Desafios, Ameaças e Oportunidades na Indústria de Perfuração Offshore
Na era da transformação digital, CyberSecurity se tornou um tópico de discussão cada vez mais popular na indústria de petróleo e gás. As crescentes ameaças cibernéticas forçaram os líderes do setor a identificar e mitigar rapidamente os riscos cibernéticos com as ações adequadas. Redes e sistemas de computador inseguros podem levar a interrupções catastróficas, incluindo violação de dados confidenciais, danos a ativos críticos e fraudes, com vulnerabilidades nos sistemas cibernéticos, resultando na exploração pelo usuário com um acesso ilegal.
A perfuração offshore é um processo bem projetado que envolve equipamentos sofisticados para tornar o processo seguro, eficiente e produtivo. O maquinário em uma plataforma de perfuração moderna é controlado principalmente por PLC (Controlador Lógico Programável), HMI (Interface Homem-Máquina) e SCADA (Controle de Supervisão e Aquisição de Dados) e classificado como Sistema de Controle Industrial (ICS) ou Sistema de Automação e Controle Industrial ( IACS) conforme denominado por ISA / IEC 62443.
Em um navio sonda moderno com especificação DP classe 3, existem duas redes independentes que integram controles de propulsão, posicionamento dinâmico, distribuição de energia e outros sistemas operacionais.
Os sistemas de controle de perfuração integram o Cyberbase com PLCs controlando vários equipamentos de perfuração, sistemas de controle de lama, sensores, atuadores e registro de dados de perfuração. O sistema de controle de perfuração também está integrado ao SCADA para análise de dados de perfuração.
Dependendo da sofisticação do ativo, pode haver acesso remoto do OEM para acessar a rede de perfuração para diagnóstico e correção.
Preventores de explosão (BOP) modernos e monitoramento baseado em condição para vários equipamentos também podem ter seu próprio sistema de controle baseado em rede, separado da rede global da plataforma, mas igualmente vulnerável. O recente avanço tecnológico, que inclui perfuração remota, aumenta a complexidade dos sistemas de automação e controle industrial.
Os requisitos de big data que são suportados por armazenamento de dados baseados em nuvem e análises baseadas em Inteligência Artificial também requerem acesso aos Sistemas de Controle Industrial.
Esses projetos de sistemas de controle integrados alcançam um processo eficiente de perfuração, mas também apresentam riscos que podem expor vulnerabilidades que podem resultar em ataques cibernéticos se as políticas de segurança, procedimentos e mitigação de risco adequados não forem implementados. As empresas de perfuração estão adotando políticas de CyberSecurity baseadas nos padrões de CyberSecurity definidos por OEMs, clientes e institutos padrão.
Ataques cibernéticos de malware, phishing, spear-phishing, ransomware, cavalo de Tróia, sequestro de DNS (servidor de nomes de domínio), ataque distribuído de negação de serviço (DDOS), violação de dados e as ameaças de persistência avançada (APT) recentemente conhecidas.
Esses malwares têm sido responsáveis por graves danos financeiros e de reputação. É importante manter uma boa higiene cibernética, especialmente para os sistemas de controle industrial (ICS). Normalmente, esses sistemas não possuem antimalware ou outras formas de proteção.
Apenas um exemplo disso é um recente ataque de ransomware ao gasoduto da costa leste dos Estados Unidos, que resultou no fechamento de um gasoduto de 8,900 quilômetros por seis dias. A empresa foi forçada a pagar um resgate para recuperar o acesso aos seus sistemas de TI, o que, de outra forma, custaria à empresa milhões de dólares e meses para recuperar sua infraestrutura de TI.
Ataques cibernéticos podem ter um impacto significativo em equipamentos essenciais da plataforma, como posicionamento dinâmico, sistemas de gerenciamento de energia e controles de prevenção de explosão. Durante as auditorias recentes, os especialistas de ADC vulnerabilidades identificadas no sistema operacional de base e nos dispositivos de rede / firewall. Uma das ameaças mais comuns é a falta de conscientização sobre segurança cibernética entre a força de trabalho da plataforma. Pessoal sem conhecimento de CyberSecurity pode facilmente ser vítima de ataques como phishing e malware. Pessoal a bordo usando dispositivos USB não autorizados em sistemas críticos, portas USB abertas não utilizadas nos terminais, software desatualizado e hardware obsoleto / desatualizado. estavam entre as vulnerabilidades comumente observadas.
A deficiência das políticas e procedimentos de segurança cibernética resulta no aumento das vulnerabilidades do sistema. A alta administração é responsável por identificar os riscos críticos e implementar a mitigação pertinente em toda a empresa, garantindo a implementação de medidas de controle eficazes.
Vulnerabilidades comuns descritas pelo Diretrizes da Organização Marítima Internacional 2021 incluem:
As empresas de perfuração offshore e as principais empresas de petróleo estão cientes de que seus valiosos ativos são alvo de um número crescente de ataques cibernéticos e os OEMS estão agora se concentrando no projeto de sistemas 'ciber-seguros' que reduzem esse risco.
As principais empresas de perfuração offshore desenvolveram suas estratégias sistemáticas de mitigação de risco com base nas estruturas, incluindo a estrutura NIST CyberSecurity, ASTM, diretrizes IMO, práticas recomendadas pela API, ABS, DNV e outros padrões e diretrizes internacionais.
É importante que as empresas de perfuração offshore formulem estratégias eficientes e as implementem com eficácia para tornar o local de trabalho mais seguro, protegendo seus valiosos ativos de invasores. Com o avanço da tecnologia e o aumento das vulnerabilidades e ameaças, estar bem preparado é a chave para mitigar e minimizar o impacto dos ataques cibernéticos.
