Desafíos, amenazas y oportunidades en la industria de perforación en alta mar
En la era de la transformación digital, CyberSecurity se ha convertido en un tema de discusión cada vez más popular en la industria del petróleo y el gas. Las crecientes amenazas cibernéticas han obligado a los líderes de la industria a identificar y mitigar rápidamente los riesgos cibernéticos con las acciones adecuadas. Los sistemas y redes informáticos inseguros pueden provocar interrupciones catastróficas, incluida la violación de datos confidenciales, daños a activos críticos y fraudes, con vulnerabilidades en los sistemas cibernéticos que provocan la explotación por parte del usuario con un acceso ilegal.
La perforación en alta mar es un proceso bien diseñado que involucra equipos sofisticados para hacer que el proceso sea seguro, eficiente y productivo. La maquinaria de una plataforma de perforación moderna está controlada principalmente por PLC (controlador lógico programable), HMI (interfaz hombre-máquina) y SCADA (control de supervisión y adquisición de datos) y se clasifica como un sistema de control industrial (ICS) o un sistema de control y automatización industrial ( IACS) como lo denomina ISA / IEC 62443.
En un buque de perforación moderno con una especificación DP clase 3, hay dos redes independientes que integran controles de propulsión, posicionamiento dinámico, distribución de energía y otros sistemas operativos.
Los sistemas de control de perforación integran Cyberbase con PLC que controlan varios equipos de perforación, sistemas de control de lodo, sensores, actuadores y registro de datos de perforación. El sistema de control de perforación también está integrado con SCADA para el análisis de datos de perforación.
Dependiendo de la sofisticación del activo, puede haber acceso remoto OEM para acceder a la red de perforación para diagnóstico y reparación.
Los dispositivos de prevención de reventones (BOP) modernos y el monitoreo basado en condiciones para varios equipos también pueden tener su propio sistema de control basado en red, separado de la red global de plataformas pero igualmente vulnerable. Los avances tecnológicos recientes, que incluyen la perforación remota, aumentan la complejidad de los sistemas de control y automatización industrial.
Los requisitos de big data que son compatibles con el almacenamiento de datos en la nube y el análisis basado en inteligencia artificial también requieren acceso a los sistemas de control industrial.
Dichos diseños de sistemas de control integrados logran un proceso eficiente de perforación, pero también presentan riesgos que podrían exponer vulnerabilidades que podrían resultar en ataques cibernéticos si no se implementan las políticas de seguridad, los procedimientos y la mitigación de riesgos adecuados. Las empresas de perforación están adoptando políticas de ciberseguridad basadas en los estándares de ciberseguridad establecidos por los fabricantes de equipos originales, los clientes y los institutos estándar.
Ciberataques de malware, phishing, spear-phishing, ransomware, troyano, secuestro de DNS (servidor de nombres de dominio), ataque distribuido de denegación de servicio (DDOS), violación de datos y las amenazas avanzadas de persistencia (APT) recientemente conocidas.
Estos malwares han sido responsables de graves daños económicos y de reputación. Es importante mantener una buena higiene cibernética, especialmente para los sistemas de control industrial (ICS). Estos sistemas normalmente no tienen anti-malware u otras formas de protección.
Solo un ejemplo de esto es un reciente ataque de ransomware en el gasoducto de la costa este de EE. UU. Que provocó el cierre de un gasoducto de 8,900 kilómetros durante seis días. La empresa se vio obligada a pagar un rescate para recuperar el acceso a sus sistemas de TI, lo que de otro modo le costaría a la empresa millones de dólares y meses recuperar su infraestructura de TI.
Los ciberataques pueden tener un impacto significativo en el equipo de plataforma esencial, como el posicionamiento dinámico, los sistemas de administración de energía y los controles de prevención de explosiones. Durante auditorías recientes, los especialistas de ADC han vulnerabilidades identificadas en el sistema operativo base y en los dispositivos de red / cortafuegos. Una de las amenazas más comunes es la falta de conciencia de ciberseguridad entre la fuerza laboral de la plataforma. El personal sin conocimientos de ciberseguridad puede fácilmente ser víctima de ataques como el phishing y el malware.. Personal a bordo que utiliza dispositivos USB no autorizados en sistemas críticos, puertos USB abiertos no utilizados en los terminales, software desactualizado y hardware obsoleto / desactualizado. se encontraban entre las vulnerabilidades más comúnmente observadas.
La deficiencia de las políticas y procedimientos de CyberSecurity resulta en un aumento de vulnerabilidades en el sistema. La alta gerencia es responsable de identificar los riesgos críticos e implementar la mitigación pertinente en toda la empresa, asegurando que se implementen medidas de control efectivas.
Vulnerabilidades comunes descritas por el Directrices de la Organización Marítima Internacional 2021 incluyen:
Las empresas de perforación en alta mar y las principales empresas petroleras son conscientes de que sus valiosos activos son el objetivo de un número cada vez mayor de ciberataques y los OEM se están centrando ahora en diseñar sistemas 'ciberseguros' que reduzcan este riesgo.
Las principales empresas de perforación en alta mar han desarrollado sus estrategias sistemáticas de mitigación de riesgos basadas en los marcos que incluyen el marco de seguridad cibernética del NIST, las pautas de ASTM, IMO, las prácticas recomendadas por API, ABS, DNV y otras normas y pautas internacionales.
Es importante que las empresas de perforación en alta mar formulen estrategias eficientes y las implementen de manera efectiva para hacer que el lugar de trabajo sea más seguro al mismo tiempo que protegen sus valiosos activos de los atacantes. Con el avance de la tecnología y el aumento de vulnerabilidades y amenazas, estar bien preparado es clave para mitigar y minimizar el impacto de los ciberataques.
