当我们想到关键的基础设施时,我们往往会想到能源。无论是电力线还是石油和天然气供应,切断能源供应,我们的世界就会陷入黑暗。虽然你可以肯定地说,其他行业也同样重要,如制药、食品供应等,但能源行业似乎最清楚保护其底层基础设施的必要性。
据网络安全公司联合创始人兼首席执行官巴拉克·佩雷尔曼(Barak Perelman)称,这也是最有可能受到民族国家威胁的行业Indegy.“谈到关键基础设施,你我都会想到能源,”他说。“同样的事情也适用于对手。他们的目标是能源行业。”
正确的方向
佩雷尔曼说,能源领域的网络安全趋势是积极的,但仍然有点太慢。“与金融领域相比,10年前,他们开始越来越多地遭到黑客攻击。一两年后,他们开始建造所有的墙和保护措施,”他说。“五年后,能源部门将得到很好的保护。许多利益相关者正试图推动不可避免的事情。我们可以在一两年后把一切都准备好。不幸的是,更可能是五年之后。”
佩雷尔曼坚持认为,这并不是因为市场上缺乏可用的技术。他说,预算常常是个问题——有时没有利润可计算,每一美元都是经过精心计算的。此外,拥有尖端技术的通常是小型网络安全公司,但最终用户可能不愿与小公司合作。
Indegy就是其中之一,它一直试图在市场上获得更多的知名度,并一直把更多的重点放在与大型合作伙伴的合作上——承诺在未来几个月宣布与该领域的巨头合作。
该公司成立时对工业控制系统的运行方式以及网络安全有着深刻的理解。它的创始人以前都是以色列国防军(IDF)的一员,他们了解针对能源部门的网络攻击的物理和心理后果。
IT的帮助
Perelman在过去三四年中看到的一个关键发展是,越来越多的终端用户(炼油厂、中游和上游油气业务、发电)的IT高管看到了保护运营端的必要性。他评论道:“三年前,人们有很多困惑:我们应该保护它吗?谁应该对此负责?设施吗?这人?”
但随着这些问题逐渐浮出水面,通常是从董事会层面提出要求,为工业环境提供安全保障。佩雷尔曼说:“董事会将这一问题提上了能源部门的议程。”“当董事会把它提上议程时,他们更愿意让首席信息官或首席信息官领导这项工作。”
这就是为什么当海上技术会议(OTC)上个月在休斯敦NRG公园举行时,佩雷尔曼被安排在城市另一边的CIO能源峰会上发言。当涉及到保护工业控制系统(ICS)时,制造公司的IT领导者需要了解需要什么。“在过去的10年里,他只与IT系统打交道。现在他必须保护所有这些他不熟悉的新组件,”佩雷尔曼说。
诚然,有很多设备工程师不希望IT人员靠近他们的设备。但在这方面,有些事情正在好转。“工程师们明白,把IT排除在外最终会让他们自己的工作更加困难。如果他们真的得到了处理安全问题的罚单,这只是另一件让他们无法正常工作的事情,”佩雷尔曼说。“工程师们对此很满意。如果发生了什么事,他们不能责怪工程师。这是我们的天性。”
佩雷尔曼说,一些组织正在采取一种方法,即在CISO下创建一个新的小组来处理ICS安全问题。“他们从炼油厂、管道、石油钻井平台等领域挑选工程师,对他们进行安全和最佳实践方面的培训。一年后的今天,这群人拥有20年的工程背景,但也懂安全。”他补充说,这往往是最成功的途径。“鉴于网络领域发生的一切,学习网络安全实践仍然比学习工程实践更容易。”
其他人
但回到其他行业可以被认为和能源行业一样重要的论点上……在你决定你的业务不够重要之前,有几个重要因素需要考虑。
首先,其他制造业使用非常相似的底层系统——来自相同的大型自动化供应商的相同类型的控制。因此,一个坏演员可能在脑海中有一个特定的目标,但对他的网中捕获的其他人没有任何想法。“他可能想把目标对准石油和天然气炼油厂。但如果攻击的目的是关闭他们看到的任何霍尼韦尔或西门子系统,那么非关键系统也会受到同样的伤害。”“他们可能是附带损害,即使他们不是特定的目标。”
其次,如前所述,你可能会说其他行业和能源一样重要。佩雷尔曼说:“当你审视食品和饮料制造业时,你很难说这些不重要。“攻击乳制品生产商和攻击电网一样危险。它们生产牛奶的方式,非常简单的改变就能使牛奶有毒。这非常、非常可怕,当然也应该放在关键基础设施的保护伞下。”
最后,正如我们反复听到的,来自内部的攻击实际上比来自外部的攻击更有可能——无论是因为一个不满的员工还是一个疏忽的员工。“这是网络事件,而不仅仅是网络攻击,”佩雷尔曼强调,“你是否认为自己是目标并不重要;你需要处理安全问题。”
