作者 | 北京安帝科技有限公司
引言:5月17日召开了全球影响力最大的信息安全大会RSAC 2021,本次会议将“网络弹性”作为大会主题,足见网络弹性这一话题重新回到网络安全行业的聚光灯下,必将对今后网络安全创新发展带来深远影响。本月发生的美国最大油气管道公司Colonial遭遇勒索攻击事件,从支付赎金到管道运营恢复耗费1周时间,致使近20个州出现油气供应紧张而进入紧急状态,引起美国政府高度关注,也使这个行业的网络安全问题受到全球瞩目。同月,世界经济论坛(WEF)发布名为《Oil and Gas Industry Cyber Resilience: Playbook for Boards and Corporate Officers》(石油和天燃气行业网络弹性:董事会和公司高管手册)的白皮书,作为西门子、沙特国家石油公司、荷兰皇家壳牌、新加坡网络安全局、美国CISA、网络安全公司Dragos和其他许多公司等油气行业和网络安全界众多成员深入研究的成果。《白皮书》倡导油气行业必须先于网络攻击、漏洞和内部威胁,确保网络风险减缓与创新同步发展。这要求管理层必须不断提高组织的网络弹性,评估存量风险和新增风险,并在董事会成员、公司管理层和关键安全专业人士之间建立对话机制,推行行业最佳实践,创建新的解决方案,帮助企业领导人应对网络风险,提高整个行业的网络恢复能力。安帝科技安全研究院摘选《白皮书》的部分关键内容供行业参考借鉴。
一、油气行业面临的主要风险挑战
根据美国NIST定义,网络弹性是网络风险管理的一个维度,代表“对使用网络资源或由网络资源支持的系统不利条件、压力、攻击或危害进行预测、抵御、恢复和适应的能力”。
在油气行业,数字革命和能源转型在短短几年内共同改变了行业数十年的商业模式。如今,企业通过将运营技术与信息技术网络连接起来,利用大数据、人工智能和自动化来控制物理能源资产。这些新的、无处不在的连接是能源部门建立更高效、更有弹性、更低碳运营模式的关键。
作为世界上最成熟和复杂的行业之一,中国正在进行从模拟到数字、从集中到分布式、从化石基础到低碳的多方面转型,管理网络风险和防止网络威胁正迅速成为企业价值链的关键。
为了应对油气行业的网络风险,董事会经理和企业高层必须采取行动,通过对企业管理人员的新政策、新流程和新关注,确保工业运营环境免受日益增加的网络攻击威胁。如今,董事会成员必须在公司工业运营环境数字化带来的竞争优势与更大程度上暴露于恶意网络威胁之间的现状进行平衡,这些网络威胁寻求扰乱运营以获取经济利益或其他邪恶动机,如地缘政治冲突或恐怖主义。
1、数字威胁扩大化
到2025年,工业设备连接预计将达到370亿,数字化正迅速将油气行业从基于模拟设备的大宗商品业务转变为自动化、远程控制和人工智能(AI)驱动的行业,以类似互联网速度做出基于风险的决策。然而,这种数字化的快速步伐是有代价的;随着石油和天然气公司业务的数字化,他们也同时将自己的公司暴露在网络风险中。
随着企业决定继续在整个运营中整合数字技术,网络攻击风险会不断增加。他们应该使网络安全成为公司的核心竞争力,并将其置于未来油气业务模式的中心。然而,大多数油气公司并不习惯于将自己视为数字公司,因此缺乏网络安全技术、系统、人员和协议来保护工业运行环境。
2、运营环境复杂化
石油和天然气行业的网络安全本身就具有挑战性,因为运营一个庞大的组织非常复杂,该组织的业务、资产和人员分布在世界各地,同时还要与客户及供应商复杂的供应链合作。如果没有强大的网络安全技术和协议,企业在部署脆弱设备的监控、防御解决方案以及适当的网络卫生方面行动迟缓,将发现自己无法与提供可靠、高效的产品和服务网络保护同行竞争。
商用技术的快速发展也是环境复杂的催化因素之一。越来越多的商用现货(COTS)技术被引入管道环境中以执行监视和控制任务,从而取代专门为运营环境而建造的设备。与专门设计的ICS硬件相反,诸如移动手持设备、平板电脑、服务器、摄像机和可穿戴技术之类的设备正在实现。这些设备是启用测试用例所必需的,但部署并实现它们的既定的目标以及运营技术都需要仔细考虑并采取适当的体系结构,以确保与它们所适配的操作系统具有相同的安全级别。
3、网络攻击泛在化
在许多情况下,公司面临内部网络卫生方面的挑战,因为系统相互关联,但责任被隔离,或由优先级不同的许多合作伙伴共同承担。公司还面临着协调IT和OT部门、管理与专有技术的互操作性以及与可信任第三方合作的挑战,以确保从井口到企业计算机的每一个连接设备都得到保护。虽然这种连续性对于实现全生态系统的网络安全方法是必要的,但它很难执行。
许多组织发现网络安全的复杂性超乎想象,特别是当需要同时保护OT及IT环境时。拥有深度集成OT和IT资产的公司需要制定战略,前瞻性地管理当前风险和成熟的网络安全,并着眼于未来的风险环境。
恶意行为者越来越认为,能源行业是发动网络攻击的成熟目标,目的是获取金融、犯罪或地缘政治利益。最近的研究显示,从2018年到2019年,针对OT连接资产的攻击数量增加了20多倍。与此同时,能源行业数据泄露的平均成本自2019年以来上涨了13%以上并达到639万美元,远高于全球386万美元的平均成本。然而,尽管网络攻击不断扩大,但2/3的油气高管表示,数字化对他们的业务有益,将对公司的成功至关重要。
二、油气行业网络弹性原则
石油和天然气行业的未来依赖于数字化管理全球能源资产和业务的庞大网络,以实现利润最大化,提高安全性和效率,并在动荡的市场中进行最小化排放。新一波数字化解决方案集成了运营技术(OT)和信息技术(IT),利用新兴技术(如自动化和人工智能)的力量,帮助油气行业在能源转型中进行创新。这种转变使关键基础设施和整个供应链面临网络风险,使得网络安全成为商业模式的核心要求。
在这个综合的数字生态系统中,企业领导层现在有责任在评估稳定性和安全性时考虑网络风险。领导层不仅必须在管理层管理网络风险,而且这些领导人还必须确保网络风险是运营和企业文化中的一个核心方面——从最高层开始,在庞大的全球性组织中逐级落实明确的政策。
为了在这个新的运营环境中有效地管理风险,董事会需要工具来确保他们的组织开发和维持适当的网络弹性措施。领先的高管必须在整个行业中建立网络弹性和集体防御系统,以维护共同标准和保护合作伙伴供应链,并在基于风险的方法上进行合作,以确保油气行业的整体安全。
《白皮书》设计了6种针对油气行业的网络弹性原则。如下图1所示。
图1 油气行业网络弹性原则
1、网络弹性治理
董事会应该要求管理层建立一个全面的网络安全治理模式。这包括对IT、OT、物理安全、健康和安全环境的监督以及数字转型,以确保组织内的互操作性,并推动整个生态系统的一致性。
2、设计的弹性
董事会应通过设计促进安全,通过设计文化促进弹性,并应该要求其管理层在记录进展的同时实施类似的标准和价值观。
3、网络弹性的企业责任
董事会应鼓励管理层考虑对组织和更广泛生态系统的网络风险,检查组织的网络文化和实践,并探索如何管理这些风险。
4、全面风险管理方法
应通过为网络恢复计划和报告提供足够的授权、资金、资源和问责制,确保整个油气生态系统的网络风险得到管理和缓解。
5、生态范围内的协作
董事会应鼓励并授权其管理团队创造一种协作文化,以有效监督、监测和控制整个生态系统的风险。
6、生态系统内的网络弹性计划
该委员会应鼓励管理层与生态系统的其他成员一起创建、实施、测试和改进集体网络恢复计划和控制。这些计划应考虑准备及保护(如纵深防御战略)、反应及恢复能力。
三、油气行业网络弹性的落地实施
为了确保油气行业特定活动的网络弹性原则落到实处,《白皮书》为网络安全从业者提供了实施支持。
首先针对6项弹性原则分别给出了实施指南,即帮助负责网络恢复能力的公司高管和经理落地这些原则,并帮助董事会成员履行监督职责。
如对网络弹性治理原则,建议实施网络弹性治理的活动包括:
构建具有信息技术、OT、物理安全、健康安全环境、数字化转型等网络弹性管理和监管能力的综合治理模式
确保有足够经验和资源履行网络安全职责的负责官员和主题专家具有适当的权力和指挥能力
与不同的业务部门领导密切合作,定期更新信息,确保网络弹性战略的实施和预算
通过定期交流最佳实践,促进网络应变文化
在整个组织内进行培训和意识训练
在组织内建立清晰、实用和全面的网络弹性政策、标准和指导方针,包括针对IT、OT和物联网环境以及第三方业务供应商和生态系统合作伙伴。
建议的参数包括:
成功实施以高危人群(如董事会成员、高管、IT、工程、人力资源和财务人员)为重点的网络卫生实践的网络安全意识教育项目的员工比例
与业务单位的网络安全协作项目数量
识别网络安全和审计审查期间的关键行动,包括未完成行动的比率和数量;这可以包括与执行管理责任相关的行动。
其次,《白皮书》给出了“设计综合战略、获得支持和盟友、结合使命愿景与战略目标、制定计划并组建团队、推动落实、监控和扩大”六个步骤的实施方法。为了实施这些原则并充分实现它们的预期效益,网络弹性不能事后才考虑,而必须嵌入到一个组织文化中,并融入到企业规范的各个方面。因为负责网络弹性的公司官员和经理经常面临改变公司政策和态度的阻力,他们通常需要董事会授权来实施网络弹性原则。为了改变根深蒂固的企业心态,管理者可以采取循序渐进的方法,在石油和天然气公司中引入网络弹性最佳实践。
图2:在油气行业中采用和实施网络弹性原则的方法
四、小结
石油和天然气行业的持续运营中,网络弹性已成为管理者尽职的重要组成部分。数字化几乎改善了价值链的所有部分,创造了前所未有的效率和新的运营模式。然而,油气价值链是否能够抵御网络风险或从网络风险中恢复过来,面临重大挑战,否则网络风险可能会带来灾难性的物理、环境和安全后果。无论是在企业内部还是在整个行业内,油气行业的业务都需要进一步发展其网络抵御能力以保护底线。石油和天然气公司董事会的6条网络弹性原则将帮助组织系统、全面地采用弹性实践和企业文化,同时为满足股东和社会日益增长的环境保护、社会和治理期望做好准备。
董事会可通过确保在其组织内部采取某些步骤,并通过与行业内的合作伙伴合作来管理和减轻网络风险。每个组织在努力提高网络弹性的同时,都需要考虑自身的成熟度。实施强有力的治理、通过设计确保弹性、建立弹性文化并在分配资源时全面考虑网络风险的组织,将能更好地抵御攻击、事故和中断。如果组织进一步考虑如何与油气行业的其他参与者获取和分享见解,以及如何支持价值链中的其他环节,将有助于减少共同的风险,并防止事故成为整个行业的灾难。
培养强大的网络恢复能力将降低整个油气行业的风险,并使自动化和数字化继续提高效率,增强竞争性供应链的可靠性。行业领袖们应该为这个稳定的未来规划方向。
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。