As implicações da Diretiva de dutos DHS-TSA 2021-1

O Departamento de Segurança Interna dos EUA emitiu orientações importantes para as operações de petróleo e gás após as recentes ameaças cibernéticas. Veja a seguir três maneiras práticas de interromper as vias de ataque na sua infraestrutura de OT. 

O setor de petróleo e gás depende muito da automação para várias operações diferentes. A sinfonia de operações necessária para encontrar, extrair, refinar, misturar, colaborar e, por fim, fornecer petróleo e gás depende da infraestrutura de tecnologia operacional (OT).

Interrupções recentes em ambientes de OT de infraestrutura crítica, incluindo o incidente da Colonial Pipeline, ressaltaram a suscetibilidade da infraestrutura crítica a vulnerabilidades de segurança cibernética, ameaças e possíveis paradas. 

Outros ataques ao setor de petróleo e gás incluem:

• Fevereiro de 2020 — Ocorreu um ataque cibernético a uma unidade de gás natural, criptografando simultaneamente as redes de TI e OT e bloqueando o acesso à interface homem-máquina, aos historiadores de dados e aos servidores de pesquisa. O pipeline precisou permanecer fechado por dois dias.
• Dezembro de 2018 — Uma empreiteira italiana do setor de petróleo e gás foi vítima de um ataque cibernético que atingiu servidores localizados no Oriente Médio, na Índia, na Escócia e na Itália.

• Abril de 2018 — Um ataque cibernético a uma 
rede de dados compartilhada obrigou quatro operadores de dutos de gás natural dos EUA a interromper temporariamente as comunicações de computador com seus clientes.

• Agosto de 2017 — O grupo de hackers Xenotime forçou a o desligamento de uma instalação de petróleo e gás natural da Arábia Saudita.


A diretiva de dutos DHS-TSA 2021-1

Em 28 de maio de 2021, a Administração de Segurança de Transportes (TSA) do Departamento de Segurança Interna (DHS) dos EUA emitiu a Diretiva de segurança 2021-1 especificamente para as operações de dutos. Embora outras normas tenham sido promulgadas anteriormente para o setor de petróleo e gás (veja a lista abaixo), essa diretiva foi emitida em decorrência da ameaça contínua à segurança das operações de dutos dos EUA. Ela representa um ponto de inflexão importante na proteção de ambientes de infraestrutura crítica que, de outra forma, poderiam estar em risco.

A Diretiva de segurança de dutos 2021-1 orienta os operadores de dutos em três áreas principais:

1. Proprietários e operadores de operações de dutos devem relatar incidentes de segurança à Cybersecurity and Infrastructure Security Agency (CISA).

2. Um coordenador de segurança cibernética deve ser designado e estar disponível 24 horas para coordenar as práticas de segurança, cumprir os requisitos específicos descritos na diretiva e reagir na ocorrência de incidentes.

3. As instalações de petróleo e gás devem avaliar suas práticas e atividades de segurança cibernética atuais para abordar os riscos cibernéticos de acordo com as Diretrizes de segurança de dutos da TSA 2018, identificar as lacunas em suas atuais práticas de segurança cibernética e as lacunas listadas nas diretrizes e desenvolver planos de correção para preenchê-las. 


As principais normas relevantes ao setor de petróleo e gás

National Institutes of Standards and Technology (NIST) Cybersecurity Framework (CSF): a preeminente estrutura adotada por empresas de todos os setores. As empresas de petróleo e gás natural orientam cada vez mais os programas corporativos em direção ao NIST CSF.


International Electrotechnical Commission (IEC) 62443: família de normas de segurança dos sistemas de controle industrial (ICS). Amplamente adotada pelo segmento de produção do setor de petróleo e gás natural. Aplicável a qualquer tipo de ICS para petróleo e gás natural.


Norma API 1164: conteúdo exclusivo para dutos não mencionados pela NIST CSF e pela IEC 62443.


Modelo de maturidade do recurso de segurança cibernética do Departamento de Energia: processo voluntário que utiliza as práticas recomendadas aceitas no setor para calcular a maturidade dos recursos de segurança cibernética de uma organização e fortalecer as operações.


Organização internacional para padronização ISO 27000: principal norma que fornece os requisitos para um sistema de gerenciamento de segurança da informação (ISMS).


Três importantes práticas recomendadas de segurança de OT para diminuir o risco

Embora a Diretiva DHS-TSA 2021-1 destaque as principais necessidades dos operadores de petróleo e gás, o maior desafio para a maioria das organizações é como operacionalizar os três componentes da diretiva.

• identificar riscos; 

• eliminar lacunas de segurança; e

• mitigar incidentes, quando ocorrerem. 


Veja a seguir as três principais práticas recomendadas de segurança de OT que, na nossa opinião, devem ser implementadas de forma minuciosa e urgente para proteger as operações dos dutos e mantê-las resilientes.

1. Obtenha visibilidade e perspectivas aprofundadas. O setor de petróleo e gás requer operações sincronizadas em toda a infraestrutura, bem como acesso a credenciais por um público amplo e heterogêneo. O Active Directory (AD) ocupa aqui um papel fundamental e, no caso da Colonial Pipeline, o ataque de ransomware tirou vantagem desse vetor de ataque. O público que utiliza o AD pode incluir funcionários autorizados, parceiros, representantes e prestadores de serviço. Os requisitos de acesso podem se estender além da usina real, até dutos ou locais de perfuração remotos no mundo todo. Consequentemente, é essencial manter o controle de acesso e de configuração que se estende da unidade principal a todos os locais, independentemente de quanto sejam remotos ou distribuídos. A solução de segurança de OT deve sempre ter intel de dispositivos individuais em todos os locais, incluindo, entre outros, controladores lógicos programáveis (PLCs), controladores de HMI, estações de engenharia, equipamentos de rede, gateways e outros dispositivos críticos para as operações regulares de rede. Ter um conhecimento profundo é essencial, incluindo visibilidade de todos os tipos de dispositivos, níveis de patch, versões de firmware e informações do backplane. É fundamental também levar em conta os dispositivos inativos que não se comunicam regularmente pela rede.
2. Identifique as ameaças. Embora as operações de OT de provedores de petróleo e gás já tenham sido isoladas, hoje elas estão conectadas à TI com acesso de qualquer lugar. Essa convergência cria um ambiente que pode afetar a integridade da exploração, da extração, do refinamento e do fornecimento de petróleo. A eliminação da proteção por air-gap permite que invasores penetrem em partes do ambiente de operações, do lado da TI ou da OT. Para identificar uma variedade de comportamentos suspeitos, é essencial usar três mecanismos de detecção:

   • Mapeamento e visualização do tráfego para identificar e alertar sobre tentativas de comunicação de fontes externas, além de dispositivos que não deveriam estar se comunicando entre si;

   • Detecção de anomalias para apontar padrões de tráfego que estão fora da operação regular da rede;
   • Detecção baseada em assinatura para identificar ameaças conhecidas que são usadas pelos invasores.

3. Feche as vulnerabilidades mais rápido. A maioria dos ambientes de petróleo e gás contém uma combinação de dispositivos mais antigos que não costumam ser encontrados em ambientes de TI. Com vários níveis de patches em cada tipo de dispositivo, é difícil manter um programa atualizado de gerenciamento de patches. Como os ambientes de petróleo e gás podem não ter janelas de manutenção suficientemente longas ou frequentes, as vulnerabilidades conhecidas podem deixar de receber patches por um longo período. É fundamental manter um profundo conhecimento do estado e das características de todos os dispositivos. Isso inclui uma correspondência precisa entre as condições específicas dos dispositivos e a base de conhecimento de vulnerabilidades disponível que tenha as explorações associadas. Em decorrência da natureza dinâmica dos ambientes de petróleo e gás, esses conhecimentos precisam ser mantidos em sincronia com as vulnerabilidades recém-descobertas. O Vulnerability Priority Rating (VPR) da Tenable, por exemplo, pode fornecer uma lista triada de vulnerabilidades, da mais grave à menos grave, com base em uma série de fatores, como a pontuação do Common Vulnerability Scoring System (CVSS), a severidade da vulnerabilidade, a explorabilidade etc. 


Em suma

Agora, a segurança cibernética de OT é amplamente reconhecida como um ingrediente central para garantir uma infraestrutura crítica confiável, eficiente e segura, da qual a sociedade depende. Você precisa de visibilidade completa, segurança e controle de todos os seus ativos operacionais. Nunca foi tão crítico aplicar abordagens superiores à segurança de OT no que se refere ao cumprimento das normas existentes e da diretiva do DHS recém-lançada, e como parte do dever de cuidar das nossas comunidades. As condições de ameaças em constante mudança requerem uma visibilidade situacional profunda e em tempo real, no nível da rede e dos dispositivos. A visibilidade situacional deve ser atualizada regularmente e mantida em sincronia com as vulnerabilidades, as ameaças e as lacunas recém-descobertas. Todo desvio deve ser percebido em tempo real e devidamente documentado. Registros completos de todas as mudanças no ambiente são essenciais. Capturar e manter essas informações detalhadas pode ajudar a agilizar a resposta a incidentes, destacar e priorizar vulnerabilidades recém-descobertas e demonstrar conformidade proativa internamente e com as devidas organizações de conformidade.

Saiba mais:

• Leia o blog: Ataque de ransomware à Colonial Pipeline: como reduzir o risco em ambientes de OT
• Acesse a página de soluções: Segurança cibernética industrial para proteger operações de petróleo e gás 

• Faça download da publicação técnica: Segurança cibernética de infraestrutura crítica