数字化创造了无法想象的可能性。几年前无法想象的事情早已成为现实。但是硬币的另一面是随之而来的威胁和漏洞。石油和天然气行业的每项活动都面临着网络安全漏洞带来的风险。不良事件,无论是有意还是无意,都可能影响个人、企业和整个社会。
近年来,网络攻击的事件表明,能源和石油部门属于最脆弱的部门。随着我们技术的发展,攻击者使用的方法变得越来越创新和复杂。
1. 石油和天然气中的数字漏洞
为什么石油和天然气行业的网络攻击在增加?这是历史事实吗?
首先让我们看一下现状:石油和天然气行业中使用的工业自动化、控制和安全系统在很大程度上已数字化并依赖于数字技术。过去,此类系统是专有封闭的。如今,它们主要基于商业化标准器件,例如具有Microsoft Windows操作系统的PC。这意味着这些可商业购买标准产品的已知弱点也在该领域得到了揭示。
在网络中也可以看到这种发展。过去,过程设备和控制系统之间使用的网络是隔离的和专有的,但现在基于Internet技术。同样,工业自动化和控制系统过去在物理上与传统的信息系统和开放网络分离。需要将生产数据传输到信息系统和远程维护意味着分离实际上是越来越不可能的。越来越多的远程维护是在遥远的地点进行的,这可能导致共享计算机网络的使用。这意味着生产设备面临网络相关的漏洞。
2. 石油和天然气行业的十大网络安全漏洞
1. 缺乏网络安全意识,没有员工培训
2. 远程操作与维护
3. 在生产环境中使用具有已知漏洞的标准IT产品
4. 供应商,供应商和承包商之间有限的网络安全文化
5. 数据网络分离不足
6. 使用移动设备和存储单元(包括智能手机)
7. 陆上和海上设施之间的数据网络
8. 服务器机房、机柜等的物理安全性不足
9. 易受攻击的软件
10. 工厂中过时的控制系统
3. 网络安全漏洞引起的意外事件的后果
客户经常问:石油和天然气行业中最大的网络安全漏洞是什么?答案很简单:是人类!
恶意代码通常是由人为错误传播的。电子邮件中的附件已打开,U盘已插入,手机已充电,笔记本电脑已连接至关键网络,依此类推。手机也可以轻松连接到Internet,诱使用户泄露密码等。人为错误被认为是该行业中最大的数字漏洞。
基于网络安全漏洞的意外事件的后果主要是财务上的。必须关闭生产,这意味着该部门的收入损失。社会将经历直接税和间接税的下降。意外事件将意味着公司声誉受损。如果破坏分子和恐怖组织设法控制重要的生产设施,则在最坏的情况下,可能导致环境破坏和人员伤亡。
4. 依存关系
随着石油和天然气行业不断扩大基础建设,其配电系统也随之越来越复杂和庞大。长期以来,人们越来越关注配电系统中的数字漏洞。这样的分配系统是复杂的网络结构,高度依赖于管理和控制系统。
5. 应急准备
一项针对该行业公司的非正式国际调查显示,只有40%的公司制定了事件响应计划/业务连续性计划,该计划涵盖了数字漏洞并定义了发生网络攻击时的处理方法。危机和应急准备的重点是火灾、爆炸、有毒有害物质泄漏等。
6. 未来的问题和趋势
本文发表的时候,石油价格低于每桶40美元,未来价格走势尚不确定。这意味着该行业将不得不降低成本以维持盈利能力。这些削减成本的措施可能会影响安全的不断提高,这是一个重大挑战。对成本效益评估和新工作方法的日益重视是未来的重要内容。
该行业的数字化仍在继续。“物联网”(IIoT)将导致更多具有网络安全漏洞的部门。要传输的数据量正在增加,并且标准的IT设备将越来越多地集成到专用控制系统中。
出于安全原因必须保护的重要关键功能、基础结构和信息的风险正在增加。此外,个人受到间谍、破坏、恐怖行为和其他严重行为影响的风险更高。
7. 最重要的降低风险措施
那么,如何保护石油和天然气平台免受网络攻击呢?
引入了屏障来降低风险–部分是为了防止不良事件的发生,部分是为了减轻不良事件的后果。人们越来越关注防止意外事件发生的障碍。但是,这些屏障的质量仅在有限的程度上进行了测试和验证。仅仅依靠防火墙进行保护是不够的。还必须建立其他障碍,包括打开/关闭通道、程序和工作流程。
在大多数情况下,没有足够的设备和例程来检测黑客已将正在进行的活动作为系统的目标。另外,当怀疑有可能发生不良事件时,缺乏防止不良后果的训练有素的程序。
8. 个体参与者应采取哪些措施来缓解网络安全漏洞
监管机构应采用功能要求,要求必须设置数字漏洞壁垒。网络安全漏洞必须包括在适当的风险分析中。
公司必须建立一种减少数字漏洞的文化,就像有一种预防火灾和爆炸的文化一样。增强意识的措施必须成为行业内和公众的优先事项。学校应该更加关注如何使用数字媒体。
9. 展望
是的,当涉及到网络安全漏洞时,您可能会很不安。但是,可以使用适当的屏障来防止攻击者入侵您的系统。您是否已经整合了所有必要的障碍?如果没有,请联系我们的康吉森自动化网络安全团队。我们很乐意为您提供帮助。