testar ideias em tempo real, realizando demonstrações, incubação de laboratório de dados e workshops, com acesso a habilidades específicas e tecnologias proprietárias.

O aprendizado de alto nível em nossos laboratórios e no Centro de Excelência de Mineração e Metais fornece orientação e abordagens baseadas em inovação para cenários de risco que muitas empresas de mineração e metais enfrentam hoje ou podem enfrentar amanhã.

Nossas equipes multidisciplinares oferecem recursos operacionais especializados e conhecimento avançado sobre tecnologias inovadoras, que podem ajudar a interpretar e implementar planos de ação de forma a otimizar diagnósticos baseados em dados, ajudar a cumprir os objetivos de saúde e segurança e garantir a transformação digital de uma empresa.

Tendo as boas práticas de gestão de risco como ponto de partida, a nossa prática de Segurança Cibernética adota uma abordagem holística, avaliando os riscos de tecnologia operacional e de ativos críticos, inclusive a exposição potencial da cadeia de suprimentos para dar uma boa visibilidade em toda a empresa. Ao combinar cada um desses componentes com o apetite de risco, controles e governança de uma organização, podemos ajudar a estabelecer uma estrutura personalizada que identifique oportunidades de melhoria, reduza vulnerabilidades e desenvolva resiliência cibernética de forma contínua em uma cultura já estabelecida e consciente do risco.

Independentemente do ponto em que sua organização se encontra nessa jornada para a segurança cibernética, seja começando a digitalizar as operações ou se já foi vítima de ameaças, podemos ajudá-lo a se preparar para responder e resistir a um ataque, e mitigar possíveis perdas.

Entre em contato com nossa equipe para iniciar uma conversa. Estamos disponíveis para compartilhar nossas experiências e ajudar sua tomada de decisão, marcar uma visita ao nosso laboratório ou executar uma simulação que identifique vulnerabilidades, orientar suas estratégias de segurança cibernética, definir procedimentos e manuais detalhados, e priorizar seus planos.