他们说恢复的第一步是承认你有问题。最近出现的一些关于工业网络安全的研究似乎主要是为了发现感知。但如果人们认为存在问题,那么很有可能行业会更有可能采取必要的措施来解决问题。
在一些最新的调查结果中,油气网络安全风险管理人员透露了他们的担忧:网络安全措施的部署跟不上油气业务数字化的发展。在波纳蒙研究所(Ponemon Institute)的一项研究中,只有约三分之一的受访者将其所在组织的操作技术(OT)中的网络准备程度评价为高。66%的人表示,数字化显著增加了他们的网络风险。
事实上,68%的受访者表示,他们的业务在过去的一年里至少有过一次安全漏洞,导致机密信息丢失或OT中断。委托开展这项研究的西门子美国公司首席执行官Judy Marks说:“我们感到震惊和担忧的是,近70%的石油和天然气公司基本上承认,他们在过去的一年里遭到了黑客攻击。”
该研究调查了377名在美国负责保护或监督OT环境中的网络风险的个人,包括上游、中游和下游应用程序。其中约三分之二的人表示,由于网络威胁,工业控制系统(ICSs)的风险水平在过去几年大幅增加,61%的人表示他们的ICS保护和安全不足。
这在很大程度上与过时和老化的控制系统有关,63%的受访者表示,这使他们的设施面临风险。61%的受访者表示,使用生产环境中存在已知漏洞的标准IT产品会增加这种风险。
只有41%的受访者表示,他们会持续监控所有基础设施,以确定威胁和攻击的优先级。在OT环境中,平均有46%的网络攻击没有被发现。
59%的受访者表示,OT环境总体上比IT环境面临更大的风险。Marks认为这是OT和IT更紧密结合的关键原因。“我们是一家运营技术公司,我们用我们卖的东西,卖我们用的东西,”她说。“在OT世界中,当每个人都在IT世界中感到舒适时,我们需要这种融合。”
正如石油和天然气公司对国家安全的重要性一样,最大的威胁不是来自外部力量,而是来自内部——65%的受访者表示,最大的网络安全威胁是疏忽大意的内部人员,15%的人表示是恶意或犯罪的内部人员。
“无论是内部攻击还是其他恶意或犯罪活动,”马克斯说,“我们需要整合技术、人员和流程来应对这种情况。”
在降低网络安全风险方面被认为非常有效的技术包括用户行为分析(63%)、强化端点(62%)和动态数据加密(62%)。不幸的是,根据调查结果,这些安全技术并没有得到广泛应用。在接下来的12个月里,只有不到一半(48%)的组织表示他们将使用动态数据加密,只有39%的组织将部署强化终端,只有20%的组织将采用用户行为分析。
“石油和天然气行业的网络攻击可能会对经济和国家安全造成潜在的毁灭性后果,”波内蒙研究所(Ponemon Institute)主席兼创始人拉里•波内蒙(Larry Ponemon)表示。“我们希望这项研究的发现能产生一种紧迫感,在人员、流程和技术方面进行适当投资,以提高该行业的网络准备能力。”
马克斯敦促石油和天然气行业开展更多合作。她说:“我们需要分享更多的信息,以便我们能够迅速应对这些威胁,这样石油和天然气生产及其对经济的影响就不会受到影响。”
欲了解更多信息,请阅读“石油和天然气工业的网络安全状况:美国”。