數(shù)字化創(chuàng)造了無法想象的可能性。幾年前無法想象的事情早已成為現(xiàn)實(shí)。但是硬幣的另一面是隨之而來的威脅和漏洞。石油和天然氣行業(yè)的每項(xiàng)活動(dòng)都面臨著網(wǎng)絡(luò)安全漏洞帶來的風(fēng)險(xiǎn)。不良事件，無論是有意還是無意，都可能影響個(gè)人、企業(yè)和整個(gè)社會(huì)。

近年來，網(wǎng)絡(luò)攻擊的事件表明，能源和石油部門屬于最脆弱的部門。隨著我們技術(shù)的發(fā)展，攻擊者使用的方法變得越來越創(chuàng)新和復(fù)雜。

1. 石油和天然氣中的數(shù)字漏洞

為什么石油和天然氣行業(yè)的網(wǎng)絡(luò)攻擊在增加？這是歷史事實(shí)嗎？

首先讓我們看一下現(xiàn)狀：石油和天然氣行業(yè)中使用的工業(yè)自動(dòng)化、控制和安全系統(tǒng)在很大程度上已數(shù)字化并依賴于數(shù)字技術(shù)。過去，此類系統(tǒng)是專有封閉的。如今，它們主要基于商業(yè)化標(biāo)準(zhǔn)器件，例如具有Microsoft Windows操作系統(tǒng)的PC。這意味著這些可商業(yè)購買標(biāo)準(zhǔn)產(chǎn)品的已知弱點(diǎn)也在該領(lǐng)域得到了揭示。

在網(wǎng)絡(luò)中也可以看到這種發(fā)展。過去，過程設(shè)備和控制系統(tǒng)之間使用的網(wǎng)絡(luò)是隔離的和專有的，但現(xiàn)在基于Internet技術(shù)。同樣，工業(yè)自動(dòng)化和控制系統(tǒng)過去在物理上與傳統(tǒng)的信息系統(tǒng)和開放網(wǎng)絡(luò)分離。需要將生產(chǎn)數(shù)據(jù)傳輸?shù)叫畔⑾到y(tǒng)和遠(yuǎn)程維護(hù)意味著分離實(shí)際上是越來越不可能的。越來越多的遠(yuǎn)程維護(hù)是在遙遠(yuǎn)的地點(diǎn)進(jìn)行的，這可能導(dǎo)致共享計(jì)算機(jī)網(wǎng)絡(luò)的使用。這意味著生產(chǎn)設(shè)備面臨網(wǎng)絡(luò)相關(guān)的漏洞。

2. 石油和天然氣行業(yè)的十大網(wǎng)絡(luò)安全漏洞

1. 缺乏網(wǎng)絡(luò)安全意識(shí)，沒有員工培訓(xùn)

2. 遠(yuǎn)程操作與維護(hù)

3. 在生產(chǎn)環(huán)境中使用具有已知漏洞的標(biāo)準(zhǔn)IT產(chǎn)品

4. 供應(yīng)商，供應(yīng)商和承包商之間有限的網(wǎng)絡(luò)安全文化

5. 數(shù)據(jù)網(wǎng)絡(luò)分離不足

6. 使用移動(dòng)設(shè)備和存儲(chǔ)單元（包括智能手機(jī)）

7. 陸上和海上設(shè)施之間的數(shù)據(jù)網(wǎng)絡(luò)

8. 服務(wù)器機(jī)房、機(jī)柜等的物理安全性不足

9. 易受攻擊的軟件

10. 工廠中過時(shí)的控制系統(tǒng)

3. 網(wǎng)絡(luò)安全漏洞引起的意外事件的后果

客戶經(jīng)常問：石油和天然氣行業(yè)中最大的網(wǎng)絡(luò)安全漏洞是什么？答案很簡單：是人類！

惡意代碼通常是由人為錯(cuò)誤傳播的。電子郵件中的附件已打開，U盤已插入，手機(jī)已充電，筆記本電腦已連接至關(guān)鍵網(wǎng)絡(luò)，依此類推。手機(jī)也可以輕松連接到Internet，誘使用戶泄露密碼等。人為錯(cuò)誤被認(rèn)為是該行業(yè)中最大的數(shù)字漏洞。

基于網(wǎng)絡(luò)安全漏洞的意外事件的后果主要是財(cái)務(wù)上的。必須關(guān)閉生產(chǎn)，這意味著該部門的收入損失。社會(huì)將經(jīng)歷直接稅和間接稅的下降。意外事件將意味著公司聲譽(yù)受損。如果破壞分子和恐怖組織設(shè)法控制重要的生產(chǎn)設(shè)施，則在最壞的情況下，可能導(dǎo)致環(huán)境破壞和人員傷亡。

4. 依存關(guān)系

隨著石油和天然氣行業(yè)不斷擴(kuò)大基礎(chǔ)建設(shè)，其配電系統(tǒng)也隨之越來越復(fù)雜和龐大。長期以來，人們越來越關(guān)注配電系統(tǒng)中的數(shù)字漏洞。這樣的分配系統(tǒng)是復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，高度依賴于管理和控制系統(tǒng)。

5. 應(yīng)急準(zhǔn)備

一項(xiàng)針對該行業(yè)公司的非正式國際調(diào)查顯示，只有40％的公司制定了事件響應(yīng)計(jì)劃/業(yè)務(wù)連續(xù)性計(jì)劃，該計(jì)劃涵蓋了數(shù)字漏洞并定義了發(fā)生網(wǎng)絡(luò)攻擊時(shí)的處理方法。危機(jī)和應(yīng)急準(zhǔn)備的重點(diǎn)是火災(zāi)、爆炸、有毒有害物質(zhì)泄漏等。

6. 未來的問題和趨勢

本文發(fā)表的時(shí)候，石油價(jià)格低于每桶40美元，未來價(jià)格走勢尚不確定。這意味著該行業(yè)將不得不降低成本以維持盈利能力。這些削減成本的措施可能會(huì)影響安全的不斷提高，這是一個(gè)重大挑戰(zhàn)。對成本效益評估和新工作方法的日益重視是未來的重要內(nèi)容。

該行業(yè)的數(shù)字化仍在繼續(xù)。“物聯(lián)網(wǎng)”（IIoT）將導(dǎo)致更多具有網(wǎng)絡(luò)安全漏洞的部門。要傳輸?shù)臄?shù)據(jù)量正在增加，并且標(biāo)準(zhǔn)的IT設(shè)備將越來越多地集成到專用控制系統(tǒng)中。

出于安全原因必須保護(hù)的重要關(guān)鍵功能、基礎(chǔ)結(jié)構(gòu)和信息的風(fēng)險(xiǎn)正在增加。此外，個(gè)人受到間諜、破壞、恐怖行為和其他嚴(yán)重行為影響的風(fēng)險(xiǎn)更高。

7. 最重要的降低風(fēng)險(xiǎn)措施

那么，如何保護(hù)石油和天然氣平臺(tái)免受網(wǎng)絡(luò)攻擊呢？

引入了屏障來降低風(fēng)險(xiǎn)–部分是為了防止不良事件的發(fā)生，部分是為了減輕不良事件的后果。人們越來越關(guān)注防止意外事件發(fā)生的障礙。但是，這些屏障的質(zhì)量僅在有限的程度上進(jìn)行了測試和驗(yàn)證。僅僅依靠防火墻進(jìn)行保護(hù)是不夠的。還必須建立其他障礙，包括打開/關(guān)閉通道、程序和工作流程。

在大多數(shù)情況下，沒有足夠的設(shè)備和例程來檢測黑客已將正在進(jìn)行的活動(dòng)作為系統(tǒng)的目標(biāo)。另外，當(dāng)懷疑有可能發(fā)生不良事件時(shí)，缺乏防止不良后果的訓(xùn)練有素的程序。

8. 個(gè)體參與者應(yīng)采取哪些措施來緩解網(wǎng)絡(luò)安全漏洞

監(jiān)管機(jī)構(gòu)應(yīng)采用功能要求，要求必須設(shè)置數(shù)字漏洞壁壘。網(wǎng)絡(luò)安全漏洞必須包括在適當(dāng)?shù)娘L(fēng)險(xiǎn)分析中。

公司必須建立一種減少數(shù)字漏洞的文化，就像有一種預(yù)防火災(zāi)和爆炸的文化一樣。增強(qiáng)意識(shí)的措施必須成為行業(yè)內(nèi)和公眾的優(yōu)先事項(xiàng)。學(xué)校應(yīng)該更加關(guān)注如何使用數(shù)字媒體。

9. 展望

是的，當(dāng)涉及到網(wǎng)絡(luò)安全漏洞時(shí)，您可能會(huì)很不安。但是，可以使用適當(dāng)?shù)钠琳蟻矸乐构粽呷肭帜南到y(tǒng)。您是否已經(jīng)整合了所有必要的障礙？如果沒有，請聯(lián)系我們的康吉森自動(dòng)化網(wǎng)絡(luò)安全團(tuán)隊(duì)。我們很樂意為您提供幫助。