Maioria das empresas do setor energético considera cibersegurança uma prioridade

A SIA, empresa do grupo Indra, apresentou os resultados do seu Barómetro de Cibersegurança OT de 2023. O relatório revela que ainda há espaço para melhorar nos setores da Indústria e Consumo e Energia no que toca à proteção dos ambientes operacionais. Ainda assim, as empresas de Energia (84%) estão mais conscientes da importância de ter um roteiro onde a segurança nestes ambientes seja uma prioridade, comparativamente a 46% das empresas da Indústria e Consumo, que também consideram esta estratégia importante, mas contemplam o desenvolvimento de um plano nesta área num futuro próximo.

A transformação digital favorece a abertura dos ambientes de Tecnologia Operacional (OT), conectando os seus ativos ao ambiente das Tecnologias da Informação, à Internet ou à Cloud, para, acima de tudo, melhorar a sua produtividade e eficiência. Esta combinação traz consigo inúmeros benefícios, mas também deixa vulnerabilidades visíveis e aumenta os níveis de risco de cibersegurança. 

Através deste barómetro, foi avaliado o nível de maturidade em cibersegurança de OT de um grupo de empresas representativas dos setores de Energia, Indústria e Consumo em Portugal e Espanha. O relatório foi realizado através de entrevistas pessoais a profissionais com perfis de gestão e experts. A análise revela o estado atual da cibersegurança e os planos para os próximos dois anos nesta área e setores.

A cibersegurança de OT é relevante na estratégia de 84% das empresas de Energia, cuja gestão de topo está comprometida com este tema. Além disso, 68% das empresas afirma ter o talento especializado necessário para implementá-la e executá-la, mas pouco menos de metade incorporou um CISO dedicado exclusivamente à OT.

O barómetro destaca que todas as empresas de energia seguem as boas práticas definidas pelos regulamentos de segurança internacionais e específicos do setor, sendo que 76% também definiu a sua própria estratégia de cibersegurança de OT no que diz respeito ao cumprimento do quadro de controlo e análise de referência de riscos específicos. Por outro lado, 53% utiliza soluções avançadas de proteção de ativos digitais e 69% dispõe de ferramentas automáticas para realizar o inventário. E, tal como acontece com nos setores de Indústria e Consumo, a maioria das empresas de energia (84%) está empenhada em controlar o seu acesso digital no ambiente operacional com MFA.

Por outro lado, um dos desafios na Energia é o de se colocar maior foco no controlo de acesso a centrais ou instalações (85% não aplica medidas avançadas nesse âmbito) que, tal como as medidas digitais, também impacta a proteção da empresa. Além disso, assim como no setor industrial, é necessária maior frequência em testes de intrusão em sistemas OT e redes industriais, e na integração de mecanismos e tecnologias avançadas na deteção de ameaças.

A cibersegurança “continua a ser uma área estratégica que deve ganhar maior força nestas empresas para que atinjam um nível ótimo de proteção”, refere Roberto Espina CEO da SIA, acrescentando ainda que “o desafio é evoluir rumo ao paradigma da Organização Protegida no âmbito operacional; algo que requer uma abordagem especializada e abrangente para cobrir a procura por um ambiente de produção resiliente no espaço cibernético: compreender e aplicar a cibersegurança na conceção, implementação e operação de qualquer projeto”.

Embora a cibersegurança de OT seja uma área que ainda conta com espaço para melhorias nas empresas que participaram do estudo, a Indústria e Consumo apresenta uma margem maior em relação ao setor da Energia. No entanto, o compromisso futuro das empresas industriais na cibersegurança da OT é mais firme, pois, embora a maioria não a tenha hoje como prioridade na sua estratégia, quase metade (46%) dos entrevistados prevê a sua promoção e desenvolvimento entre 2023 e 2025.

Por outro lado, apenas um quarto das empresas aplica boas práticas de cibersegurança definidas por regulamentos internacionalmente reconhecidos e específicos do setor, e a maioria não cumpre a análise de riscos específicos do ecossistema de OT (93%). Além disso, apenas 24% conta com programas específicos de conscientização sobre cibersegurança no ambiente operacional. No que diz respeito à proteção de ativos digitais, apenas 23% tem ferramentas avançadas para realizá-la na área de OT, embora, na gestão de identidades, os resultados sejam um pouco mais favoráveis, com a gestão de contas privilegiadas como uma questão pendente. Além disso, o controlo de acesso digital com MFA (Multi Factor Authentication) está presente em 61% das organizações.

Em geral, o maior desafio para o setor é a definição de um roteiro que permita fazer grandes avanços para aumentar as competências na área de cibersegurança de OT. Um salto necessário é também a introdução de técnicas e tecnologias avançadas na deteção de ameaças, como AI, UEBA, Red Team ou Blue Team. Da mesma forma, é necessário aumentar a frequência com que são realizados testes de penetração para garantir uma resposta mais eficaz e eficiente.