El pasado 6 y 7 de mayo se registró uno de los incidentes más grandes de ciberseguridad en la industria de los hidrocarburos en la historia reciente: Colonial Pipeline, a cargo de la línea de distribución de combustible más importante en la Costa Este de Estados Unidos, quedó paralizada por un ciberataque.

Desde entonces, el tema de la ciberseguridad en el segmento de oil & gas ha ido escalando en importancia. Reportes posteriores sobre los detalles del incidente revelan qué tan desprotegida estaba la compañía, mientras que las acciones recientes de la Casa Blanca muestran qué tan en serio se está tomando el peligro de futuros incidentes a nivel gobierno.

Sin embargo, lo cierto es que los ciberataques en el segmento de hidrocarburos no son nada nuevo. De acuerdo con un estudio liderado por la Universidad del Egeo, Grecia, que examinó ciberataques a la industria de oil & gas desde los 90 y hasta 2020, se han registrado incidentes desde hace al menos tres décadas. Y entre las tendencias que están ganando tracción, está el uso del phishing, ataques mediante malware y el aprovechamiento de dispositivos comprometidos.

No solo eso, sino que desde inicios de la década pasada, de acuerdo con Parsons, justamente la industria del petróleo figuraba como la segunda más afectada por incidentes de ciberseguridad, solo por debajo del segmento de energía y servicios (que también tiene una fuerte relación con el sector de hidrocarburos).

Una estrategia de respuesta integral en ciberseguridad

Según el mismo estudio de Parsons, la protección de las operaciones en el sector hidrocarburos es particularmente retadora porque hay múltiples puntos vulnerables en la cadena de valor. Así como se pueden atacar directamente las pipas de distribución de combustible, también están expuestas las actividades de exploración y producción, los datos de la organización, las refinerías y hasta su infraestructura de telecomunicaciones y soporte.

En este sentido, es necesario un enfoque integral, específico para las empresas de hidrocarburos, que les permita responder a los retos de ciberseguridad en el ecosistema. El Foro Económico Mundial (WEF) produjo recientemente un reporte donde delinea seis principios básicos y cómo se deben de implementar para obtener una protección adecuada ante los ciberataques:

Gobernanza ciber-resiliente: Es importante que desde las esferas más altas de la operación en el sector hidrocarburos se establezcan planes para proteger la organización de ciberataques. Entre los pasos básicos que este enfoque requiere, está definir un sistema de vigilancia de amenazas en cada vertical, dar adecuado nivel de autoridad y recursos a los oficiales encargados de la defensa de la compañía, así como establecer una cultura generalizada de buenas prácticas en cada nivel.

Resiliencia por diseño: Este principio se refiere a que la ciberseguridad debe estar considerada en cada proceso y actividad de la compañía desde un inicio, no como un aditamento posterior. En este sentido, es crucial definir métricas de ciberseguridad para cada unidad de negocio, establecer reportes de incidentes recurrentes entre los oficiales, establecer programas de concientización entre el grueso del equipo de trabajo y crear mecanismos de cooperación en caso de incidentes.

Responsabilidad corporativa en ciberseguridad: Es necesario que los líderes de la compañía tomen un papel activo en la evaluación de riesgos de ciberseguridad, como ya lo hacen en otros aspectos. Esto incluye, además de la cooperación entre unidades de negocio interna, establecer planes de supervisión, retroalimentación y respuesta con proveedores y socios externos. Asimismo, se deberían definir planes de resiliencia con soluciones offline en caso de emergencia.

Una gestión del riesgo holística: Para tener buenos resultados en los esfuerzos de ciberseguridad, se deben de proporcionar recursos, fondos y sistemas de responsabilidad proporcionales a lo largo de la organización. Para eso hay que tener una evaluación completa de los posibles riesgos de ciberseguridad a lo largo de la cadena de valor. También es importante discutir con las unidades de negocio o proveedores pertinentes cuál es el grado de riesgo aceptable para cada actividad.

Colaboración a nivel ecosistema: Cuando un eslabón de la cadena es más débil que el resto, en general eso significa un nivel de riesgo acentuado para todos. Lo anterior no solo aplica para una empresa en particular y su cadena de valor, sino para toda la industria de oil & gas. En este sentido, es crucial que las compañías del sector impulsen activamente la creación de reglas, estándares y programas de cooperación entre rivales y aliados para fortalecerse todos juntos.

Resiliencia a nivel ecosistema: Si bien muchos ciberataques parten de fallas o vulnerabilidades que afectan a una única empresa, la interconexión entre organizaciones y sistemas a escala global es cada vez más evidente. En este sentido, es importante que los planes de vigilancia, resiliencia y respuesta también tomen en consideración fallas del tipo estructural. Esto incluye también el monitoreo de indicadores y el rendimiento del ecosistema como un todo.

‍