随着数字化转型的继续,能源部门必须意识到日益常见、创造性和复杂的工业网络安全威胁
Jalal Bouhdada, DNV网络安全全球部门总监,Applied Risk创始人。(图片来源:DNV)
这是中东和非洲(MENA)能源专业人士的担忧网络安全威胁在该领域,69%的人认为攻击很可能导致人员伤亡。
与57%的全球平均水平相比,这只是研究结果之一网络优先,DNV的一份研究报告是基于对全球940多名能源专业人士的调查,以及对行业高管的深度采访。
探索能源领域网络安全报告发现,能源行业高管预计,未来两年内,该行业将遭遇危及生命、财产和环境的网络攻击。事实上,这些攻击可能包括对电网、船舶导航系统、风电场和管道系统的能源供应的攻击。攻击者可能是外国势力、竞争对手或犯罪团伙。
最近一个针对能源行业的网络攻击例子发生在2022年10月,当时塔塔电力公司表示,他们的IT基础设施和系统遭到了黑客攻击。另一次是在2020年,黑客试图入侵以色列水务局五个设施的工业控制系统,试图提高该国供水中的氯含量。
随着OT越来越网络化并与IT系统相连,网络犯罪分子可以更容易地访问操作关键基础设施的控制系统。因此,安全是一个关键风险,为离线世界设计的工业故障安全机制可能存在未知的漏洞,如果不保护它们免受网络攻击,它们可能会遭到破坏。
《网络优先级报告》显示,尽管一些能源组织在网络弹性方面取得了实质性进展,预防行动滞后日益增长的威胁。仍然有一个强烈的信号表明,能源行业和其他工业部门需要进行紧急投资,以确保网络安全事件不会成为未来安全事件的起因。
管理工业网络安全风险的挑战之一是存在的没有足够的最佳实践- - - - - -特别是在旧的能源基础设施中,这些设施在设计上没有内置网络安全功能- - - - - -指导运营商、供应商、制造商和监管机构建立有效的防御力量。
不过,希望业界不要因为发生了一起悲剧性的事件而改变优先考虑并制度化安全协议、标准和法规.这与石油行业在实物安全实践方面的趋势有相似之处,当时石油行业将1988年北海Piper Alpha石油平台爆炸和2010年墨西哥湾深水地平线(Deepwater Horizon)石油泄漏等事件视为实质性变化。
在过去50年里,能源行业共同努力解决安全挑战,取得了非凡的进展。在相对较短的时间内,该公司实施了全球标准,改进了工作方式和技术使用,并在全体员工中嵌入了安全第一的思想。没有理由说,类似的转变不仅可以在网络安全领域实现,而且可以在悲剧发生之前实现。
而行业参与者已经开始走到一起,开发更多的最佳实践- - - - - -例如自动化和控制系统操作技术网络安全的IEC 62443标准,以及DNV在石油和天然气行业应用的推荐实践- - - - - -我们需要进一步采取集体行动,因为工业网络安全风险日益被视为商业风险。
对于企业和当局来说,在打击工业网络犯罪方面,共同分享知识、创造最佳实践并制定新标准,比以往任何时候都更加重要。
下载网络优先来自:www.dnv.com/cyberpriority
贾拉尔·布达达(Jalal Bouhdada)是Applied Risk公司的创始人,该公司成立于2012年,总部位于阿姆斯特丹。2021年,Applied Risk与DNV合作。Bouhdada被公认为工业控制系统(ICS)安全和关键基础设施保护方面的全球思想领袖,他是几个专业安全协会的积极成员,并与人合著了ENISA和ISA 99的ICS安全最佳实践指南。
