风险管理提供商DNV对能源行业网络安全状况进行了研究,对948名能源专业人士进行了调查,并对行业领导者和安全专家进行了一系列深入访谈,并于2022年2月至3月期间进行了实地考察。受访者来自欧洲、美洲、中东和非洲以及亚太地区,包括上市公司和私营公司,涵盖能源行业服务、电力传输和供应、可再生能源以及石油和天然气。

调查发现,虽然IT环境受到保护,但能源企业需要提高其OT的安全性。OT是用于管理,监视和控制工业运营的计算和通信系统。不到一半的受访者(47%)认为其OT安全性与IT安全性一样强大,只有不到三分之一的OT合作人员认为其公司将保护供应链作为首要任务。

能源行业缺乏安全性并不是因为该行业专业人士没有意识到网络攻击的可能性。超过五分之四的电力、可再生能源和石油天然气行业的专业人士认为,对该行业的网络攻击可能会导致运营中断(85%),并破坏能源资产和关键基础设施(84%)。74%的受访者预计攻击会损害环境,而57%认为会造成生命损失。

DNV网络安全董事总经理Trond Solberg表示,“能源是报告网络攻击的三大行业之一,面临着特定挑战。虽然所有行业都必须防止黑客从其IT环境中窃取敏感数据,然而能源行业还面临着管理OT威胁的越来越紧迫的挑战,包括用于管理、监控和控制工业运营的计算和通信系统。随着OT变得更加网络化并与IT系统连接,攻击者可以访问和控制运行关键基础设施的系统,例如电网、风电场、管道和炼油厂。研究发现,能源行业正在意识到OT安全威胁,但必须采取更迅速的行动来应对它。47%的能源专业人士认为,他们的OT安全性与其IT安全性一样强大安全可靠。”

在研究中,DNV明确了受访者最关心的理论攻击是什么,包括服务和运营中断(57%),声誉损害(42%),数据泄露(41%)以及相应的利润损失(39%)。24%和16%的受访者表示生命损失和环境灾难是最关心的问题。

近年来,随着能源行业发生一系列备受瞩目的网络安全事件,人们对网络攻击新的和更极端后果的担忧日益加剧。研究表明,俄乌冲突给能源行业带来了新的不确定性,人们对新兴威胁的担忧有所增加,加剧了人们对这一威胁的关注和认识。

DNV报告表示,“在冲突之前,受访者表示,他们最担心的攻击者是黑客、外国势力、以及恶意的现任或前任内部人士。在冲突之后,对民族国家的担忧有所增加,但伴随着所有类别的担忧都在增加。这表明受访者预计其他机会主义者利用危机后的混乱来发起自己的攻击,无论是出于政治原因还是出于犯罪利益。”

调查显示,“受访者更加意识到自己容易受到网络攻击。同样,俄乌冲突可能激发了情绪的变化,但结果是对网络风险的更普遍认识。在俄乌冲突发生后,77%的人表示,与两年前相比,网络安全已成为其组织更高的优先事项,高于危机前的72%。与此同时,担心组织在网络安全方面做得不够的比例从41%升至46%,对运营技术安全方面投资不足的比例从36%升至40%。”

67%的能源专业人士表示,最近针对该行业的网络攻击已促使其组织对安全策略和系统进行重大改变,认为他们的组织现在比以往任何时候都更容易受到攻击。

报告称,随着OT变得更加网络化和与IT的链接,外国势力、恐怖分子、竞争对手和犯罪团伙等网络攻击者看到了攻击关键基础设施的机会,无论是勒索赎金,窃取情报还是制造广泛的破坏。“对这些黑客来说另一个吸引点是,他们过去通常针对的行业在保护关键入侵点后,变得更加难以渗透,如金融服务业。反过来,有三分之二(67%)的受访者承认,最近事件的冲击促使他们对安全战略和系统进行了重大改变。”

DNV表示,各行业存在一些差异,但所有垂直行业都对资产关闭和能源供应中断表示担忧。相比之下,来自石油天然气以及能源行业服务的受访者比电力传输和供应以及可再生能源行业的受访者更有可能担心环境破坏。

关键挑战

随着能源行业领导者寻求加强网络防御,并适应新出现的风险,该研究报告确定了能源行业必须应对的四个关键挑战,包括:观望效应阻碍进展、气隙正在迅速缩小、全球专业知识短缺、以及复杂供应链掩盖严重漏洞。

观望效应。有一些公司在采取行动之前采取了观望态度来应对威胁。44%的高管受访者认为,他们需要在未来几年内进行紧急改进,以防止对其业务的严重攻击。35%的能源专业人士表示,他们的公司需要受到严重事件的影响,然后才能对其防御进行投资。这种方法的一种可能解释是,只有不到四分之一(22%)的人怀疑他们的组织在过去五年中发生了严重的网络攻击行为。

Solberg表示,“令人担忧的是,一些能源公司可能对网络安全采取‘希望最好’的方法,而不是积极应对新出现的网络威胁。这与过去50年来能源行业逐渐采用的物理安全实践有着明显的相似之处。在1988年的Piper Alpha事件和2010年的Macondo灾难等悲惨事件之后,该行业才将全球安全协议列为优先事项并使之制度化,并实施更严格的监管。我们的研究发出了一个强烈的信号,即该行业需要进行紧急投资,以确保网络安全不会成为未来对生命、财产和环境造成损害的原因。”

气隙缩小。当工业控制系统遭受网络攻击风险时,能源企业的OT平台通过气隙与IT网络进行隔离只能获得一些安慰。

在2021年被DNV收购的工业网络安全公司Applied Risk创始人首席执行官Jalal Bouhdada表示,“受访问数据和分析需求驱动,大多数行业都是相互关联的,因此气隙方法有效的日子屈指可数。”

专业知识缺乏。研究表明,能源行业需要更多的网络专家加入劳动力队伍,主要挑战是全球人才供应危机。能源行业员工最有可能在关键时刻出现失误,只有五分之一的受访者明确表明其知道如何应对。

供应链复杂。能源行业供应链在规模上是全球性的,并且越来越复杂,依赖于第三方和第四方,其网络安全系统和流程更难以准确评估。因此,整个供应链的网络安全是受访者对保护其关键系统和数据方面信心不足的领域。

缓解措施

鉴于研究揭示的具体挑战,以及专业人员在接受采访时提供的见解,该报告提出了能源公司可以采用的三个关键措施,以增强IT和OT平台的网络安全,包括:分配可能产生影响的预算、能源公司应在黑客之前发现其项目和运营存在的威胁、并采取适当措施平衡培训和技术之间的投资。

分配预算。能源行业正在主要投资于数字化及能源转型计划,面临着不确定的贸易环境压力,因此许多组织可能难以保留升级网络安全能力的预算。平均而言,大约三分之一的受访者表示他们对IT和OT能力的投资不足。

加强防御的第一步是确定关键基础设施易受攻击的位置,对漏洞发现的投资必须包括与之合作并从中采购的公司。只有28%与OT合作的能源专业人士表示,他们的公司将供应链的网络安全作为投资的重中之重。相比之下,45%的OT运营受访者表示,IT系统升级支出是一项高度优先的投资。

发现威胁。能源企业需要对其信息和控制系统以及供应商的信息和控制系统有一个清晰而完整的概述。如果在供应链的其他地方存在漏洞,并且与供应商和分包商签订的合同中没有充分考虑网络安全因素,则确保技术平台的安全性可能会受到破坏。

Bouhdada表示,“能源公司可以完全监督自己的漏洞,并采取所有正确的措施来管理风险,但如果供应链中存在未被发现的漏洞,那也不会产生影响。研究发现,‘远程访问OT系统’是对能源行业进行潜在网络攻击的三大方法之一。我们将敦促该行业更加关注确保设备供应商和供应商从采购的最初阶段就遵循安全最佳实践。”

员工培训。能源行业需要改变平衡,更均匀地分布培训及技术这两个关键领域。企业不应减少对技术升级的投资,但需要扩大培训计划,同时仔细探索需要将哪些专业知识带入企业。

当组织进行网络安全投资时,一半以上(59%)的受访者更倾向于升级核心IT系统和软件,而不是培训(41%)或引入网络安全专业知识(25%)。尽管网络安全威胁不断涌现,但调查表明,31%的能源专业人士自信地断言,如果他们担心组织面临潜在的网络风险或威胁,他们确切知道该怎么做。这一发现表明,能源公司需要投资培训员工,以发现试图访问其系统的犯罪行为。

参考链接:

【1】https://www.helpnetsecurity.com/2022/05/25/energy-sector-cyberattacks/

【2】https://pv-magazine-usa.com/2022/05/19/energy-sector-should-be-better-prepared-for-cyber-attacks-said-dnv/

【3】https://industrialcyber.co/threats-attacks/dnv-research-says-with-industrial-systems-becoming-network-connected-energy-industry-waking-up-to-emerging-cyber-threats/

【4】https://safety4sea.com/dnv-energy-executives-expect-more-extreme-cyber-attacks/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。