了解石油和天然气行业
学习目标
完成本单元后,您将能够:
- 定义石油和天然气 (OG) 行业不断扩大的数字威胁形势。
- 描述保护全球工业运营环境的复杂性。
- 解释运营技术 (OT) 对防范网络攻击的重要性。
本模块是与世界经济论坛 (WEF) 合作制作的。您也可以详细了解 Trailhead 上的合作伙伴内容。
开始之前
如果您已经完成了网络弹性计划发展模块,那么您就已经知道网络弹性是什么,我们为什么关心网络弹性,您必须做什么才能建立网络弹性,以及董事会成员如何促进和加强组织的网络弹性。现在,让我们通过探索它在石油和天然气 (OG) 行业中的表现,进一步深入探讨这个话题。随着世界上最复杂的行业之一从模拟到数字、从集中到分布式、从化石到低碳的多方面转型,管理网络风险和防止网络威胁正迅速成为公司价值链的关键。
数字威胁形势
数字革命和从化石能源向低碳能源的转变在短短几年内共同改变了 OG 行业几十年的商业模式。OG 行业的未来依赖于数字化,即将信息转换为数字格式的过程,以管理庞大的全球能源资产和运营网络,实现利润最大化、安全性提高和排放最小化。
如今,公司通过将运营技术 (OT) 与利用大数据、人工智能 (AI) 和自动化的信息技术 (IT) 网络连接起来来控制物理能源资产。OT 监控和管理工业过程资产和制造/工业设备。IT 涵盖任何形式的技术——公司、机构或任何其他处理信息的组织使用的任何设备、服务或技术。
OT 和 IT 之间的这些新的、普遍的联系是能源行业更高效、更具弹性和更低碳运营模式的关键因素。然而,这些转变给关键基础设施、其资产、系统和网络对国家至关重要的部门带来了网络风险,这些资产、系统或网络的丧失或破坏将对安保、国家经济安全、国家公共卫生或安全产生严重影响。由于关键基础设施和整个供应链都面临网络风险,网络安全是 OG 行业业务模式的核心考虑因素。
为了在这个快速变化的行业中领先于网络攻击,OG 公司必须确保网络风险规避与创新同步进行。网络风险是指当网络威胁影响资产并对组织造成重大影响时可能发生的损失。网络风险可以衡量为损失事件的可能频率和可能影响。
管理网络风险的关键是网络弹性。根据美国国家标准与技术研究所 (NIST) 的说法,“网络弹性”一词是指组织对于网络威胁的复原力,其重点是有效实施良好的网络安全实践和运营连续性计划 (COOP)。为了在当今的威胁环境中茁壮成长,OG 行业的高管必须不断提高其组织的网络弹性,评估新的和现有的风险,并在董事会成员、公司高管和关键安全专业人员之间建立对话。
OG 行业的董事会成员和公司高管在促进其组织的网络弹性方面发挥着重要作用。董事会成员是公司受托人,负责监督管理战略,识别和规划对影响公司及其对利益相关者和股东价值的企业范围风险的应对措施。董事会成员必须在实现行业运营环境数字化竞争优势和更多地暴露于试图破坏运营的网络威胁之间取得平衡。
公司主管负责报告组织管理网络弹性的能力。首席信息安全官 (CISO) 通常是组织内负责监督组织网络恢复计划的人,该计划旨在保护数字基础设施免受网络威胁,确保业务运营的连续性。
到 2025 年,工业设备连接预计将达到 370 亿,数字化正在迅速将 OG 行业从基于商品的模拟设备业务转变为自动化、远程控制和人工智能驱动的行业,以前所未有的速度做出基于风险的决策。OG 行业中工业设备连接的一个例子是传感器,用于监控油箱的库存水平,并在需要清空油箱时自动调度卡车。传感器还监控地面泵的性能,以提醒维护团队注意问题,并向员工提供安全问题的警告信号,以防止伤亡。实时油箱传感器通知可实现连续泵送,同时优化库存运输并将停机成本降至最低。
与此同时,在这场数字转型中,恶意威胁者越来越多地将能源行业视为发动网络攻击以获取金融、犯罪或地缘政治利益的成熟目标。然而,很多 OG 公司并不习惯将自己视为数字公司,因此缺乏网络安全技术、系统、人员和协议来保护工业运营环境。
保护工业运营环境
OG 行业的网络安全本质上是困难的,因为运营一个大型组织,其业务、资产和人员分布在世界各地,并与复杂的客户和供应商供应链合作。很多 OG 公司从孤立的运营系统状态转变为完全集成的业务,产生了复杂的供应链,增加了上游、中游和下游业务之间的相互依赖性。
这种数字相互依赖扩大了潜在网络攻击的影响。更重要的是,传统设备在构建时不会考虑到现代操作环境的安全漏洞或互联性需求,这为行业基础技术的现代化带来了挑战。
如果没有强大的网络安全技术和协议,公司将无法优先部署适当的网络卫生以及针对易受攻击设备的监控和防御解决方案,从而无法与提供可靠、高效的产品和服务的受网络保护的同行竞争。许多情况下,公司面临着网络卫生方面的挑战,因为系统是相互关联的,但责任是孤立的,或者由很多不同优先级的合作伙伴分担。很多组织发现网络安全的复杂性是压倒性的,当需要保护 OT 和 IT 环境时尤其如此。
使用 OT 防范网络攻击
为了更好地理解 OT 对防范网络攻击的重要性,让我们看一个例子。Erika 是 OG 炼油厂的董事会成员。在她不知情的情况下,在几年的时间里,一个对手利用 OT 特定的恶意软件攻击 OG 生产所用的安全系统,突破了炼油厂的网络防御。恶意软件是一种文件或代码,通常通过网络传输,感染、探索、窃取或进行攻击者想要的任何行为。
三年仍未被 OG 公司的安全团队发现后,攻击者激活了其恶意软件,破坏了炼油厂的安全系统。但当部署攻击时,恶意软件中的一个错误导致工厂关闭,而不是像预期的那样造成严重的实际损害。
攻击发生后,电厂安全人员和第三方不认为突然停机是网络攻击的直接结果,因此,没有将这种可能性作为停机的根本原因进行调查。由于恶意软件仍处于活动状态,一个月后,攻击者再次试图破坏炼油厂的安全系统,但这次试图关闭更为关键的基础设施。幸运的是,由于另一个错误,攻击者再次失败。在进行调查期间,电厂的安全团队要求 OT 专家提供支持,以调查停机事件。第二次调查后,安全专家发现攻击者正在操纵工厂的 OT 系统。
从安全事件中恢复到全面运作花了 70 多天,花费了数千万美元。这样的攻击并不罕见,只要采取措施,并制定事先排练的事件应对计划,就可以检测到。如果部署了这些措施,损失的时间和攻击的影响将大大减少。
对手失误阻止了这起事件中的实际损害,但董事会治理可以,也应该使组织更能抵御 OT 网络对关键安全基础设施的威胁。作为董事会成员,Erika 有责任推动这一方法的实施,以尽量减少再次发生类似事件的可能性。
OG 行业的六项网络风险原则
在适用的情况下,组织的董事会是对公司财务、法律、战略和道德决策的安全和保障负责的最终实体。对于较小的组织,相应的网络领导者可以使用这些原则来提高网络弹性。我们来详细了解一下董事会成员指导,以帮助他们履行监督职责,获得可操作的见解,提高网络弹性。
负责网络弹性的公司主管必须向董事会明确说明网络弹性对其组织的安全和成功至关重要的原因。本模块为公司主管和经理提供建议活动,以帮助实施网络弹性原则,促进与执行董事会成员就风险进行沟通。
根据世界经济论坛 (WEF) 的说法,有六项原则可以帮助 OG 公司董事会完善其网络安全方法。在下一单元中,您将了解有关这些原则的更多信息。
资源