WASHINGTON, 12 Mai (Reuters) – O fechamento do maior oleoduto dos Estados Unidos por um ataque de ransomware destaca uma vulnerabilidade sistêmica: os operadores do oleoduto não são obrigados a implementar defesas cibernéticas.

O governo dos EUA tem protocolos de segurança cibernética robustos e obrigatórios que cobrem a maior parte da rede elétrica por cerca de uma década para evitar hackers incapacitantes por criminosos ou atores estatais.

Mas os 2,7 milhões de milhas (4,3 milhões de quilômetros) de petróleo, gás natural e oleodutos de líquidos perigosos do país estão sujeitos a medidas voluntárias, deixando a segurança para os operadores individuais, dizem os especialistas.

“Simplesmente encorajar os pipelines a adotar voluntariamente as melhores práticas é uma resposta inadequada ao crescente número e sofisticação de atores cibernéticos maliciosos”, disse Richard Glick, presidente da Federal Energy Regulatory Commission (FERC).

As proteções podem incluir requisitos de criptografia, autenticação multifator, sistemas de backup, treinamento de equipe e segmentação de redes para que o acesso seja restrito aos elementos mais confidenciais.

O poder da FERC de impor padrões cibernéticos para a rede elétrica remonta a uma lei de 2005, mas não se estende aos oleodutos.

A Colonial Pipeline, o maior oleoduto dos EUA e fonte de quase metade do abastecimento da Costa Leste, foi fechada desde sexta-feira depois que o FBI rastreou um ataque de ransomware ao DarkSide, um grupo que especialistas cibernéticos dizem ter sede na Rússia ou na Europa Oriental.

A interrupção levou a preços mais altos da gasolina no sul dos EUA e temores de uma grande escassez e possíveis aumentos de preços antes do Memorial Day.

A Colonial não respondeu imediatamente a uma pergunta sobre se os padrões de segurança cibernética deveriam ser obrigatórios.

O grupo de lobby do American Petroleum Institute disse que está conversando com a Transportation Security Administration (TSA), o Departamento de Energia e outros para entender a ameaça e mitigar o risco.

PESSOAL FINO

A supervisão cibernética dos oleodutos é de responsabilidade do TSA, um escritório do Departamento de Segurança Interna (DHS), que fornece diretrizes voluntárias de segurança para empresas de oleodutos.

O General Accountability Office, o regulador do Congresso, disse em um relatório de 2019 que até 2018 a TSA tinha apenas seis funcionários em tempo integral em seu departamento de segurança de pipeline, limitando a revisão do escritório das práticas de segurança cibernética.

A TSA disse que desde então aumentou a equipe para 34 cargos de pipeline e segurança cibernética. Não respondeu imediatamente a um pedido de comentário sobre se apoia as salvaguardas obrigatórias.

Quando perguntado por repórteres se o governo Biden introduziria regras, o secretário do DHS, Alejandro Mayorkas, disse que estava discutindo opções administrativas e legislativas para “melhorar a higiene cibernética em todo o país”.

O presidente Joe Biden espera que o Congresso aprove um pacote de infraestrutura de US$ 2,3 bilhões e que os requisitos de oleodutos possam ser incluídos nessa legislação. No entanto, especialistas disseram que não havia solução rápida.

“A parte difícil é quem você diz a eles o que fazer e o que você diz a eles o que fazer”, disse Christi Tezak, analista da ClearView Energy Partners.

Os deputados norte-americanos Fred Upton, republicano, e Bobby Rush, democrata, disseram na quarta-feira que reintroduziram a legislação exigindo que o Departamento de Energia garanta a segurança do gás natural e dos dutos de líquidos perigosos. Tal legislação poderia alimentar um projeto de lei mais amplo.

A rede elétrica é regulamentada pela FERC e é amplamente organizada em organizações regionais sem fins lucrativos. Isso tornou relativamente fácil para os legisladores introduzir a lei de 2005 que permite à FERC autorizar medidas cibernéticas obrigatórias.

Várias empresas públicas e privadas possuem gasodutos. Eles operam em grande parte de forma independente e não têm um forte regulador federal.

Sua supervisão é regida por leis diferentes, dependendo do que eles estão carregando. Os produtos incluem petróleo bruto, combustível, água, líquidos perigosos e – potencialmente – dióxido de carbono para despejar no subsolo para ajudar a mitigar as mudanças climáticas. Essa diversidade pode tornar mais difícil para os legisladores impor um requisito uniforme.

Tristan Abbey, ex-assessor da senadora republicana Lisa Murkowski, que trabalhou com o ex-presidente Donald Trump no Conselho de Segurança Nacional da Casa Branca, disse que o Congresso é a melhor e a pior maneira de abordar a questão.

“A legislação pode ser necessária quando a jurisdição não é clara e as agências carecem de recursos”, disse Abbey, agora presidente da Comarus Analytics LLC.

Mas um projeto de lei não deve ser visto como uma varinha mágica, disse ele.

“Os padrões podem ser parte da resposta, mas os regulamentos federais devem ser consistentes com os requisitos estaduais sem sufocar a inovação.”

Reportagem de Timothy Gardner; Editado por Cynthia Osterman

Nossos padrões: Os Princípios de Confiança da Thomson Reuters.