La industria del petróleo y el gas utiliza una variedad de sistemas y tecnologías complejos que son cada vez más vulnerables a los ataques cibernéticos. Para mejorar la postura de ciberseguridad de la industria, el Foro Económico Mundial ha establecido la iniciativa Cyber Resilience in Oil and Gas.
A través de Cyber Resilience Pledge, más de 20 directores ejecutivos globales se comprometieron a trabajar juntos para mejorar la ciberresiliencia en todo el ecosistema.
La industria del petróleo y el gas utiliza una variedad de sistemas complejos y tecnologías interconectadas para extraer, transportar y refinar productos de petróleo y gas. Si bien estas tecnologías son necesarias para respaldar la entrega de servicios y productos energéticos, son cada vez más vulnerables a los ciberataques, lo que hace que la ciberseguridad sea fundamental para la resiliencia colectiva.
El Centro de Seguridad Cibernética del Foro Económico Mundial lanzó en 2020 la iniciativa Resiliencia Cibernética en Petróleo y Gas como parte de sus esfuerzos para fortalecer la seguridad cibernética en múltiples industrias . La iniciativa se compone de una comunidad de más de 40 organizaciones públicas y privadas que trabajan juntas para impulsar la acción colectiva sobre resiliencia cibernética.
Una de las iniciativas clave de la comunidad es Cyber Resilience Pledge . El compromiso, el primero de su tipo, cuenta con el respaldo de 21 directores ejecutivos de petróleo y gas comprometidos con adoptar un enfoque común para la resiliencia cibernética y proteger la infraestructura y los activos digitales en el sector.
Los patrocinadores del compromiso incluyen Aker , Check Point Software Technologies , Claroty , Cognite , Dragos , Ecopetrol , Eni , EnQuest , Galp , Global Resilience Federation, Institute for Security and Safety (ISS), KnowBe4 , Maire Tecnimont , Occidental , OT-ISAC, PETRONAS , Repsol , Shell , Saudi Aramco , Schneider Electric y Suncor Energy .
Al firmar el Compromiso de Resiliencia Cibernética, todas las partes respaldaron los principios de resiliencia cibernética para guiar a los líderes y miembros de la junta a través del proceso de cultivar una cultura corporativa resiliente y con conciencia cibernética.
"Una empresa que trabaja sola es efectivamente como cerrar la puerta principal y dejar la puerta trasera abierta. Debemos trabajar juntos si queremos proteger verdaderamente la infraestructura energética crítica de la que dependen miles de millones de personas en todo el mundo", afirmó Amin H. Nasser, presidente y director ejecutivo, Saudi Aramco
Los desafíos de la ciberseguridad
La industria del petróleo y el gas impulsa la economía global y es vital para la seguridad nacional. Por ello, proteger esta parte de la infraestructura crítica es fundamental para mantener la seguridad de las personas y la estabilidad de las sociedades.
Con una gran dependencia de la tecnología y los sistemas de información para operar, un ciberataque exitoso contra una compañía de petróleo y gas podría tener graves consecuencias, como interrupciones operativas, pérdidas económicas, daños a la reputación e incluso daños ambientales.
"La seguridad de la infraestructura crítica se encuentra en un momento crucial, donde las amenazas proliferan y evolucionan, pero también existe un creciente interés y deseo colectivo por proteger nuestros sistemas más esenciales", detalló Yaniv Vardi, Director Ejecutivo de Claroty
Para ilustrar, un ataque contra un importante sistema de oleoductos de EE.UU. en 2021 no solo resultó en la interrupción de las operaciones y pérdidas financieras para la empresa, sino que también tuvo un efecto en cascada en otras industrias. Por ejemplo, el sector de la aviación experimentó interrupciones debido a la escasez de combustible para aviones, y el temor a una crisis de gasolina provocó compras de pánico, lo que a su vez provocó aumentos de precios en las estaciones de servicio en todo EE. UU.
Además, en tiempos de conflicto geopolítico, el sector del petróleo y el gas, como propietario y operador de infraestructura crítica, es un objetivo para los actores del estado-nación, los hacktivistas y otros atacantes motivados por intereses políticos, económicos o estratégicos. Por ejemplo, antes de la crisis de Ucrania, al menos 21 productores de gas en EE. UU. sufrieron ataques cibernéticos dirigidos a la producción, exportación y distribución de gas natural licuado.
enfoque para fortalecer la resiliencia cibernética.
La iniciativa Cyber Resilience in Oil and Gas es un programa que reúne a una comunidad de múltiples partes interesadas de más de 100 altos ejecutivos y profesionales de las industrias del petróleo y el gas y las TIC. Al involucrar a un grupo diverso de partes interesadas de múltiples industrias, la iniciativa tiene como objetivo fomentar la colaboración y el intercambio de información.
El Compromiso de Resiliencia Cibernética se lanzó en la Reunión Anual en Davos en 2022 . Se basa en seis principios rectores para la resiliencia cibernética que son específicos de la industria del petróleo y el gas . Estos principios están diseñados para ayudar a las juntas directivas a tomar medidas sobre ciberseguridad dentro de sus organizaciones.
Además del Cyber Resilience Pledge, la iniciativa también ha desarrollado varios otros recursos y herramientas. Uno de ellos es un enfoque armonizado y simplificado para gestionar los riesgos cibernéticos de terceros . Con el uso cada vez mayor de proveedores de servicios y proveedores externos en la industria del petróleo y el gas, la gestión de estos riesgos se ha convertido en un problema crítico. La iniciativa ha proporcionado un marco para que las empresas evalúen y mitiguen estos riesgos a fin de ayudarlas a garantizar la protección de su infraestructura y activos digitales.
Otra área clave de enfoque es el modelo de confianza cero en ciberseguridad, que ha estado sujeto a mucha confusión y malentendidos. Para desarrollar una comprensión compartida del modelo de seguridad, la comunidad ha esbozado un conjunto de principios rectores para su implementación exitosa , proporcionando un recurso valioso para las empresas que buscan mejorar su preparación para la seguridad cibernética.
La iniciativa también ha lanzado una guía para ayudar a las organizaciones y sus líderes cibernéticos a lo largo de un viaje de transición energética ciberseguro y resiliente . Esta guía está destinada a ayudar a los ejecutivos a gestionar la transición energética mientras integran la ciberseguridad y la resiliencia en los procesos corporativos y en el diseño de tecnologías ecológicas.
"Es imperativo que los actores de la industria unan fuerzas y cooperen para hacer que el ciberespacio sea más seguro y resistente. Invitamos a otros actores de la industria a unirse a este esfuerzo colectivo para brindar energía sostenible, segura y confiable"concluyó Barbara Frei, Vicepresidenta Ejecutiva y Directora Ejecutiva, Automatización Industrial, Schneider Electric