A SecurityScorecard e a KPMG LLP divulgaram um novo relatório de investigação sobre cibersegurança, elaborado em co-autoria, sobre as 250 maiores empresas de energia dos EUA. Em “A Quantitative Analysis of Cyber Risks in the U.S. Energy Supply Chain” (Análise quantitativa dos riscos cibernéticos na cadeia de fornecimento de energia dos EUA), pesquisadores de segurança e profissionais do sector fornecem uma análise detalhada das vulnerabilidades de segurança cibernética em todo o sector de energia e suas cadeias de fornecimento.
Este relatório surge num momento crucial em que as entidades reguladoras a nível mundial intensificam os requisitos e iniciativas de cibersegurança para o sector energético dos EUA. Alinha-se com os esforços globais para reforçar a cibersegurança em toda a cadeia de fornecimento de energia, reflectindo os compromissos assumidos durante a cimeira do G7 de Junho de 2024 para melhorar as defesas contra a escalada das ameaças cibernéticas.
A Casa Branca acaba de convocar a quarta ronda de reuniões da Iniciativa Internacional de Combate ao Ransomware (CRI). Os 68 membros da CRI emitiram uma declaração conjunta após a reunião, que continuou “o compromisso conjunto de desenvolver uma resiliência colectiva ao ransomware”.
Paralelamente, o Departamento de Energia dos EUA está a reunir activamente os líderes do sector da energia para fazer avançar os Princípios de Cibersegurança da Cadeia de Fornecimento.
A investigação mais recente da SecurityScorecard destaca ameaças frequentes, como ataques de ransomware a sistemas de TI convencionais, que são suficientes para causar perturbações generalizadas no sector da energia.
Foi dada muita atenção aos potenciais ataques aos sistemas de controlo industrial (ICS) e à tecnologia operacional (OT), que continuarão a ser um foco de atenuação dos riscos. No entanto, à medida que a mudança para uma energia mais limpa se acelera, as vulnerabilidades do sector podem aumentar, uma vez que uma rede mais ecológica e interligada se torna cada vez mais dependente de software, tornando-a mais susceptível a ciberataques.
Ryan Sherstobitoff, Vice-Presidente Sénior de Investigação e Informações sobre Ameaças da SecurityScorecard, afirmou: “A crescente dependência do sector da energia em relação a fornecedores terceiros realça uma vulnerabilidade crítica – a sua segurança é tão forte quanto o seu elo mais fraco. A nossa investigação mostra que esta dependência crescente apresenta riscos significativos. É altura de o sector tomar medidas decisivas e reforçar as medidas de cibersegurança antes que uma violação se transforme numa emergência nacional.”
Principais conclusões
Os riscos de terceiros são desproporcionadamente elevados no sector da energia: O risco de terceiros é responsável por quase metade (45%) das violações no sector da energia. Este valor é significativamente mais elevado do que a taxa global de 29%. Além disso, 90% das empresas que sofreram várias violações foram afectadas por fornecedores terceiros.
O sector da energia dos EUA tem uma classificação média de “B” com base na metodologia de classificação da SecurityScorecard. 81% das empresas têm uma classificação A ou B, mas os restantes 19% com pontuações fracas representam um risco significativo para toda a cadeia de fornecimento.
Os fornecedores de software e de TI fora do sector da energia são a principal fonte de violações de terceiros.
Dos incidentes estudados, 67% das violações de terceiros deveram-se a fornecedores de software e de TI, sendo que apenas quatro envolveram outras empresas do sector da energia.
As empresas de petróleo e gás natural obtiveram uma pontuação muito acima da média com um “A-”, enquanto as empresas de energias renováveis ficaram para trás com uma pontuação “B-”.
92% das empresas obtiveram as pontuações mais baixas em apenas 3 dos 10 factores de risco: segurança das aplicações (40%), segurança da rede (23%) e integridade do DNS (Sistema de Nomes de Domínio) (29%).
Recomendações de cibersegurança para o sector da energia
Com base nesta análise, a equipa do SecurityScorecard STRIKE oferece informações práticas para melhorar a cibersegurança no sector da energia:
Dar prioridade aos fornecedores de software e TI: Concentrar-se na atenuação dos riscos dos fornecedores de software e TI, que representam os maiores riscos para terceiros.
Enfatizar a segurança do produto em novas aquisições: Ajudar a garantir que as novas aquisições de tecnologia são seguras, seguindo iniciativas como a “Secure by Design” da CISA e integrando os princípios de cibersegurança da cadeia de abastecimento do Departamento de Energia dos EUA.
Dar prioridade à melhoria da segurança em torno das fontes de energia renováveis: Reforçar os programas de segurança para proteção contra potenciais riscos da cadeia de abastecimento e ameaças geopolíticas, especialmente de Estados-nação.
Preparar-se para perturbações e equilibrar outros riscos: Preparar-se para perturbações sem negligenciar o risco generalizado de violações de dados e outras ameaças cibernéticas comuns.
Aprender com os ataques a alvos estrangeiros: Obtenha informações valiosas estudando os ataques de ransomware a homólogos estrangeiros para melhorar a resiliência e as defesas de cibersegurança.
Prasanna Govindankutty, Diretor, Líder do Setor da Cibersegurança nos EUA, na KPMG, afirmou: “O sector da energia é um sistema complexo que está a passar por uma transição geracional com uma forte dependência de uma cadeia de abastecimento estável. Com o aumento das ameaças geopolíticas e tecnológicas, este sistema complexo está a enfrentar uma exposição ao risco igualmente geracional que pode prejudicar os cidadãos e as empresas.
