Introducción
En un mundo cada vez más
interconectado, con sobrecarga de información y mayores exigencias de
eficiencia en la aplicación de modelos de generación de valor, las empresas
acuden a los referentes tecnológicos para apalancar los mismos y obtener cada
vez más utilidades, a menores costos.
Esta marcada tendencia de
maximizar las utilidades, exigiendo la mayor eficiencia tecnológica,
necesariamente requiere niveles de inversión altos que permitan contar cada vez
más con operaciones integradas, simplificadas y alineadas con las demandas de
los mercados, su tiempo de reacción frente a las oportunidades y una alta
sensibilidad a los cambios del entorno.
En este sentido, las
organizaciones digitalmente integradas, mantienen un flujo de información
permanente entre sus grupos de interés, los mercados y sus necesidades
internas, que necesariamente les permite estar atentas a las tendencias y
alteraciones de patrones de negocio para anticiparse y mantener una posición
privilegiada en su entorno.
Si bien lo anterior, es una
clara ventaja competitiva que las organizaciones modernas deben desarrollar, es
preciso comprender que en un contexto abierto e interconectado la información
se ve expuesta a múltiples amenazas y escenarios de vulnerabilidad, lo cual
requiere una revisión detallada, toda vez, que ésta es ahora uno de los activos
más sensibles y críticos que puede o no comprometer el futuro de una empresa.
En este entendido, la industria
de petróleo y gas, no es ajena a este tipo de escenarios, como quiera que sus
operaciones están apalancadas en sistemas de monitoreo y control remotos,
aplicaciones propietarias de grandes prestadores de servicios de la industria y
ahora, un amplio espectro de operaciones integradas donde las redes de datos y
comunicaciones hacen parte inherente de la cadena de suministro propia de un
negocio de alto riesgo y muchas coordinación.
Por tanto, este documento
plantea un breve análisis de escenarios emergentes de vulnerabilidad propios de
la industria de petróleo y gas, como una excusa académica para continuar
aprendiendo del proceso de automatización y control de esta industria, donde la
información fluye desde el campo de producción, hasta la consolidación en los
sistemas de información corporativos, donde la reserva de crudo se hace
realidad en una cuenta contable.
El campo de petróleo digital
De acuerdo con STEINHUBL y KLIMCHUK (2008) un campo
petrolero digital es un conjunto de tecnologías interactivas y complementarias
que le permiten a las empresas reunir y analizar datos desde el sitio de
trabajo. Esto incluye “pozo inteligentes”, que tienen sensores de fibra óptica
enterrados con el aparato de perforación, controlados manualmente por los
operadores en la superficie o automáticamente a través de los sistemas de
información cerrados para este fin. Estos sensores transmiten un flujo
constante de datos sobre el pozo y su entorno, permitiendo a los operadores
responder a las circunstancias cambiables en tiempo real.
En
este sentido, los autores mencionados anotan que la supervisión de este tipo de
sistemas digitales requiere un nuevo tipo de ingeniero y técnico, que no sólo
tenga experiencia operacional significativa, sino capacidad de análisis para
comparar los datos procedentes de múltiples fuentes y discernir las relaciones
entre estos elementos de información de manera rápida y precisa.
En consecuencia con lo
anterior, la industria del petróleo y gas avanza rápidamente en el mundo de la
gestión de la información como competencia básica para el desarrollo y control
de las operaciones y por lo tanto, como factor clave para soportar nuevos
activos estratégicos que permitan consolidar hallazgos y fuentes de nuevos
hidrocarburos para mantener en balance la ecuación de energía global, tan
altamente dependiente de los combustibles derivados de los fósiles.
Así las cosas, la información
y su adecuado tratamiento no es una opción en la industria petrolera, sino un
mandato claro del negocio, que busca asegurar y proteger activos claves que
representan interpretaciones, reservas, análisis o nuevas estrategias de
consolidación de datos, que deben mantener un esquema de seguridad y control
que balancee la necesidad del negocio parar tener acceso a la información y las
condiciones de protección requeridas para limitar la pérdida o fuga de la
información.
Como quiera que esta realidad
de la seguridad de la información es relevante para la industria del petróleo, se
hace necesario contar con prácticas sencillas y efectivas que se articulen con
la operación diaria y constante que exige los procesos asociados con la cadena
productiva petrolera. Esto es, prácticas que demanden comportamientos
verificables por parte de los operadores y funcionarios en el tratamiento de la
información, así como tecnología de información de apoyo que soporten la
aplicación de éstas.
El campo de petróleo digital
es la manera de advertir el nivel de exposición que cada vez más adquiere la
industria minera de hidrocarburos, dada su alta dependencia de la tecnología de
información, la transmisión de datos de la operación y la consolidación y
análisis de grandes volúmenes de datos que son necesarios para revelar nuevos
patrones de referencia que muestren caminos alternos para la incorporación de
nuevas reservas.
La revolución digital en la industria de petróleo y
gas: ¿ventaja o pesadilla?
Los especialistas de la
industria de petróleo y gas YUAN, MAHDAVI y PAUL (2011) advierten de un proceso
masivo de automatización que la expone rápidamente a amenazas tecnológicas y de
información concretas que pueden impactar de manera negativa su operación y
reputación, toda vez que la apertura del sector hacia un mundo interconectado y
basado referentes abierto, requiere una preparación base, para extender el
modelo de protección hasta el momento vigente, por uno que proporciona
variables que aún es preciso comprender.
Los sistemas de supervisión y
control remota, como son los SCADA, se manifiestan como la primera puerta de
entrada a la operación de infraestructura crítica propia de la industria
petrolera, los cuales hasta hace unos años no aparecían en el concierto
internacional como objetivos claves de los atacantes o intrusos.
En este momento, con una
clara digitalización de los procesos industriales de la cadena de operación de
petróleo y gas, la apertura de los mismos hacia redes IP estándares y la
necesidad de una operación que permita la movilidad y el monitoreo remoto,
dichos sistemas se convierten en blancos estratégicos altamente sensibles donde
la toma de control de los mismos, si bien no represente per se una conquista
económica, si materializa una amenaza de seguridad nacional frente a la
distribución de combustibles o compromiso de instalaciones de refinación o
investigación en hidrocarburos.
Las razones de la vulnerabilidad
de estos sistemas anotan los especialistas son:
• Los parches de seguridad no se actualizan en el momento oportuno debido a la reticencia para interrumpir las operaciones.
• Las evaluaciones de
vulnerabilidad no son forma rutinaria para evitar la interrupción
a la producción.
a la producción.
• En un esfuerzo por reducir costos,
la red de los sistemas SCADA es compartida con la red corporativa, exponiendo
igualmente el entorno de operaciones a las amenazas informáticas tradicionales.
En razón con lo anterior, este
nuevo panorama de una mayor ciberpresencia y la exposición que esto implica
para la operación, debe llevar a tanto a los ingenieros de producción como a
sus homólogos de tecnología de información a ser más conscientes de los riesgos
propios de un contexto altamente conectado, donde se comparte información en
cualquier lugar y en cualquier momento, para insistir en el desarrollo de una
cultura de protección de la información fundada en operaciones confiables y no
en restricciones que limiten las posibilidades de una operación fluida y
eficiente.
En este entorno, las personas
se vuelven el activo fundamental que debe ser entrenado y protegido, frente a
los engaños y acciones no autorizadas que son propias de los interesados que
buscan desequilibrar la tranquilidad de los mercados petroleros, bien robando
información privilegiada de interpretaciones y análisis sísmicos vendiéndola al
mejor postor, o utilizando las expectativas de los grandes jugadores para crear
amenazas persistentes avanzadas, que comprometan la integridad de la
información de los participantes del mercado creando una sensación de
inestabilidad donde unos se benefician y otros son desfavorecidos.
Amenazas informáticas en la industria de petróleo y
gas
De acuerdo con HAMAD (2012),
las amenazas informáticas representadas en ciber ataques son una de las muchas
tendencias que configuran tanto el gasto como la inversión en tecnologías de
información. En este sentido, los analistas de Forrester Research identifican
al menos cuatro focos de inversión en tecnología de información en la industria
de petróleo y gas a saber:
Gestión de la información. Las compañías de petróleo y gas están en constante búsqueda de herramientas de gestión de la información para aumentar la utilización de la experiencia de sus empleados actuales y establecer nuevas formas de analizar la información propia de su operación y de la sísmica realizada, para avanzar en el programa de incorporación de reservas para la empresa.
Análisis de computación de alto rendimiento y avanzada. Con el incremento constante de información, las compañías de petróleo y gas continúan invirtiendo en computación de alto rendimiento y tecnologías avanzadas de análisis, con la velocidad y la confiabilidad como criterios principales. Grandes procesamientos de datos para advertir nuevos patrones y formas novedosas que les permitan una tasa de mayor probabilidad de éxito de nuevos hallazgos.
Proyectos de optimización de la cadena de suministro. La naturaleza distribuida de los activos del sector ha llevado a las empresas a aprovechar la tecnología para mejorar la información y la integración de procesos donde sea posible. Esto implica comprender las ecuaciones de energía, costos, uso eficiente de las comunicaciones, integración de plataformas, como factores que impactan la ecuación general de costos por barril tratado.
Proyectos petroquímicos. Como parte de una estrategia de alcance regional para diversificar la economía y contar con un proceso de diversificación de productos que permita movilizar el margen de la utilidad en proceso de refinación más allá de la optimización de las plantas. Esto requiere inversiones en tecnologías de información que apalanquen estudios y análisis más elaborados para contar con productos innovadores y de altas especificaciones.
Cada una de estas iniciativas
tiene en sí misma la esencia de la inseguridad de la información representada
en amenazas de pérdida o fuga de información, la cuales como anotan los
analistas de Forrester, son cada vez más sofisticados, ya no solo orientado a
los sistemas SCADA sino a penetrar las redes corporativas, preferiblemente
desde dentro, a través de código
malicioso diseñado para robar información sensible y de alto valor competitivo,
como pueden ser diseños o activos geológicos de interpretaciones, que puedan
causar bien una pérdida económica importante para la empresa, la pérdida de
disponibilidad de los servicios claves de la operación o el compromiso de
secretos industriales que permiten una posición clave en un mercado tan
estandarizado como este.
Un ciber ataque reciente. La experiencia de Saudi Aramco.
Saudi Aramco es una de la petroleras
más grandes del mundo, el pasado 15 de agosto de 2012, sufrió un ataque
informático de proporciones importantes que impactó su operación por doce días.
Durante estos días en la página principal de la petrolera se advertía que
efectivamente fueron objeto de un código malicioso que comprometió parte de los
computadores de la red interna y que no se habían afectado los sistemas de
información clave de la compañía.
Siguiendo los avances
informativos de los principales diarios del mundo, que calificaron de un ciber
ataque importante a una de las instalaciones más relevantes de la industria del
petróleo, se pudo establecer que el virus detectado dentro de la
infraestructura de la petrolera, supuestamente fue insertado a través de una
USB conectada en un computador interno de la compañía por parte de un empleado
de Aramco, cuya identidad permanece en reserva. (RILEY y ENGLEMAN 2012)
Así las cosas, si bien la
empresa petrolera cuenta con una infraestructura y perímetro de seguridad
amplio, perfectamente vigilado y asegurado, queda claro, de confirmarse la
noticia, que al interior de la compañía las prácticas de seguridad y control,
las verificaciones del cumplimiento de procedimientos y protocolos de
tratamiento de información, requieren una revisión y análisis para comprender los
comportamiento de las personas frente a la información y la forma como éstas se
vuelven más resistentes a los engaños y estrategias de manipulación o
inteligencia informática que puedan materializar un escenario de amenaza
persistente avanzada.
Anota el artículo de bloomberg
(idem), que la persona identificada en la organización no tenía las habilidades
o el acceso para penetrar las instalaciones de la operación de petróleo, lo que
habría sido más devastador, toda vez que como lo hemos anotado previamente,
cada vez más se tiene mayor visibilidad de las redes propias de las plantas en
el contexto de las redes corporativas.
El ataque a Saudi Aramco nos
deja algunas lecciones aprendidas como son:
- Es muy difícil saber qué tipo de ataques tienen un impacto relevante para la infraestructura crítica petrolera, como quiera que estos, se materializan en acciones informáticas comunes basada en códigos malicioso, engaños o inteligencia informática avanzada.
- Es más exigente efectuar un ejercicio de protección de información de adentro hacia afuera de la organización, que de afuera hacia adentro. Habida cuenta de lo anterior, el factor humano se constituye en el riesgo estratégico más relevante de la empresa, dada su participación en el tratamiento de la información en la empresa.
- Existen organizaciones especializadas en desarrollar engaños sofisticados avanzados que son capaces de conocer las expectativas de los empleados de una empresa, como fuente para elaborar y materializar ataques de robos de información y/o pérdida de disponibilidad.
Retos de la inseguridad de la información en la
industria de petróleo y gas
El analista BYRES (2012) considerando
las amenazas propias de los sistemas SCADA, formula una serie de
recomendaciones para hacer menos vulnerables este tipo de sistemas, que bien se
podrían aplicar de manera general para las operaciones de la industria del
petróleo y gas. Siguiendo este razonamiento, parafraseamos sus indicaciones de
la siguiente forma:
- Considere las diferentes formas de infección y cuente con estrategias para la gestión de cada una de ellas. No se centre solamente en lo natural como el firewall o las llaves USB.
- Evite tener un único punto de falla. Subdivida y construya una estrategia de defensa por zonas, que permitan ante un compromiso de seguridad aislar y contener la falla.
- Efectúe una inspección profunda de sus controles de tecnología de información en los puntos críticos de su operación. Si encuentra que los mismos no se están cumpliendo se incrementa la probabilidad de la inevitabilidad de la falla.
- Asegure primero los sistemas de misión crítica y los asociados con cumplimiento normativo.
- Efectúe evaluaciones de seguridad periódicas que permitan ver nuevos puntos de vulnerabilidad y oportunidades de mejora de la infraestructura tecnológica de seguridad.
- Desarrolle, asegure y evalúe la cultura de seguridad de la información, que permita construir un referente interno de la empresa de protección de la información que cubra desde el operador de la planta hasta la junta directiva.
- Clasifique los activos de información de la empresa que sean relevantes en su orden (menor importancia (1) a mayor importancia (4)) para:
o
1. La operación
transaccional
o
2. La gestión,
análisis e interpretación de la información
o
3. La operación
de la infraestructura de tecnología de información
o
4. La formulación
estratégica de la empresa
En este sentido, los retos de
la seguridad de la información en la industria de petróleo y gas se articulan
más desde el ciclo de vida de la información y su aseguramiento que desde la
esencia misma del campo de petróleo digital. Esto es, que en el ejercicio de
aseguramiento de la infraestructura tecnológica y de seguridad informática, se
deben conocer los flujos de información que transitan en la arquitectura
computacional que soporta la operación.
Mientras más detallado sea el
mapa de información que se conozca en los procesos de la cadena integrada de la
industria, mejor será el ejercicio de identificación y diagnóstico de riesgos de
seguridad de la información, toda vez que un efectivo gobierno de la seguridad
de la información requiere no sólo la declaración natural de la información
como un activo, sino la prácticas consciente de las personas para efectuar un
tratamiento de la información acorde con el contexto y las circunstancias de la
operación.
No podemos olvidar que en una
industria tan distribuida como la de petróleo y gas debemos articular los
esfuerzos en cada uno de sus puntos de operación, como quiera que la
ciberdelincuencia en su modelo de negocio no requiere mayores inversiones para
avanzar con eficiencia en sus objetivos, cuenta con una economía subterránea
basada en un mercado siempre demandante de información privilegiada y con
agentes que construyen sus propias reglas para ataques coordinados,
persistentes y avanzados.
Finalmente, si bien contamos
con importante avances en seguridad y control en la industria de petróleo y
gas, éstos no son garantía de una operación confiable y eficiente en un
contexto como el actual. Por tanto, la alta gerencia de éstas empresas debe
mantener un seguimiento cercano de las nuevas amenazas informáticas como
ejercicio proactivo que proteja el valor de los activos propios de la industria
y asegure el cumplimiento de las expectativas para todos sus grupos de interés.
Referencias
BYRES, E. (2012) Next generation cyber attacks target oil and gas scada.
Pipeline and gas Journal. Vol.239.
No. 10. Octubre. Disponible en: http://pipelineandgasjournal.com/next-generation-cyber-attacks-target-oil-and-gas-scada?page=show (Consulta:
5-11-2012)
HAMAD, S. (2012) Cyberattacks Continue To Hit The Oil And Gas Sector In The Middle East. Blog Forrester. Septiembre. Disponible en: http://blogs.forrester.com/summer_hamad/12-09-19-cyberattacks_continue_to_hit_the_oil_and_gas_sector_in_the_middle_east (Consulta: 5-11-2012)
RILEY, M. y ENGLEMAN, E. (2012) Code in Aramco cyber attack indicates
lone perpretator. Disponible en: http://www.bloomberg.com/news/2012-10-25/code-in-aramco-cyber-attack-indicates-lone-perpetrator.html
(Consulta: 5-11-2012)
Muy interesante tu artículo. Muchas gracias!
ResponderEliminar