Podcast: A transição energética: rápida, limpa… e cibersegura?

Josh Flanagan: 

Olá a todos e obrigado a todos os nossos ouvintes em todo o mundo. Bem-vindos ao podcast Future in Focus da LRQA. Meu nome é Josh Flanagan e hoje vamos explorar um dos maiores desafios que a transição energética enfrenta atualmente: como fornecer sistemas de energia que sejam não apenas rápidos e limpos, mas também seguros e resilientes.

Estou acompanhado por Howard Hughes, Diretor Executivo de Segurança Cibernética da LRQA, e Fotis Kampouris, Vice-Presidente Executivo para a Ásia-Pacífico. Howard e Fotis, muito obrigado por participarem.

Neste episódio, vamos analisar a escala e o ritmo dos programas globais de transição energética, desde energia eólica offshore e hidrogênio até energia nuclear e transformação da rede elétrica. Vamos explorar como a crescente digitalização está mudando o cenário de riscos, por que a infraestrutura de energia está se tornando um alvo cibernético mais proeminente e se as organizações podem, de fato, entregar resultados rapidamente sem comprometer a segurança. Também vamos analisar o que significa, na prática, uma boa liderança e supervisão nesse contexto e por que a mera conformidade não é mais suficiente quando se está construindo ativos que precisam operar com segurança por décadas.

Vamos começar com você, Fotis. Ajude-nos a contextualizar para o nosso público. Você poderia descrever brevemente alguns dos maiores projetos de energia em andamento no mundo atualmente? Onde eles estão mais em desenvolvimento e como a atual instabilidade geopolítica está influenciando onde e como esses projetos estão sendo desenvolvidos?

Fotis Kampouris: 

Olá Josh, e obrigado pelo convite. É uma ótima pergunta, e muito relevante para o que está acontecendo hoje. Quando paro para observar o cenário global, a escala da atividade é extraordinária. Estamos vendo enormes usinas solares e eólicas offshore na China, Índia, Oriente Médio e Austrália, juntamente com grandes investimentos em interconexão de redes e armazenamento de energia – porque todos sabemos que gerar eletricidade sem transmissão simplesmente cria um gargalo diferente.

Ao mesmo tempo, como você deve ter visto nas notícias, a energia nuclear está ressurgindo – principalmente na Europa, nos EUA e em partes da Ásia – enquanto o hidrogênio e o carbono continuam a sair do papel de ambições e se tornarem projetos reais, com gasodutos para abastecer a indústria pesada e a segurança energética.

O que mudou é que a transição energética não é mais uma história de descarbonização; está se tornando uma história de segurança energética. Governos e investidores estão questionando a origem de componentes e equipamentos críticos, o grau de dependência em relação a rotas de suprimento vulneráveis ​​e se o sistema ainda pode operar em um ambiente geopolítico mais fragmentado.

A direção está ficando clara: precisamos de projetos maiores, mais rápidos e mais conectados, mas em um mundo muito mais volátil.

Josh Flanagan: 

Obrigado, Fotis. Howard, agora passo a palavra para você. Em muitos casos, esses projetos já estão em andamento há algum tempo. Quando a segurança cibernética passou a fazer parte dessa discussão e por que esses projetos são alvos cibernéticos prioritários agora?

Howard Hughes: 

Obrigado, Fotis, e obrigado, Josh. Vocês têm razão – esses projetos não são novidade no setor. O que mudou nos últimos anos foram alguns fatores.

Primeiro, a sofisticação dos agentes de ameaça. Eles são muito capazes. Em alguns casos, se forem patrocinados por estados, têm orçamento ilimitado. Devemos presumir que todas as ferramentas e técnicas que uma empresa de cibersegurança usa também são usadas por agentes de ameaça sofisticados. Então, esse é o primeiro ponto: o adversário se tornou muito mais capaz.

Segundo – e há muitos exemplos ao redor do mundo – a primeira vez que vimos um ataque cibernético usado como parte de uma campanha militar mais cinética foi com o Stuxnet, contra as usinas de refino nuclear iranianas, há mais de uma década. Isso foi, efetivamente, uma arma de tecnologia operacional (TO) usada como parte de uma campanha militar e política. Isso tem acontecido regularmente desde então. Se observarmos o que está acontecendo no Oriente Médio agora, podemos ver que certos aspectos da campanha cinética lá são apoiados por atividades de cibersegurança.

A terceira coisa — e isso complementa o que Fotis disse — é que vivemos em um mundo muito mais conectado. A combinação de energia renovável e energia tradicional precisa estar interligada; as pessoas querem compartilhar energia na rede elétrica. Com essa conectividade, e a conectividade subsequente com outras redes, você já deve ter ouvido a expressão "superfície de ataque" — a superfície de ataque aumenta. Você tem um alvo maior. Quando não havia redes, quando as coisas eram fragmentadas, os agentes de ameaças tinham que atacar individualmente empresas de geração de energia ou organizações de distribuição. Agora, com muito mais interconexão, se você atacar uma rede, pode estar atacando toda a energia fornecida por essa rede.

Então, tempos interessantes. Mencionei a Tecnologia Operacional (TO) algumas vezes. É algo que a LRQA faz hoje. Se eu tivesse que apontar uma crítica, seria que não a divulgamos o suficiente — e precisamos. Fazemos testes de TO hoje e pretendemos fazer monitoramento de TO e outros itens relacionados à tecnologia operacional à medida que avançamos.

Josh Flanagan: 

Obrigado, Howard. Vimos como eventos geopolíticos, incluindo a recente instabilidade no Oriente Médio, podem afetar rapidamente os mercados e a infraestrutura de energia. Como isso deve remodelar a forma como as organizações pensam sobre a resiliência a longo prazo na transição energética, especialmente para ativos que precisam operar com segurança por décadas? Fotis, começo com você e, em seguida, Howard, por favor, fale um pouco sobre a questão cibernética.

Fotis Kampouris: 

De fato, você mencionou, Josh, que esses ativos precisam operar por dez, vinte, trinta ou até cinquenta anos, se considerarmos o setor nuclear. A recente instabilidade no Oriente Médio lembrou a todos que os sistemas de energia estão expostos a ameaças tanto físicas quanto digitais. Muitas vezes, projetamos esses ativos visando eficiência e produção, mas nem sempre para resistir a interrupções – e esse é o desafio, pois esses sistemas precisam operar com segurança por muitos anos para garantir a estabilidade energética.

A resiliência agora precisa ser projetada desde o início, algo que não acontecia antes. Isso significa que precisamos diversificar os fornecedores, analisar criticamente as dependências mais fortes, ter maior visibilidade das cadeias de suprimentos e começar a incorporar a resiliência digital ao modelo operacional – como Howard mencionou anteriormente. Nossa mentalidade precisa mudar da otimização para a durabilidade, e os vencedores serão aqueles que começarem a projetar esses sistemas dessa forma. É aí que entra o contexto estratégico da cibersegurança e da ciber-resiliência – e como trabalhamos com nossos clientes nesse sentido. Howard?

Howard Hughes: 

De fato, você mencionou, Josh, que esses ativos precisam operar por dez, vinte, trinta ou até cinquenta anos, se considerarmos o setor nuclear. A recente instabilidade no Oriente Médio lembrou a todos que os sistemas de energia estão expostos a ameaças tanto físicas quanto digitais. Muitas vezes, projetamos esses ativos visando eficiência e produção, mas nem sempre para resistir a interrupções – e esse é o desafio, pois esses sistemas precisam operar com segurança por muitos anos para garantir a estabilidade energética.

Obrigado, Fotis. Grande parte disso também começa com a cultura – visibilidade na diretoria. Não projete algo, construa e implemente, e só depois adicione a segurança.

Uma das coisas que a LRQA pode fazer com sua base de clientes é ajudá-los a entender conceitos como segurança desde a concepção, onde a segurança é incorporada à rede em cada etapa do projeto, ou os sete pilares do modelo de confiança zero, onde cada camada do projeto é avaliada e cada uma delas é garantida como segura.

Portanto, o primeiro passo é a cultura e a conscientização – desde o topo da organização, no nível da diretoria, até todos os níveis. No ano passado, 96% das violações de segurança bem-sucedidas em todo o mundo ocorreram devido à violação de e-mails corporativos. Alguém clica em um link falso para um cartão-presente da Amazon (outros cartões-presente também estão disponíveis) em um e-mail — a pessoa pensa que é uma boa ideia — e, de repente, seu computador é infectado por um malware, que abre portas na rede. Portanto, cultura, conscientização e treinamento são fundamentais.

Outro ponto importante é que, com a velocidade com que os agentes maliciosos adotam novas tecnologias, é quase obrigatório adotar uma mentalidade específica — e é uma mentalidade assustadora. Eu encorajaria qualquer pessoa que converse com clientes a partir do princípio de que uma violação de segurança vai ocorrer e que o agente malicioso terá sucesso. Então, a questão passa a ser: o que teríamos que fazer se fôssemos invadidos? Recuperação, resposta a incidentes, prática de planos de recuperação de desastres e de continuidade de negócios. Quantos dos nossos clientes realizam simulações regulares de alta qualidade em salas de diretoria como parte de um exercício de recuperação de desastres? A segurança cibernética faz parte disso.

Portanto, há mudanças de mentalidade aqui, à medida que os adversários se tornam mais sofisticados, em maior número, e como grande parte disso é patrocinado por Estados. Presuma que eles terão ferramentas e profissionais incríveis nesses grupos de agentes maliciosos. Pratique para quando você for invadido, em vez de presumir que terá sucesso na defesa.

Outras coisas a considerar, do ponto de vista de vendas: mencionei simulações e frameworks para reuniões de diretoria — como o framework do NIST, por exemplo. Se você não sabe o que é um bom desempenho, avalie sua posição em relação a um padrão reconhecido pelo setor. Testes regulares — tanto de fora para dentro (testes de penetração tradicionais) quanto sob a perspectiva do adversário. Pense em "red teaming", onde uma equipe entra no sistema, assume o papel do adversário e testa suas defesas.

Existem, portanto, práticas que adotamos hoje que podem ser utilizadas não apenas pelo setor energético, mas por toda a nossa base de clientes.

Josh Flanagan: 

Perfeito, obrigado Howard. Conforme avançamos com as perguntas, é importante falar sobre por que este pode ser um tema tão complexo. Em grandes programas de transição energética, onde o risco cibernético normalmente passa despercebido, quem está mais exposto e por quê? Fotis, eu te respondo essa.

Fotis Kampouris: 

Essa é uma ótima pergunta. Ao longo dos anos, com minha experiência em diversos projetos de energia, pude constatar que esse aspecto costuma ser negligenciado logo no início — quando o programa ainda está sendo analisado isoladamente, como um exercício de engenharia, aquisição e entrega, em vez de ser encarado como um ativo operacional de longa duração. Como dissemos no começo, esses ativos precisam permanecer em operação por vinte, trinta, quarenta, cinquenta anos ou mais.

As equipes de engenharia sofrem pressão para agir rapidamente. Os orçamentos são rigorosamente controlados. Todas as principais decisões de projeto e fornecedores são definidas antes mesmo de qualquer requisito de segurança cibernética entrar em jogo. É aí que a LRQA pode ajudar, com nossas soluções em avaliação de fornecedores, gestão da cadeia de suprimentos e qualidade e segurança — pois podemos analisar todos esses elementos de forma independente e auxiliar os diferentes compradores ou fornecedores a mitigar os riscos.

As organizações mais vulneráveis ​​geralmente são aquelas que lidam com responsabilidades fragmentadas. Muitas vezes, uma parte projeta, outra adquire e outra integra. Nesse ambiente, todos dizem que a segurança cibernética é importante, mas ninguém assume a responsabilidade — deixam tudo para quem toma a decisão final, que normalmente é o proprietário. Esse é o meu desafio. A questão não é ignorância, mas sim o fato de que a segurança cibernética não é tratada como um risco central na entrega. E precisa se tornar um risco secundário.

Josh Flanagan: 

Isso é ótimo. Já falamos sobre alguns dos erros que as organizações cometem, mas seria bom abordar o que realmente significa uma boa supervisão. Howard, eu começo com você.

Howard Hughes: 

Obrigado. Vou usar um exemplo recente – não de uma empresa de energia, mas de um programa de cibersegurança de infraestrutura nacional ainda crítica em uma grande empresa de transportes.

O conselho administrativo iniciava as reuniões com um briefing sobre segurança, seguido por um briefing sobre cibersegurança. Ou seja, literalmente a segunda coisa que o conselho fazia era um briefing sobre cibersegurança: quais são as ameaças existentes hoje? Sofremos alguma violação de segurança no último período de relatório? Não era depois das finanças ou das métricas operacionais – era logo no início. Segurança, cibersegurança, depois finanças, pessoas, vendas e assim por diante. Portanto, há algumas mudanças culturais aí. Você perguntou o que seria um bom exemplo – essa é uma delas. Comece pela cultura.

No processo orçamentário, tradicionalmente, a cibersegurança era incluída como uma espécie de reflexão tardia. A melhor prática é incorporar a cibersegurança a um programa de transformação desde o início. Não se trata apenas de 1% da receita, ou qualquer outra métrica que alguém possa usar – trata-se de: quanto nos custa manter este sistema seguro? Qual é o custo para mantermos nossas operações em funcionamento, de forma que, idealmente, não sejamos vítimas de uma violação de segurança, mas, caso isso aconteça, a continuidade dos negócios seja acionada e possamos continuar atendendo nossos clientes?

Eu acrescentaria um último ponto: relatórios para a diretoria, visibilidade constante — tanto dos pontos positivos quanto dos negativos. Não tenham medo de alertas. Já nos pediram para produzir muitos relatórios detalhados para a diretoria; eles queriam saber os detalhes da última violação de segurança. Portanto, trata-se de uma mudança cultural, uma mudança de mentalidade, mas é perfeitamente viável, e somos o tipo de empresa que busca parcerias com fornecedores de energia para oferecer essa capacidade.

O que você acha, Fotis? Gostaria de acrescentar mais alguma coisa?

Fotis Kampouris: 

Obrigado, Howard. Você abordou muito bem o aspecto da cultura e da responsabilidade. Talvez eu acrescentasse a competência, porque os riscos estão evoluindo tão rapidamente que é muito difícil ter todos os especialistas e profissionais qualificados internamente. É aí que a LRQA entra em cena, com nossa vantagem em gestão de riscos integrada ao longo de todo o ciclo de vida — desde o projeto e aquisição até as operações e mudanças ao longo do tempo — para estar ao lado do cliente e ajudá-lo a entender o que está acontecendo no dia a dia.

Josh Flanagan: 

Obrigado, essa é uma ótima visão geral. Um ponto importante é que isso pode ser bastante complexo para algumas empresas e alguns projetos. Quando se trata de resiliência cibernética, por onde seria um bom ponto de partida para quem está nos ouvindo, Howard?

Howard Hughes: 

Tradicionalmente — e isso ainda se aplica —, escolha uma estrutura de conformidade e compare seu desempenho com ela. Elas existem há muito tempo. O NIST é uma boa base de avaliação. A ISO 27000 também é uma boa base de avaliação. Escolha uma, avalie seu desempenho com base nessas métricas e envolva sua equipe nessa jornada.

Tradicionalmente, as pessoas configuravam um sistema e o testavam. Elas diziam: "Vou fazer quatro testes de penetração este ano. Vou fazer uma busca por vulnerabilidades este ano." Uma área em que essa transformação no setor está acontecendo agora é a necessidade de pensar continuamente. Precisamos estar certos todos os dias; o agente de ameaça só precisa estar certo uma vez. Se um agente de ameaça patrocinado por um Estado quiser invadir um sistema, ele só precisa estar certo uma vez. Precisamos estar certos todos os dias.

Portanto, há algo importante sobre o monitoramento contínuo da superfície de ataque — analisar seu ambiente continuamente, em vez de apenas realizar testes algumas vezes por ano, executando um teste de penetração a cada trimestre. Pense em uma abordagem contínua para o monitoramento.

Para aqueles que acompanharam as notícias nas últimas duas semanas sobre os modelos mais recentes lançados pela Anthropic - o Mythos, através do programa Glasswing - foi constatada a existência de vulnerabilidades em redes críticas de infraestrutura nacional com mais de vinte anos.

Parte disso se resume à higiene básica. Se você encontrar um problema em sua infraestrutura, precisa corrigi-lo naquele mesmo dia, naquela mesma hora, naquele mesmo minuto — porque a vulnerabilidade está exposta, e se você a encontrou, pode ter certeza de que o invasor também a encontrará.

Em seguida, vem a prática de simulação. Depois de atingir um nível adequado de conformidade e ter um plano para continuar melhorando, há algo importante em simular continuamente violações em seu sistema. Contrate uma empresa externa, como a LRQA, para pensar no impensável. Não faça um ataque tradicional — pense em um ataque ligeiramente diferente que você talvez não tenha imaginado e pratique-o repetidamente.

Essas seriam algumas das melhores práticas que eu sugiro que discutamos.

Josh Flanagan: 

Agradeço a ambos pelas respostas tão esclarecedoras de hoje. Para finalizar, na sua opinião, qual é a principal mudança de mentalidade que as organizações precisam fazer para proteger a transição energética? Começaremos com você, Fotis.

Fotis Kampouris: 

Antes de abordar a organização em si, gostaria de ir um pouco além. A transição energética é a fase de crescimento mais fundamental para a qual estamos caminhando, e precisamos também do apoio dos governos. Os governos precisam simplificar e conectar melhor as diferentes estruturas regulatórias, porque – quando falamos de uma rede em torno da cibersegurança – pense em uma rede elétrica entre a França e o Reino Unido, ou o Japão e a Coreia: diferentes regulamentações e padrões tornam muito mais difícil a conexão e a comunicação em uma mesma linguagem. Portanto, precisamos desse tipo de mudança no arcabouço regulatório, por parte dos governos e das diferentes instituições reguladoras.

No que diz respeito às organizações, para que possam avançar nessa velocidade, elas precisam começar a tratar a cibersegurança e a resiliência como algo que precisa ser corrigido agora, em vez de ser adaptado posteriormente. Isso precisa fazer parte da operação desde o primeiro dia. O custo de errar na cibersegurança pode ser devastador: você pode perder energia, pode perder cadeias de suprimentos e, o mais importante, pode sofrer danos à reputação. Vimos o que aconteceu no Oriente Médio e os problemas que isso gerou nas últimas semanas.

Para mim, a mudança de mentalidade é muito simples: velocidade e segurança não são prioridades conflitantes. Precisamos agir rápido, mas também precisamos lembrar que vivemos em um mundo extremamente volátil, e a resiliência é o que nos permite fazer isso.

Howard, a palavra é sua.

Howard Hughes: 

Fiquei tentado a mencionar a cultura novamente — e realmente acho que é fundamental para mim —, mas vou escolher outro ponto: o ritmo que você precisa seguir. Imagine que agentes de ameaças patrocinados por estados e organizações criminosas tenham orçamento ilimitado. Eles não precisam participar de reuniões; não precisam pedir permissão. Eles encontram um alvo, têm as ferramentas e técnicas certas e querem agir rapidamente.

Portanto, trata-se de encontrar um parceiro como a LRQA, integrá-lo ao seu ecossistema e permitir que a LRQA o ajude a agir com rapidez. Não espere até o próximo trimestre para implementar seu novo gateway de e-mail. Não espere até o próximo ano para orçar a substituição de seus firewalls. Não presuma que quatro testes de penetração por ano sejam um bom desempenho — isso era o que se considerava bom na década de 1990. Agora você precisa pensar: "Vou fazer um teste amanhã".

Acabamos de lançar o teste de penetração com IA, que usa um agente para testar de forma mais eficaz, rápida, ágil e com pouco ou nenhum aviso prévio — em outras palavras, "Gostaria de um teste amanhã", em vez de agendar um teste para o mês que vem. Trata-se de explicar aos nossos clientes que existe um senso de urgência em relação a isso, porque cada dia de espera é mais um dia em que o invasor realiza reconhecimento em sua rede, produzindo malware personalizado — potencialmente uma vulnerabilidade zero-day nunca antes utilizada, contra a qual, se implantada em sua rede, suas defesas não serão eficazes.

Portanto, para mim, tudo se resume à cultura e à velocidade da mudança.

Josh Flanagan: 

Obrigado a ambos. Chegamos ao fim do episódio de hoje. Agradecemos por compartilharem suas ideias e a todos por ouvirem.

Hoje exploramos como a transição energética não é apenas uma questão de velocidade e escala, mas também de resiliência. À medida que os sistemas de energia se tornam mais conectados e mais expostos a riscos geopolíticos e cibernéticos, as organizações precisam tratar a cibersegurança como uma prioridade fundamental desde o início, e não como uma reflexão tardia.

Se você quiser saber mais sobre como a LRQA apoia as organizações na gestão de riscos ao longo do ciclo de vida da transição energética e sobre nossa oferta de cibersegurança, visite lrqa.com ou entre em contato.

Obrigado por ouvirem e nos vemos no próximo episódio.