在数字化和网络攻击以前所未有的速度增长之际,确保整个石油和天然气行业的有效网络弹性需要多学科联合和协调一致的努力,以实现有凝聚力的业务和数字化支持。世界经济论坛 (WEF)在日前举行的2022年会(5月22-26日)上宣布,18个石油和天然气公司和一些网络安全公司正在倡导建立一种统一的方法,以减轻日益增长的网络风险,并承诺提高网络弹性。
网络弹性承诺认识到需要更多的集体准备这一事实,并促进向设计弹性文化、生态系统范围内的网络弹性计划以及参与者之间更大的协作转变。此前的WEF石油和天然气网络弹性倡议行动旨在促进公共和私营部门领导人之间的国际合作和对话,将网络弹性嵌入商业文化和运营模式,并采取系统化的风险管理方法。此次推动的网络弹性承诺是对之前倡议的升级和落地。
已做出承诺的全球组织包括Aker ASA、Aker BP、Aramco、Check Point Software Technologies、Claroty、Cognite、Dragos、Ecopetrol、Eni、EnQuest、Galp、Global Resilience Federation、Maire Tecnimont、Occidental Petroleum、OT-ISAC、Petronas、Repsol 和 Suncor。
2021年8月,美国NIST推出了其特别出版物草案800-160,第二卷,第1版,发展网络弹性系统:系统安全工程方法,提倡摒弃基于边界的防御,更多地关注于构建弹性IT系统,通过限制攻击者对网络或基础设施造成的破坏来抵御现代攻击。NIST将“网络弹性”的定义为“对使用网络资源或由网络资源支持的系统的不利条件、压力、攻击或危害进行预测、承受、恢复和适应的能力。”NIST研究员罗恩•罗斯(Ron Ross)也是SP800-160 V2的起草人表示,“我们想要实现的是一个系统,我们称之为“网络弹性”或系统足够的弹性,它可以继续运行和支持业务运行的关键任务——即使它不是在一个完美的状态,甚至有点退化状态,”“这很难做到,因为没有人喜欢假设对手已经得到了最好的访问权,并进入了系统。但这就是我们今天面临的现实。”
NIST SP 800-160草案提供了一系列工具、技术和方法,安全团队和ciso可以通过在网络中构建更强的弹性来应对攻击,包括已经部署的旧系统或从零开始构建的新系统。
WEF推动网络弹性承诺的想法是,通过签署网络弹性承诺,各方承诺通过采用网络弹性原则来加强整个生态系统的网络弹性。该承诺还让签署组织的高级网络领导者通过制定全球方法和提高整个生态系统的网络弹性来采取集体行动。此外,该承诺还包括通过展示网络弹性承诺所取得的影响来宣传和展示经验。
该承诺旨在动员全球致力于加强整个行业生态系统的网络弹性。支持该承诺的组织承诺在网络弹性方面开展合作并采取集体行动。该承诺是在参与WEF石油和天然气网络弹性倡议的组织的支持下发起的,旨在使组织能够采取具体措施来增强整个行业的网络弹性。
来自WEF网络弹性承诺网站
去年5月对美国殖民管道和今年2月对欧洲石油设施的网络攻击迫使这些设施以有限的能力运行,造成巨大的经济和社会范围的混乱。
WEF将实现网络弹性确定为最大的网络安全挑战之一。这不是一次性或单一参与者的努力。数据表明,需要一种跨越国界和企业的统一方法。到2025 年,全球网络犯罪的成本预计将达到每年10.5万亿美元,而网络攻击导致的基础设施崩溃威胁是网络领导者最关心的个人问题。
世界经济论坛网络安全中心负责人亚历山大·克里姆伯格在一份媒体声明中说,“网络弹性承诺首先得到石油和天然气价值链中的关键CEO的认可,这是一个里程碑式的进展,因为它标志着人们认识到建立网络弹性行业生态系统的复杂性,并承诺采取集体行动来实现它”。“世界经济论坛网络安全中心很自豪能与我们的合作伙伴一起领导这项工作。我们期待在未来将承诺扩大到其他行业。”
沙特阿美石油公司首席执行官阿明·纳赛尔 (Amin H. Nasser) 表示:“随着世界数字化足迹的加深,网络威胁变得越来越复杂。” “但是一家公司,单枪匹马,实际上就像锁住前门,而后门敞开着。” 如果公司想要真正保护全球数十亿人所依赖的关键能源基础设施,就必须共同努力。
工业网络安全公司Dragos的首席执行官兼联合创始人Robert M. Lee表示,通用的、全行业的网络弹性实践至关重要。“随着我们的世界变得更加数字化,必须确保我们的基础设施安全可靠地运行,尤其是对于我们的工业和运营技术而言,”他补充道。
Ecopetrol首席执行官Felipe Bayón表示,“石油和天然气行业正在经历一场数字革命,这已成为能源转型和可持续发展的催化剂”。“网络弹性是这场革命的关键,因为领先于漏洞是我们业务的基础。通过开展集体努力,在整个能源行业嵌入网络弹性和网络风险意识文化,该承诺又向前迈进了一步,”他补充说。
Galp首席执行官安迪·布朗 (Andy Brown) 表示:“该承诺通过在全球能源部门提高对网络弹性的认识和统一立场,推动了Galp对管理网络风险和保护关键能源基础设施网络安全的联合行动的承诺。”
巴西国家石油公司Petronas首席执行官Tengku Muhammad Taufik 说,“Petronas将其人员、资产和环境的安全作为我们的首要任务,包括加强更好的网络安全和安全实践。Petronas致力于并全力支持世界经济论坛的网络弹性承诺及其原则,以保障我们以负责任和安全的方式提供能源的能力”。“在这方面,我们认为解决风险和增强网络弹性至关重要,因为石油和天然气行业正在接受更大的数字化以在这个数字时代抓住宝贵的机会。”
Hexagon PPM网络生态系统全球总监Edward Liebig在评论该倡议时在一封电子邮件声明中写道,随着对关键基础设施的威胁变得更加普遍和肆无忌惮,人们越来越关注加强整个行业生态系统的网络弹性。“对于整个OT/ICS行业运营商而言,这一承诺做出了大胆的‘第一步’团结声明,以强化在网络安全方面‘没有人是竞争对手’。"我们一起做的。" 然而,在授权高层领导采取行动方面还有很多工作要做,”他补充说。
根据Liebig的说法,网络弹性需要深深植根于企业文化中,并从上到下贯穿组织的各个方面。他补充说:“这项网络弹性承诺肯定会在更多的董事会中重振网络讨论,而不仅仅是那些签署公司。”
WEF还邀请各部门的组织支持网络弹性承诺,并加强整个系统的网络安全。
NCC集团战略威胁情报团队发布的数据显示,勒索软件攻击的受害者数量在 4月份似乎已经趋于稳定。上个月总共观察到288次攻击,比3月份观察到的283次略有增加。“4月份最受攻击的行业是工业,占攻击次数的35%,其次是周期性消费品,占攻击次数的19%。与3月份的结果相似,很明显,勒索软件威胁参与者对这些领域有着不懈的兴趣和热情,”研究补充说。
本周早些时候,世界经济论坛认识到,关键基础设施保护对于保持基本服务运行至关重要,并且通常依赖于公私合作模式。此外,关键基础设施故障的成本通常被认为是最坏的情况,因为通常存在谁为其安全买单的问题。该机构建议,确定“具有系统重要性的关键基础设施”有助于开辟新的合作模式并开启新的融资机制。
参考资源
1、https://industrialcyber.co/analysis/cyber-resilience-pledge-ropes-in-oil-and-gas-companies-to-mitigate-growing-cyber-risks-promote-resilience/
2、https://initiatives.weforum.org/cyberresiliencepledge
3、https://www.weforum.org/projects/cyber-resilience-in-oil-and-gas-industry
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。