lunes, 5 de noviembre de 2012

Inseguridad de la información en la industria de petróleo y gas. Amenazas y retos emergentes



Introducción

En un mundo cada vez más interconectado, con sobrecarga de información y mayores exigencias de eficiencia en la aplicación de modelos de generación de valor, las empresas acuden a los referentes tecnológicos para apalancar los mismos y obtener cada vez más utilidades, a menores costos.

Esta marcada tendencia de maximizar las utilidades, exigiendo la mayor eficiencia tecnológica, necesariamente requiere niveles de inversión altos que permitan contar cada vez más con operaciones integradas, simplificadas y alineadas con las demandas de los mercados, su tiempo de reacción frente a las oportunidades y una alta sensibilidad a los cambios del entorno.

En este sentido, las organizaciones digitalmente integradas, mantienen un flujo de información permanente entre sus grupos de interés, los mercados y sus necesidades internas, que necesariamente les permite estar atentas a las tendencias y alteraciones de patrones de negocio para anticiparse y mantener una posición privilegiada en su entorno.

Si bien lo anterior, es una clara ventaja competitiva que las organizaciones modernas deben desarrollar, es preciso comprender que en un contexto abierto e interconectado la información se ve expuesta a múltiples amenazas y escenarios de vulnerabilidad, lo cual requiere una revisión detallada, toda vez, que ésta es ahora uno de los activos más sensibles y críticos que puede o no comprometer el futuro de una empresa.

En este entendido, la industria de petróleo y gas, no es ajena a este tipo de escenarios, como quiera que sus operaciones están apalancadas en sistemas de monitoreo y control remotos, aplicaciones propietarias de grandes prestadores de servicios de la industria y ahora, un amplio espectro de operaciones integradas donde las redes de datos y comunicaciones hacen parte inherente de la cadena de suministro propia de un negocio de alto riesgo y muchas coordinación.

Por tanto, este documento plantea un breve análisis de escenarios emergentes de vulnerabilidad propios de la industria de petróleo y gas, como una excusa académica para continuar aprendiendo del proceso de automatización y control de esta industria, donde la información fluye desde el campo de producción, hasta la consolidación en los sistemas de información corporativos, donde la reserva de crudo se hace realidad en una cuenta contable.

El campo de petróleo digital

De acuerdo con STEINHUBL y KLIMCHUK (2008) un campo petrolero digital es un conjunto de tecnologías interactivas y complementarias que le permiten a las empresas reunir y analizar datos desde el sitio de trabajo. Esto incluye “pozo inteligentes”, que tienen sensores de fibra óptica enterrados con el aparato de perforación, controlados manualmente por los operadores en la superficie o automáticamente a través de los sistemas de información cerrados para este fin. Estos sensores transmiten un flujo constante de datos sobre el pozo y su entorno, permitiendo a los operadores responder a las circunstancias cambiables en tiempo real.

En este sentido, los autores mencionados anotan que la supervisión de este tipo de sistemas digitales requiere un nuevo tipo de ingeniero y técnico, que no sólo tenga experiencia operacional significativa, sino capacidad de análisis para comparar los datos procedentes de múltiples fuentes y discernir las relaciones entre estos elementos de información de manera rápida y precisa.

En consecuencia con lo anterior, la industria del petróleo y gas avanza rápidamente en el mundo de la gestión de la información como competencia básica para el desarrollo y control de las operaciones y por lo tanto, como factor clave para soportar nuevos activos estratégicos que permitan consolidar hallazgos y fuentes de nuevos hidrocarburos para mantener en balance la ecuación de energía global, tan altamente dependiente de los combustibles derivados de los fósiles.

Así las cosas, la información y su adecuado tratamiento no es una opción en la industria petrolera, sino un mandato claro del negocio, que busca asegurar y proteger activos claves que representan interpretaciones, reservas, análisis o nuevas estrategias de consolidación de datos, que deben mantener un esquema de seguridad y control que balancee la necesidad del negocio parar tener acceso a la información y las condiciones de protección requeridas para limitar la pérdida o fuga de la información.

Como quiera que esta realidad de la seguridad de la información es relevante para la industria del petróleo, se hace necesario contar con prácticas sencillas y efectivas que se articulen con la operación diaria y constante que exige los procesos asociados con la cadena productiva petrolera. Esto es, prácticas que demanden comportamientos verificables por parte de los operadores y funcionarios en el tratamiento de la información, así como tecnología de información de apoyo que soporten la aplicación de éstas.

El campo de petróleo digital es la manera de advertir el nivel de exposición que cada vez más adquiere la industria minera de hidrocarburos, dada su alta dependencia de la tecnología de información, la transmisión de datos de la operación y la consolidación y análisis de grandes volúmenes de datos que son necesarios para revelar nuevos patrones de referencia que muestren caminos alternos para la incorporación de nuevas reservas.

La revolución digital en la industria de petróleo y gas: ¿ventaja o pesadilla?

Los especialistas de la industria de petróleo y gas YUAN, MAHDAVI y PAUL (2011) advierten de un proceso masivo de automatización que la expone rápidamente a amenazas tecnológicas y de información concretas que pueden impactar de manera negativa su operación y reputación, toda vez que la apertura del sector hacia un mundo interconectado y basado referentes abierto, requiere una preparación base, para extender el modelo de protección hasta el momento vigente, por uno que proporciona variables que aún es preciso comprender.

Los sistemas de supervisión y control remota, como son los SCADA, se manifiestan como la primera puerta de entrada a la operación de infraestructura crítica propia de la industria petrolera, los cuales hasta hace unos años no aparecían en el concierto internacional como objetivos claves de los atacantes o intrusos.

En este momento, con una clara digitalización de los procesos industriales de la cadena de operación de petróleo y gas, la apertura de los mismos hacia redes IP estándares y la necesidad de una operación que permita la movilidad y el monitoreo remoto, dichos sistemas se convierten en blancos estratégicos altamente sensibles donde la toma de control de los mismos, si bien no represente per se una conquista económica, si materializa una amenaza de seguridad nacional frente a la distribución de combustibles o compromiso de instalaciones de refinación o investigación en hidrocarburos.

Las razones de la vulnerabilidad de estos sistemas anotan los especialistas son:

• Los parches de seguridad no se actualizan en el momento oportuno debido a la reticencia para interrumpir las operaciones.
• Las evaluaciones de vulnerabilidad no son forma rutinaria para evitar la interrupción
a la producción.
• En un esfuerzo por reducir costos, la red de los sistemas SCADA es compartida con la red corporativa, exponiendo igualmente el entorno de operaciones a las amenazas informáticas tradicionales.

En razón con lo anterior, este nuevo panorama de una mayor ciberpresencia y la exposición que esto implica para la operación, debe llevar a tanto a los ingenieros de producción como a sus homólogos de tecnología de información a ser más conscientes de los riesgos propios de un contexto altamente conectado, donde se comparte información en cualquier lugar y en cualquier momento, para insistir en el desarrollo de una cultura de protección de la información fundada en operaciones confiables y no en restricciones que limiten las posibilidades de una operación fluida y eficiente.

En este entorno, las personas se vuelven el activo fundamental que debe ser entrenado y protegido, frente a los engaños y acciones no autorizadas que son propias de los interesados que buscan desequilibrar la tranquilidad de los mercados petroleros, bien robando información privilegiada de interpretaciones y análisis sísmicos vendiéndola al mejor postor, o utilizando las expectativas de los grandes jugadores para crear amenazas persistentes avanzadas, que comprometan la integridad de la información de los participantes del mercado creando una sensación de inestabilidad donde unos se benefician y otros son desfavorecidos.

Amenazas informáticas en la industria de petróleo y gas

De acuerdo con HAMAD (2012), las amenazas informáticas representadas en ciber ataques son una de las muchas tendencias que configuran tanto el gasto como la inversión en tecnologías de información. En este sentido, los analistas de Forrester Research identifican al menos cuatro focos de inversión en tecnología de información en la industria de petróleo y gas a saber:

Gestión de la información. Las compañías de petróleo y gas están en constante búsqueda de herramientas de gestión de la información para aumentar la utilización de la experiencia de sus empleados actuales y establecer nuevas formas de analizar la información propia de su operación y de la sísmica realizada, para avanzar en el programa de incorporación de reservas para la empresa.

Análisis de computación de alto rendimiento y avanzada. Con el incremento constante de información, las compañías de petróleo y gas continúan invirtiendo en computación de alto rendimiento y tecnologías avanzadas de análisis, con la velocidad y la confiabilidad como criterios principales. Grandes procesamientos de datos para advertir nuevos patrones y formas novedosas que les permitan una tasa de mayor probabilidad de éxito de nuevos hallazgos.

Proyectos de optimización de la cadena de suministro. La naturaleza distribuida de los activos del sector ha llevado a las empresas a aprovechar la tecnología para mejorar la información y la integración de procesos donde sea posible. Esto implica comprender las ecuaciones de energía, costos, uso eficiente de las comunicaciones, integración de plataformas, como factores que impactan la ecuación general de costos por barril tratado.

Proyectos petroquímicos. Como parte de una estrategia de alcance regional para diversificar la economía y contar con un proceso de diversificación de productos que permita movilizar el margen de la utilidad en proceso de refinación más allá de la optimización de las plantas. Esto requiere inversiones en tecnologías de información que apalanquen estudios y análisis más elaborados para contar con productos innovadores y de altas especificaciones.

Cada una de estas iniciativas tiene en sí misma la esencia de la inseguridad de la información representada en amenazas de pérdida o fuga de información, la cuales como anotan los analistas de Forrester, son cada vez más sofisticados, ya no solo orientado a los sistemas SCADA sino a penetrar las redes corporativas, preferiblemente desde dentro,  a través de código malicioso diseñado para robar información sensible y de alto valor competitivo, como pueden ser diseños o activos geológicos de interpretaciones, que puedan causar bien una pérdida económica importante para la empresa, la pérdida de disponibilidad de los servicios claves de la operación o el compromiso de secretos industriales que permiten una posición clave en un mercado tan estandarizado como este.

Un ciber ataque reciente. La experiencia de Saudi Aramco.

Saudi Aramco es una de la petroleras más grandes del mundo, el pasado 15 de agosto de 2012, sufrió un ataque informático de proporciones importantes que impactó su operación por doce días. Durante estos días en la página principal de la petrolera se advertía que efectivamente fueron objeto de un código malicioso que comprometió parte de los computadores de la red interna y que no se habían afectado los sistemas de información clave de la compañía.

Siguiendo los avances informativos de los principales diarios del mundo, que calificaron de un ciber ataque importante a una de las instalaciones más relevantes de la industria del petróleo, se pudo establecer que el virus detectado dentro de la infraestructura de la petrolera, supuestamente fue insertado a través de una USB conectada en un computador interno de la compañía por parte de un empleado de Aramco, cuya identidad permanece en reserva. (RILEY y ENGLEMAN 2012)

Así las cosas, si bien la empresa petrolera cuenta con una infraestructura y perímetro de seguridad amplio, perfectamente vigilado y asegurado, queda claro, de confirmarse la noticia, que al interior de la compañía las prácticas de seguridad y control, las verificaciones del cumplimiento de procedimientos y protocolos de tratamiento de información, requieren una revisión y análisis para comprender los comportamiento de las personas frente a la información y la forma como éstas se vuelven más resistentes a los engaños y estrategias de manipulación o inteligencia informática que puedan materializar un escenario de amenaza persistente avanzada.

Anota el artículo de bloomberg (idem), que la persona identificada en la organización no tenía las habilidades o el acceso para penetrar las instalaciones de la operación de petróleo, lo que habría sido más devastador, toda vez que como lo hemos anotado previamente, cada vez más se tiene mayor visibilidad de las redes propias de las plantas en el contexto de las redes corporativas.

El ataque a Saudi Aramco nos deja algunas lecciones aprendidas como son:
  • Es muy difícil saber qué tipo de ataques tienen un impacto relevante para la infraestructura crítica petrolera, como quiera que estos, se materializan en acciones informáticas comunes basada en códigos malicioso, engaños o inteligencia informática avanzada.
  • Es más exigente efectuar un ejercicio de protección de información de adentro hacia afuera de la organización, que de afuera hacia adentro. Habida cuenta de lo anterior, el factor humano se constituye en el riesgo estratégico más relevante de la empresa, dada su participación en el tratamiento de la información en la empresa.
  • Existen organizaciones especializadas en desarrollar engaños sofisticados avanzados que son capaces de conocer las expectativas de los empleados de una empresa, como fuente para elaborar y materializar ataques de robos de información y/o pérdida de disponibilidad.
 
Retos de la inseguridad de la información en la industria de petróleo y gas

El analista BYRES (2012) considerando las amenazas propias de los sistemas SCADA, formula una serie de recomendaciones para hacer menos vulnerables este tipo de sistemas, que bien se podrían aplicar de manera general para las operaciones de la industria del petróleo y gas. Siguiendo este razonamiento, parafraseamos sus indicaciones de la siguiente forma:
  • Considere las diferentes formas de infección y cuente con estrategias para la gestión de cada una de ellas. No se centre solamente en lo natural como el firewall o las llaves USB.
  • Evite tener un único punto de falla. Subdivida y construya una estrategia de defensa por zonas, que permitan ante un compromiso de seguridad aislar y contener la falla.
  • Efectúe una inspección profunda de sus controles de tecnología de información en los puntos críticos de su operación. Si encuentra que los mismos no se están cumpliendo se incrementa la probabilidad de la inevitabilidad de la falla.
  • Asegure primero los sistemas de misión crítica y los asociados con cumplimiento normativo.
  • Efectúe evaluaciones de seguridad periódicas que permitan ver nuevos puntos de vulnerabilidad y oportunidades de mejora de la infraestructura tecnológica de seguridad.
  • Desarrolle, asegure y evalúe la cultura de seguridad de la información, que permita construir un referente interno de la empresa de protección de la información que cubra desde el operador de la planta hasta la junta directiva.
  • Clasifique los activos de información de la empresa que sean relevantes en su orden (menor importancia (1) a mayor importancia (4)) para:
o   1. La operación transaccional
o   2. La gestión, análisis e interpretación de la información
o   3. La operación de la infraestructura de tecnología de información
o   4. La formulación estratégica de la empresa

En este sentido, los retos de la seguridad de la información en la industria de petróleo y gas se articulan más desde el ciclo de vida de la información y su aseguramiento que desde la esencia misma del campo de petróleo digital. Esto es, que en el ejercicio de aseguramiento de la infraestructura tecnológica y de seguridad informática, se deben conocer los flujos de información que transitan en la arquitectura computacional que soporta la operación.

Mientras más detallado sea el mapa de información que se conozca en los procesos de la cadena integrada de la industria, mejor será el ejercicio de identificación y diagnóstico de riesgos de seguridad de la información, toda vez que un efectivo gobierno de la seguridad de la información requiere no sólo la declaración natural de la información como un activo, sino la prácticas consciente de las personas para efectuar un tratamiento de la información acorde con el contexto y las circunstancias de la operación.

No podemos olvidar que en una industria tan distribuida como la de petróleo y gas debemos articular los esfuerzos en cada uno de sus puntos de operación, como quiera que la ciberdelincuencia en su modelo de negocio no requiere mayores inversiones para avanzar con eficiencia en sus objetivos, cuenta con una economía subterránea basada en un mercado siempre demandante de información privilegiada y con agentes que construyen sus propias reglas para ataques coordinados, persistentes y avanzados.

Finalmente, si bien contamos con importante avances en seguridad y control en la industria de petróleo y gas, éstos no son garantía de una operación confiable y eficiente en un contexto como el actual. Por tanto, la alta gerencia de éstas empresas debe mantener un seguimiento cercano de las nuevas amenazas informáticas como ejercicio proactivo que proteja el valor de los activos propios de la industria y asegure el cumplimiento de las expectativas para todos sus grupos de interés.

Referencias
BYRES, E. (2012) Next generation cyber attacks target oil and gas scada. Pipeline and gas Journal. Vol.239. No. 10. Octubre. Disponible en: http://pipelineandgasjournal.com/next-generation-cyber-attacks-target-oil-and-gas-scada?page=show (Consulta: 5-11-2012)

HAMAD, S. (2012) Cyberattacks Continue To Hit The Oil And Gas Sector In The Middle East. Blog Forrester. Septiembre. Disponible en: http://blogs.forrester.com/summer_hamad/12-09-19-cyberattacks_continue_to_hit_the_oil_and_gas_sector_in_the_middle_east (Consulta: 5-11-2012)

RILEY, M. y ENGLEMAN, E. (2012) Code in Aramco cyber attack indicates lone perpretator. Disponible en: http://www.bloomberg.com/news/2012-10-25/code-in-aramco-cyber-attack-indicates-lone-perpetrator.html (Consulta: 5-11-2012)

STEINHUBL, A. y KLIMCHUK, G. (2008) The digital oil field advantage. Strategy + Business. Issue 50. Spring. Disponible en: http://www.strategy-business.com/article/08115?pg=all (Consulta: 5-11-2012)


YUAN, H., MAHDAVI, M. y PAUL, D. (2011) Security: digital oil field or digital Nightmare? Guest editorial. JPT (Official publication of Society of Petroleum Engineers). Vol. 63. No.8. Agosto. Disponible en: http://www.spe.org/jpt/print/archives/2011/08/7GuestEditorial.pdf (Consulta: 5-11-2012)