O risco cibernético só se torna uma prioridade depois de ser atacado?

por Paul Mitchell

EY Global Mining & Metals Leader

Experienced mining and metals leader. Contributing insightful points of view to the market around productivity and digital.

9 minutos de leitura 29 ago 2018
Tópicos Relacionados Cibersegurança Mining and metals

Mostrar recursos

As ameaças cibernéticas estão a evoluir e a escalar a um ritmo particularmente alarmante para as indústrias que usam ativos de forma intensiva, como é o caso da indústria de Mining & Metals.

As ameaças cibernéticas estão a evoluir e a escalar a um ritmo particularmente alarmante para as indústrias que usam ativos de forma intensiva, como é o caso da indústria de Mining & Metals.

Hoje em dia, todas as organizações do setor de Mining & Metals são digitais por defeito — num mundo cada vez mais interligado, a pegada digital é vasta, com cada ativo pertencente ou usado por uma organização representando um nó na rede.

As organizações dependem cada vez mais da tecnologia, automação e dados operacionais para gerarem ganhos de produtividade, melhorar a margem e os cumprir os objetivos de contenção de custos. Ao mesmo tempo, nunca foi tão difícil para as organizações compreenderem e proteger o ambiente digital em que operam ou as suas interações com o mesmo.

  • O cenário tecnológico de cada organização é personalizado e complexo: abrange várias equipas responsáveis pelo planeamento estratégico, orçamento e suporte; e engloba várias redes e infraestruturas que podem situar-se nas instalações, na nuvem ou pertencentes e geridas por terceiros.
  • Definir uma “organização” é difícil: e para esbater ainda mais o perímetro de segurança assistiu-se a uma proliferação de dispositivos pertencentes a colaboradores, clientes e fornecedores (incluindo laptops, tablets, smartphones, soluções de computação de ponta, sensores inteligentes e muito mais) que passaram a ter acesso aos recursos e sistemas da organização.
  • O aumento da conectividade entre os ambientes de Tecnologia da Informação (TI) e os menos maduros de Tecnologia Operacional (OT) aumentam a “superfície de ataque”: um incidente cibernético tem o potencial de interromper a produção ou o processamento, a segurança e os ganhos de eficiência, além de ter um impacto direto nas metas e estratégias de negócios.

Os ciberincidentes podem ser maliciosos ou não intencionais. E vão de interrupções de serviços de negócios, violações de dados em larga escala de informações comerciais, pessoais e de clientes, até fraudes cibernéticas e ransomware (como o WannaCry e NotPetya) e campanhas avançadas de ameaças persistentes a alvos estratégicos.

Existe um potencial de o risco cibernético gerar uma quebra de ganhos de produtividade e deitar por terra as aspirações de uma organização de Mining & Metals no que toca a conseguir avanços no digital.
Mike Rundus
EY Global Mining & Metals Cybersecurity Leader

Qual o custo das ciberameaças?

Até 2021, o custo global das violações de segurança cibernética deverá atingir os 6 biliões, o dobro do total para 20151. O Fórum Económico Mundial classifica agora a violação em larga escala da segurança cibernética como um dos cinco riscos mais graves que o mundo enfrenta atualmente2.

Podem existir consequências significativas, como revelamos abaixo, se um ataque cibernético ocorrer dentro de uma instalação operacional ou afetar ativos operacionais.

O cenário de ameaças cibernéticas é complexo e abrange TI e TO

Historicamente, os ambientes de TO eram isolados com conectividade limitada a redes externas para lá do site físico e utilizavam protocolos específicos de fornecedores e tecnologias próprias.

Isso permitia geralmente aos proprietários de ativos adotarem uma abordagem de "segurança por obscuridade". No entanto, essa abordagem já não é viável nos ambientes modernos de TO, uma vez que estão altamente conectados e aproveitam cada vez mais as infraestruturas, os protocolos e os sistemas operacionais que também são comuns nas TI empresariais. Como tal, as vulnerabilidades associadas às tecnologias utilizadas nas TI empresariais aplicam-se frequentemente também às TO críticas.

Outras ameaças também são alimentadas pela proeminência de malware direcionado para ambientes TO. Em dezembro de 2015, a rede elétrica da Ucrânia foi afetada por um ataque cibernético que utilizava malware (BlackEnergy e KillDisk) e que apontava diretamente aos sistemas de controlo industrial e de TO. Desde então, o malware generalizou-se e passou a estar amplamente disponível.

O grande número de dispositivos conectados nos ambientes operacionais também está a contribuir para esta crescente ameaça. Com o aumento do investimento no digital, a dependência de sistemas de automação, a monitorização remota de infraestruturas para obter eficiência de custos a longo prazo e a tomada de decisões praticamente em tempo real em toda a cadeia de valor, as empresas do setor Mining & Metals têm por norma milhares de dispositivos TO ligados em várias zonas.

No entanto, o aumento da conectividade desses dispositivos e, por arrasto, o aumento da superfície de ataque, significa que a segurança física das operações remotas no setor Mining & Metals já não é suficiente.

Além disso, equipamentos e infraestrutura tradicionalmente desconectados (por exemplo, perfuradoras autónomas, camiões e comboios) são agora integrados para permitir um maior controlo de operações.

Esta combinação de acontecimentos, juntamente com a complexidade do sistema e riscos terceiros, conduziu a um alargamento adicional das “vias de ataque” que podem ser usadas em incidentes cibernéticos.

No caso das organizações do setor de Mining & Metals, existem quatro grandes “vias de ataque” que podem ser usadas para comprometer e impactar as operações em toda a cadeia de valor (por exemplo, extração, processamento ou refinamento, gestão de stocks e transporte). Os piratas informáticos que exploram essas vias utilizam frequentemente uma série de pontos fracos comuns encontrados na arquitetura da rede, tecnologias industriais herdadas, controlos básicos de acesso e configurações de segurança, processos de manutenção, equipas remotas e acesso por terceiros e consciencialização sobre a segurança.

Em virtude disso, toda a cadeia de fornecedores está agora em risco, não se limitando ao potencial de causar interrupções nas operações, mas a consequências mais graves para a saúde e segurança (por exemplo, resultantes do encerramento ou substituição de sistemas à prova de falha, falha física de infraestruturas, equipamentos que operam fora dos parâmetros esperados etc.). Se esses riscos não forem devidamente identificados, rastreados e monitorizados, é provável que a organização e os seus funcionários fiquem bastante expostos. Alguns dos nossos clientes, com fortes soluções de monitorização de eventos de segurança, estão a assistir a um rápido aumento no número de novos ataques aos sistemas operacionais, incluindo vírus concebidos especificamente para atacar esses ambientes.

O desafio

Os níveis crescentes de ameaças exigem agora uma resposta mais robusta. O nosso Estudo Global de Segurança da Informação de 2017 revelou que 53% das organizações de energia e recursos aumentaram seus gastos em cibersegurança nos últimos 12 meses. Os orçamentos de segurança cibernética estão a aumentar, mas não são suficientes para gerir efetivamente os riscos, principalmente para as TO3de missão crítica. À medida que as empresas do setor de Mining & Metals continuam a avançar na era digital, os orçamentos atuais podem não ser suficientes para gerir os riscos, principalmente no que diz respeito à crescente ameaça às TO.

Além disso, muitas empresas de mineração e metais estão a adotar uma abordagem ad hoc ou a agir quando já é tarde demais para gerir os seus riscos e vulnerabilidades. Esta abordagem expõe desnecessariamente a empresa a maiores ameaças.

A responsabilidade de gerir a exposição a riscos de segurança cibernética não é da responsabilidade de um ou dois indivíduos. Em vez disso, uma ampla gama de responsabilidades individuais deve ser reunida para formar uma única visão coerente e acessível do ambiente de ameaças.

Por exemplo, os riscos cibernéticos das TO podem exigir que diferentes equipas de tecnologia, engenharia, manutenção e controlo de processos sejam responsáveis e consultadas para estabelecer os controlos cibernéticos críticos e a consciencialização da segurança. No entanto, é necessário um proprietário responsável, como um diretor de operações ou um gestor geral do local, para conduzir a mudança, estabelecer prioridades e sustentar a gestão contínua de riscos cibernéticos da TO.

Antecipar-se às ameaças cibernéticas

É necessária uma mudança radical na cultura e consciencialização do risco cibernético no setor de Mining & metals para colmatar o fosso crescente que o “fator humano” expõe à ciber resiliência e para maior preparação. Esta urgência é mais crítica se aceitar a ideia de que já não é uma questão de "se", mas sim de "quando".

As organizações têm de aplicar bons princípios de gestão de risco; e isso começa por atentar no ciber risco, assumindo o mesmo como semelhante a qualquer risco comercial. Compreender o cenário de ameaças cibernéticas é o primeiro passo fundamental na mudança para melhorar a maturidade cibernética. Para fazer face às mudanças necessárias, as empresas mineiras e de metais têm de ter um plano claro que faça parte de seu roteiro digital e um plano de gestão de risco.

O primeiro passo consiste em estabelecer uma referência em termos de ciber controlos básicos. Essa referência, apoiada por uma abordagem assente no risco para dar prioridade a investimentos cibernéticos estratégicos e de longo prazo deve estar alinhada com os principais cenários de ameaças cibernéticas da organização.

Existem quatro grandes ameaças cibernéticas sempre presentes nas organizações de Mining & Metals e que podem afetar significativamente as suas operações:

  1. Aplicações empresariais e de TI: ameaças associadas à rede global de TI, ao fornecedor de serviços geridos de TI, ao ERP e às principais soluções locais ou baseadas na nuvem que ajudam à produtividade do utilizador final, armazenamento e computação de dados. Os compromissos nesses sistemas geralmente conduzem a incidentes de “prioridade um” que requerem atenção e recuperação imediatas.
  2. Tesouraria e negociação financeira e decommodities: pagamentos significativos em dinheiro (por valor e volume) a parceiros de joint ventures, fornecedores, agências governamentais, empresas inter ou intra e clientes de commodities ocorrem também na indústria mineira. Com o aumento de burlas a Administradores Executivos, Diretores Financeiros e PA e, a ocorrência de crimes cibernéticos ou pagamentos fraudulentos é uma ameaça real.
  3. Dados pessoais e comerciais: O aumento nos requisitos de notificação de violação de dados e o ritmo acelerado de apresentação de relatórios em meios online fizeram com que todas as empresas tivessem de prestar mais atenção para proteger dados pessoais e sigilosos. No caso do setor de Mining & Metals, isso traduz-se geralmente em informações pessoais no seio dos RH, higiene médica, HSE e sistemas de gestão de contratados e de informações comerciais sensíveis em dispositivos de utilizador final sénior e repositórios de dados assentes em nuvem.
  4. Tecnologia operacional: As ameaças cibernéticas nas TO estão a evoluir e estão na vanguarda dos conselhos de administração, executivos e reguladores de indústrias que fazem uso intenso de ativos. Isso começa geralmente com os sistemas TO de missão crítica em centros operacionais, centrais de processamento e empresas de serviço público; seguido das principais redes e sistemas de TI e TO, permitindo operações integradas, monitorização e controlo remotos e planeamento sensível da produção e apoio à decisão.

Para tal, as organizações devem adotar uma estrutura de segurança cibernética para a identificação consistente de falhas, ameaças e ações críticas de controlo cibernético necessárias para terem o perfil de risco pretendido. Acreditamos que independentemente da estrutura adotada, deve adotar-se uma abordagem assente no risco, adequada ao objetivo, adotar um equilíbrio entre "proteger" e "reagir" e atender aos requisitos operacionais de uma organização.

Em seguida apresentamos uma abordagem robusta contra ameaças cibernéticas:

Identificar os riscos reais: identificar ativos críticos em sistemas e negócios

Dar prioridade ao que é mais importante: admita esse tipo de violações pode ocorrer e melhore os controlos e processos para identificar, proteger, detetar, responder e recuperar ataques

Gerir e monitorizar o desempenho: avalie regularmente o desempenho e a posição de risco residual

Otimize investimentos: aceite riscos geríveis nos casos em que o orçamento não estiver disponível

Capacite o seu negócio no sentido de um melhor desempenho: faça da segurança a responsabilidade de todos

Centre-se nos conselhos de administração

Os conselhos de administração estão a assumir um papel cada vez mais ativo na abordagem ao risco que o ciber risco representa para os seus negócios. Existe um interesse crescente por parte das administrações em gerar relatórios, medidas de avaliação e obter informação aprofundada para dar mais visibilidade e garantias à gestão de riscos de cibersegurança.

A maioria das organizações tem dificuldades quanto ao que reportar ao conselho. Isso é indicativo da mentalidade tradicional de reporte que tende a concentrar-se em informar sobre tomadas de decisão táticas e reportar os progressos em curso. Em vez disso, os relatórios ao conselho de administração devem tentar combinar métricas tangíveis e quantificáveis que demonstrem os resultados resultantes de decisões-chave recentes e o estado de desempenho do ambiente de controlo.

Por fim, para permitir uma tomada de decisão eficaz, uma estrutura bem-sucedida de relatórios de segurança cibernética deve fornecer ao conselho uma visão clara e contínua da atual exposição a riscos cibernéticos da organização.

Para incentivar essa mudança de paradigma, os conselhos de administração devem implementar uma mentalidade assente no risco para transformar as perguntas que fazem à gerência.

Como tornar o ciber risco uma prioridade antes de um ataque

Assista ao nosso webcast on-demand para saber como as ameaças cibernéticas estão a centrar-se também em indústrias do setor Mining & Metals.

Saiba mais

Resumo

O risco cibernético pode provocar uma quebra nos ganhos de produtividade e aspirações digitais de uma organização do setor de Mining & Metals. E o custo desses ataques está a subir de forma acentuada. Até 2021, o custo global das violações de segurança cibernética deverá atingir os 6 biliões, o dobro do total para 2015.

Sobre este artigo

por Paul Mitchell

EY Global Mining & Metals Leader

Experienced mining and metals leader. Contributing insightful points of view to the market around productivity and digital.