'Considere-se um alvo em potencial, porque você é.'

Lior Frenkel

Lior Frenkel cofundou a Waterfall Security Solutions em 2007. Os gateways de segurança unidirecionais da Waterfall Security são projetados para fornecer proteção total contra ameaças à segurança de tecnologia operacional (TO) e ataques online em diversos locais, como aeroportos, sistemas ferroviários e usinas de energia .

A crescente lista de clientes da empresa inclui infraestruturas críticas e serviços públicos nacionais, usinas de energia, usinas nucleares, plataformas offshore, refinarias, oleodutos , fábricas farmacêuticas, químicas e de manufatura. Implantados em toda a América do Norte, Europa, Oriente Médio e Ásia, os produtos da Waterfall oferecem suporte a uma ampla gama de plataformas, aplicativos, bancos de dados e protocolos de monitoramento remoto e industrial disponíveis no mercado.

O setor energético tornou-se o segundo mais vulnerável a ciberataques, com quase três quartos das empresas de petróleo e gás dos EUA sofrendo pelo menos um incidente cibernético grave anualmente. Um ciberataque moderno a uma rede de gasodutos ou a um terminal de GNL pode resultar em graves consequências para a segurança humana e ambiental, como rupturas, explosões, incêndios, vazamentos e derramamentos.

Segue abaixo uma sessão de perguntas e respostas com Frenkel sobre cibersegurança no mercado de petróleo e gás . A entrevista foi editada para maior concisão e clareza.

P: Qual é o tamanho do desafio de proteger os ativos de petróleo e gás contra ataques cibernéticos, considerando que muitas vezes estão localizados em áreas remotas?

A: Essa é uma ótima pergunta. E a resposta é que sim e não. A indústria de petróleo e gás não é diferente de muitas outras indústrias, no sentido de que setores industriais, sistemas de água, geração de energia e ferrovias, do ponto de vista da cibersegurança, são todos iguais. Claro que existem diferenças. Mas a semelhança é maior do que a diferença. Cada um desses setores industriais possui redes de computadores que controlam processos físicos, e essa é a entidade que precisa ser protegida, e precisa ser protegida de forma a manter os processos físicos funcionando com desempenho máximo e de maneira segura. Isso é cibersegurança industrial . Quando falamos de bancos ou empresas "comuns", não temos essa rede de computadores que controla um processo físico . Então, a grande diferença é: estamos protegendo informações, como em uma empresa comum, onde os ativos e o que é processado pela rede são informações? Ou estamos protegendo um processo físico, máquinas e coisas do tipo?

Quando você tem uma empresa industrial, como uma empresa de petróleo e gás, como uma plataforma offshore , ela está fisicamente lá.

Imagine ter bombas e toda a maquinaria bombeando petróleo e gás das profundezas do oceano. Se algo parar de funcionar, a produção fica interrompida. Você não tem uma plataforma offshore de backup que possa simplesmente substituir a original. Para empresas "comuns", os ativos não são físicos e podem ser copiados, e essa é a premissa básica de qualquer sistema de segurança de TI. No fim das contas, mesmo no pior cenário, você ainda tem um backup dos arquivos e informações. No setor de cibersegurança industrial, não temos esse backup. Se algo invadir sua rede, você precisa reinstalar tudo. Nesse ponto, a operação para; os trens param, a produção para, a manufatura para. E se for uma plataforma offshore, e alguma peça da maquinaria quebrar, você pode ficar parado por três ou quatro meses, porque o ativo que processamos e controlamos não tem um backup. A possibilidade de interromper a produção sem um backup dá ao cibercriminoso tanta vantagem que você pagaria qualquer preço que ele pedisse.

P: Mesmo as melhores medidas de cibersegurança só são tão boas quanto as pessoas que as utilizam.

A: É verdade, mas isso é apenas parte do quadro geral. Quando o nível de segurança é muito baixo e você não tem um sistema de segurança robusto, qualquer erro cometido por uma pessoa pode levar a problemas graves. Por outro lado, você pode instalar o melhor sistema de segurança, investir bilhões de dólares, comprar os melhores produtos do mundo e implementá-los da melhor maneira possível. Mas se seus funcionários não souberem o que fazer, não entenderem o que está em jogo e não tiverem o treinamento adequado, não importa quanto dinheiro você invista, eles cometerão erros que abrirão brechas na sua segurança. Seria um erro focar apenas nas pessoas da empresa; você precisa construir uma boa segurança, treinar as pessoas , garantir que o nível de conscientização seja alto e aplicar as medidas necessárias. Assim, você estará na melhor situação possível.

P: Os ataques à infraestrutura de petróleo e gás podem ser motivados estritamente por razões monetárias, mas também por razões políticas. Que tipo de ataques você observa na indústria de petróleo e gás?

A: O que vemos principalmente são ataques com motivação criminosa; eu diria que nove em cada dez são por dinheiro, simplesmente porque é uma atividade criminosa muito lucrativa. Sabe, o criminoso fica em algum lugar em um país diferente da empresa que está atacando, sem nenhum risco pessoal. Ele invade um site, pede dinheiro, recebe o dinheiro e segue em frente sem que nada lhe aconteça. Então, por que assaltar um trem ou praticar pirataria nos mares, onde você pode ser morto? É um negócio muito bom para um criminoso.

Clientes industriais, como os do setor de petróleo e gás, são alvos muito atraentes devido ao que mencionei anteriormente: posso interromper sua produção e isso seria um desastre. Também observamos ataques patrocinados por Estados ou por terroristas. Do meu ponto de vista, vemos menos desses ataques nos EUA do que em outros lugares, como o Leste Europeu. Mas eles existem. Nos EUA, o foco principal é a coleta de informações. Não são muitos os Estados que realmente dizem: "Vamos interromper parte da infraestrutura dos EUA". Eles podem pensar nisso, podem até planejar isso. Eles querem roubar informações, querem coletar dados para um ataque, querem roubar propriedade intelectual. Então, o que vemos não é tanto a tentativa de interromper ou interferir na produção, mas às vezes isso acontece como um efeito colateral. Portanto, o risco existe.

P: Como equilibrar a necessidade de segurança com a necessidade de realizar o trabalho? As medidas de segurança podem ser tão onerosas a ponto de dificultar a execução eficiente das tarefas diárias?

A: Então, não há resposta para isso. Pense de outra forma. O motivo pelo qual as pessoas perguntam sobre isso é que elas não entendem completamente os riscos. O exemplo que vou dar é o seguinte: quando você quer ir a uma plataforma marítima, precisa usar capacete, botas com biqueira de aço e, às vezes, colete salva-vidas. Depois, eles te colocam em um curso de treinamento de segurança de uma hora; como evacuar, o que fazer neste ou naquele caso, e o que não fazer. Onde fumar e onde não fumar. Mas ninguém pergunta sobre isso, ou considera isso muito trabalhoso, porque entendemos os riscos.

E outra coisa sobre os protocolos de segurança é a fiscalização. Não posso dizer que não me importo. Posso simplesmente entrar sem o colete ou sem o capacete. Eles vão me dizer que não posso usar a plataforma porque não é segura. Quando as pessoas começarem a entender melhor o risco — e isso está acontecendo, mas muito lentamente — elas não perguntarão sobre o equilíbrio que você mencionou. Elas querem evitar o risco e não se importam de pagar um pouco mais para evitá-lo. Então, o processo levará um pouco mais de tempo, mas será seguro.

P: Fale-me sobre a sua empresa e qual é a sua proposta de valor, especialmente para este setor.

A: A Waterfall Security é uma empresa de cibersegurança industrial focada em segurança de tecnologia operacional — é isso que fazemos. Nossa tecnologia, chamada Unidirectional Security Gateway, permite o compartilhamento de informações de redes controladas para o mundo externo de forma segura. Você gostaria de entrar em um trem cuja rede que controla o trem e a ferrovia seja acessível pela internet? Provavelmente não. Você gostaria de dar aos seus filhos comida que veio de uma linha de produção acessível pela internet? Mas a maioria delas é. Isso acontece por diversos motivos, principalmente porque muitos desses sistemas foram projetados e implementados anos atrás, quando a cibersegurança não representava um grande risco.

Quando você conecta uma rede de controle ao mundo externo, todos sabem que a solução é instalar um firewall. Essa é a resposta correta quando ambas as redes são redes de informação, redes de TI. Os firewalls foram projetados para isso e desempenham sua função perfeitamente. Eles nunca foram projetados para ter a internet de um lado e uma turbina do outro. Mas quando não havia alternativas, você instalava um firewall porque era o que tinha — não havia outra maneira. Desenvolvemos uma solução alternativa para firewalls, no perímetro entre redes de controle, redes OT e o mundo externo. Um hardware dedicado, que projetamos e fabricamos, e um software que o opera, que coleta informações da rede OT. Digamos que você queira monitorar remotamente sua estação de compressão. Você quer saber o que está acontecendo, alertas, alarmes, taxas, tudo o que você precisa saber. Nosso sistema sabe como coletar todas as informações necessárias e enviá-las através do hardware, que é fisicamente construído de forma a só poder transmitir informações em uma direção. O software coleta os dados, os envia através do hardware unidirecional e nosso software externo coleta essas informações e as envia para os destinatários que precisam recebê-las. É por isso que chamamos a empresa de Waterfall (Cachoeira). Nossa tecnologia é como uma cachoeira — o fluxo é unidirecional e há uma barreira física que impede o retorno.

Então, você instala nossos sistemas, os configura e todos os dados de que precisa ficam disponíveis externamente. Você pode usá-los com seus próprios sistemas, enviá-los para um serviço em nuvem ou para o fornecedor do equipamento para criar um programa de manutenção preventiva. Você pode fazer o que quiser com as informações com risco zero — não baixo risco, risco zero mesmo — de que algo possa ou não retornar por essa conexão. Assim, o risco de controle remoto, propagação de malware, ransomware, tudo isso é eliminado. Nossos sistemas são amplamente utilizados em petróleo e gás e em oleodutos , principalmente nos segmentos de exploração e produção (upstream) e transporte e armazenamento (midstream). Oleodutos, plataformas de petróleo, plataformas offshore, estações de compressão também. Além disso, estamos presentes em praticamente todos os tipos de infraestrutura crítica e setores industriais, desde geração de energia e sistemas de água e saneamento até fábricas de produtos químicos, ferrovias, metrôs, aeroportos, e por aí vai.

P: Uma pergunta geral: existe algo que não tenhamos abordado e que você considere importante para a indústria de petróleo e gás saber sobre sua empresa ou sobre segurança em geral?

A: Acho que a ideia de que petróleo e gás estão fora do jogo nunca foi verdadeira. Mas hoje, é ainda menos verdade. Há cinco anos, conversávamos com empresas de petróleo e gás e elas nos diziam: “Entendemos a tecnologia, mas não vemos o risco. Entendemos que firewalls não nos salvarão; entendemos tudo. Mas quem se importa conosco?”

E isso mudou não apenas por causa do Big Bang, que foi o ataque ao oleoduto Colonial. Esse é um bom exemplo. Mas muitos dos nossos clientes no setor de petróleo e gás se tornaram nossos clientes porque foram atingidos. Não porque estavam se preparando, não por causa da diretiva da TSA , não porque alguém os mandou fazer isso, mas porque foram atingidos. Ou pagaram resgate e ninguém ficou sabendo, ou simplesmente tiveram sorte e, às vezes, o ataque não foi bem-sucedido.

Considere-se um alvo em potencial, porque você é. Sim. E ligue para nós.