0
0
A infraestrutura de serviços públicos precisa urgentemente de modernização. Em muitas partes do mundo, a infraestrutura que fornece energia e água aos consumidores não está pronta para resistir a desastres naturais e à crescente demanda de energia. A integração da análise de dados em tempo real no processo de tomada de decisão é uma maneira de iniciar os esforços de modernização, mas quase uma em cada cinco concessionárias não está usando as ferramentas que possuem devido a preocupações com segurança e privacidade de dados, de acordo com o Relatório de recursos de 2022 da Itron .
Embora haja implicações de segurança a serem consideradas, renunciar à implantação de ferramentas de análise de dados não é uma solução de longo prazo para as concessionárias. Para atender às demandas dos clientes e, ao mesmo tempo, priorizar considerações de segurança e privacidade, as empresas de serviços públicos precisam buscar um programa de segurança holístico que englobe tanto os sistemas de tecnologia operacional (OT) quanto aqueles que armazenam e prestam serviços de manutenção aos dados dos clientes.
As concessionárias enfrentam complexidades únicas
A segurança cibernética é uma prioridade em todos os setores e fronteiras, mas vários fatores aumentam a complexidade do ambiente exclusivo em que as concessionárias operam. Juntamente com uma enxurrada constante de ataques, como um setor regulamentado, os serviços públicos enfrentam vários novos mandatos de conformidade e relatórios, como o Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) . Outras considerações de segurança incluem OT antigo, que pode ser difícil de atualizar e proteger, a falta de controle sobre tecnologias de terceiros e dispositivos IoT, como dispositivos domésticos inteligentes e painéis solares e, finalmente, a maior ameaça de todas: erro humano.
Esses fatores de risco exercem pressão extra sobre as concessionárias, pois um ataque bem-sucedido pode ter consequências fatais. A instância de um hacker tentando envenenar (felizmente sem sucesso) o abastecimento de água em Oldsmar, Flórida, é um exemplo que vem à mente.
Os utilitários têm muito o que enfrentar antes mesmo de adicionar análise de dados à mistura. No entanto, é interessante apontar que os consumidores estão significativamente menos preocupados com a privacidade dos dados coletados pelas concessionárias. De acordo com o Relatório de recursos de 2022 da Itron, 81% dos executivos de serviços públicos estão extremamente ou muito preocupados em garantir a privacidade dos dados do cliente. Por outro lado, menos da metade (42%) dos consumidores dizem estar extremamente ou muito preocupados com o fato de as concessionárias terem acesso aos dados de uso de energia e água para personalizar a experiência do cliente. Na verdade, muitos consumidores querem mais acesso a esses insights avançados, para que possam reduzir o uso de energia e economizar dinheiro.
Os dados indicam que a opinião do consumidor está do lado da análise de dados. Para atender às demandas dos consumidores, as concessionárias não podem permitir que preocupações mais amplas de segurança OT retardem a implantação de ferramentas de análise de dados – então, quais medidas as empresas de serviços públicos podem tomar para mitigar essas preocupações e proteger a privacidade do consumidor?
Três passos para proteger os dados
Existem três etapas principais que as concessionárias podem seguir para proteger as enormes quantidades de dados coletados para tornar a análise de dados em tempo real uma realidade. Com uma abordagem holística que abrange tanto os sistemas OT quanto aqueles que armazenam e prestam serviços aos dados do cliente, os executivos de serviços públicos podem se sentir mais confiantes ao modernizar a tecnologia.
Vamos nos aprofundar mais nessas três etapas.
1. Proteger TI e OT um do outro construindo zonas desmilitarizadas robustas (DMZ)
As zonas desmilitarizadas (DMZs) fornecem forte segmentação de rede e, para serviços públicos, uma barreira entre os ambientes de TI e OT. Isso evita que um hacker use métodos de hacking mais tradicionais para entrar na rede de TI de uma concessionária e, em seguida, ganhar uma posição no lado operacional das coisas. Além de separar ao máximo os sistemas de TI e OT, as empresas também devem buscar a máxima simplicidade em suas redes. Quanto mais complexo for um sistema, mais buracos existem na rede de TI. Atores maliciosos são especialistas em detectar e explorar essas brechas.
No entanto, como em qualquer estratégia, nada é infalível. Portanto, os utilitários devem ter um backup para detectar e conter uma infiltração e reduzir o tempo de inatividade no caso de um ataque bem-sucedido.
2. Aborde o elemento humano
Embora as precauções avançadas para sistemas e redes empresariais sejam críticas, devemos lembrar que o maior risco para a segurança cibernética sempre será o erro humano. Defesas padrão — autenticação multifator, controles de acesso baseados em função, processos de auditoria interna, filtros de spam, prevenção de macros do Microsoft Office, detecção e resposta de endpoint, soluções de prevenção contra perda de dados etc. tomar as decisões certas e mais difícil para os maus atores entrarem.
De acordo com o relatório anual Cost of a Breach da IBM , “ransomware e ataques destrutivos foram responsáveis por mais de um quarto das violações em indústrias de infraestrutura crítica”. Com essa ameaça em mente, também é aconselhável estabelecer treinamento de conscientização de segurança em toda a empresa para garantir uma cultura consciente de segurança. Os usuários finais devem estar cientes de todas as ameaças possíveis, incluindo aquelas em dispositivos domésticos.
3. Camada de defesas adicionais nos ativos direcionados mais valiosos
Comece estabelecendo uma arquitetura de confiança zero, operando sob a suposição de que nenhum usuário interno ou externo pode ser confiável. Em seguida, aplique protocolos para verificar quais dispositivos, aplicativos e usuários podem acessar redes e sistemas. Ao expor qualquer serviço à Internet, aproveite as melhores práticas do setor selecionando tecnologias comprovadas e testadas e verificadas de forma independente.
Depois que os testes de penetração e vulnerabilidade de terceiros determinam o que é mais provável de ser visado por hackers, as empresas de serviços públicos podem determinar seus ativos direcionados mais vulneráveis e valiosos e adicionar níveis extras de proteção, como criptografia ou autenticação multifator. Combine essas precauções com práticas recomendadas operacionais robustas, incluindo monitoramento abrangente e um plano estratégico de resposta a incidentes.
A mudança é difícil, mas inevitável (e benéfica)
O setor de serviços públicos enfrenta várias disrupções além de ataques cibernéticos e preocupações com a privacidade, desviando a atenção dos executivos em várias direções diferentes. Isso inclui integrar energias renováveis, acomodar veículos elétricos e se preparar para eventos climáticos extremos – tudo isso enquanto lida com os efeitos adversos de uma infraestrutura e rede envelhecidas. No entanto, é importante ressaltar que há suporte para utilitários com foco no fortalecimento de suas defesas cibernéticas. Por exemplo, a Lei de Empregos e Investimentos em Infraestrutura (IIJA) incluiu um financiamento significativo para esforços de segurança cibernética – uma grande vitória para as concessionárias de serviços públicos dos EUA.
A análise de dados provou ser um ponto crítico para as concessionárias em sua busca pela modernização. No entanto, uma vez que as preocupações com segurança cibernética sejam abordadas e as concessionárias adotem o poder da análise de dados em tempo real, a infraestrutura crítica se tornará mais confiável e resiliente. Em última análise, será o que mantém as luzes acesas e a água fluindo.
FONTE: DARK READING