過去,能源公司的信息技術(IT)網絡和運營技術(OT)網絡是分開的。然而,發(fā)電-輸電-配電-零售系統的數字化已經見證了這些生態(tài)系統的融合。
雖然使組織更有效率,更能響應利益相關者的期望,但它也有缺點。生態(tài)系統的整合為網絡威脅行為者玩肇事逃逸游戲提供了一個顯著擴大的游樂場,這些游戲在意圖和結果上都是邪惡的。
令人擔憂的是,近年來此類網絡威脅和攻擊的頻率和強度都在上升。
這就要求能源行業(yè)在面對潛在的網絡攻擊時,或者在某些不幸的情況下,在網絡攻擊發(fā)生后,審視自己的準備情況。雖然價值鏈的每個部分都是脆弱的,但值得關注的是OT空間,它不如IT安全。這已成為能源公司關注的焦點。
馬來西亞能源公司采訪了馬來西亞國家石油公司(PETRONAS)網絡戰(zhàn)略與架構主管Rahayu Ramli,他就PETRONAS和整個能源行業(yè)如何保護自己免受現有和即將到來的網絡威脅提供了見解。
“幾十年來,能源行業(yè)一直是地緣和社會政治的工具,突顯了該行業(yè)對經濟、社會和生活方式的影響。
拉哈尤說:“網絡戰(zhàn)作為國家和私人武器庫的組成部分的崛起,只會放大這個問題,從上世紀90年代海灣國家的野戰(zhàn),轉變?yōu)楫斀窬W絡空間的游擊戰(zhàn),原因是工業(yè)數字化的普及。”
在復雜的能源領域,技術主要可以分為IT(例如,筆記本電腦,移動設備,服務器,云和類似)和OT(例如,可編程邏輯控制器(plc),遠程終端單元(rtu),監(jiān)控和數據采集系統(SCADA),工業(yè)控制系統(ICS),分布式控制系統(DCS),人機界面(hmi)等。
從歷史上看,這些環(huán)境大多是分開的。然而,隨著對數字工具、云計算的日益依賴以及遠程操作的日益使用,行業(yè)正在看到IT和OT之間的界限變得模糊。
物聯網(IoT)和機器人技術的使用、OT數據的共享、堅固的移動設備和個人可穿戴設備的實施都在明顯增加——所有這些都超出了過去相對靜態(tài)的OT安全邊界。
不幸的是,IT和OT生態(tài)系統的融合也可能成為攻擊媒介和進入不同臨界和重要性系統的入口點的仙境。
網絡威脅行為者的范圍很廣,從試圖破壞敵人(和盟友)關鍵基礎設施的民族國家對手,到試圖就環(huán)境、經濟或一般社會發(fā)表政治聲明的黑客活動分子。
OT空間漏洞
在許多能源公司中,對以前設計和保護OT景觀的隔離方法進行了重新檢查。“幾十年來,IT安全一直是技術運營的一個方面。另一方面,OT網絡安全作為一個具體的實踐是一個相對較新的焦點。”
“因此,隨著新的創(chuàng)業(yè)公司、產品和投資流向緩解現有和即將到來的網絡威脅,人們對提高OT領域的安全性重新產生了興趣。這是一個令人興奮的領域,但也是一個不可預測的領域。”
除了外部因素外,內部工作方式也可能導致連接的IT和OT生態(tài)系統中的漏洞,其中系統可用性至關重要,避免停機時間至關重要。雖然數字化轉型刺激了創(chuàng)新并加速了技術進步,但應用的速度和交付的壓力往往使系統安全退居次要地位。
拉哈尤指出:“最終,問題會得到解決,但通常是在系統正常運行之后,在一些不幸的情況下,只有在發(fā)生違規(guī)或事故之后。”
此外,供應商和合作伙伴供應鏈的數字化程度不斷提高,為產品和服務創(chuàng)造了靈活性和選擇。另一方面,它擴大了不幸的數據泄露或事故的風險,從一個供應商開始,然后蔓延到公司和用戶的網絡。
Polycrisis場景
世界經濟論壇發(fā)布的《2023年全球風險報告》引入了“多元危機”(polycrisis)一詞,意為“一系列相互關聯的全球性風險,其復合效應超過了每一部分的總和”。
鑒于近年來能源轉型和快速數字化帶來的波動性和不確定性,能源行業(yè)對這種情況并不陌生。
全球風險情景還包括無國界的網絡風險。整個行業(yè)預計,隨著能源公司越來越依賴互聯數字技術來運營,針對IT和OT資產和運營的網絡威脅將繼續(xù)增加。
個別公司已經開始重新評估和改善他們的安全狀況,承認這樣做所需的支持不僅僅是由技術驅動的,更重要的是,還必須得到整個組織的教育支持,以及對其安全能力和需求的持續(xù)審查和改進。
這項工作也不能在豎井里完成。它需要整個行業(yè)的支持和協作,以最大限度地減少可能影響行業(yè)中每個人以及與他們互動的社區(qū)的盲點。
Rahayu說:“在PETRONAS,我們與供應商簽訂了各種網絡安全諒解備忘錄(mou),以幫助我們更好地集中精力設計更安全的OT技術。
“我們還與其他行業(yè)參與者進行知識交流和技能提升。此外,我們與非營利組織和學術界密切合作,提高人們對網絡安全重要性的認識,了解網絡安全如何應用于我們的日常生活,并尋找潛在的人才。
她補充說:“這些類型合作的總體目標是,將人員、流程和技術之間的IT和OT生態(tài)系統整合在一起,最終將實現混合技能網絡安全勞動力的平衡(在PETRONAS內部和外部),創(chuàng)造一個更可持續(xù)的循環(huán),以管理和應對可能出現的任何網絡威脅。”
保護網絡空間環(huán)境
從2017年數字化轉型之旅開始,馬來西亞國家石油公司就認識到在整個組織中建立網絡安全環(huán)境的重要性。“這是馬來西亞國家石油公司走向數字化的先決條件,”Rahayu說。
“隨著組織在決策過程中越來越多地以數據為導向,需要更快地將新的不同技術納入各種投資組合,它確保每一步都是安全的。這種方法成為馬來西亞國家石油公司數字化轉型戰(zhàn)略的基石之一。
她補充說:“它將PETRonAS網絡安全職能的建立視為監(jiān)督It和OT的單一問責點,以管理,引導和塑造最低要求,以維持目標的網絡安全成熟度水平。”
馬來西亞國家石油公司通過設計安全方法來實現OT安全,并將網絡安全相關要求作為馬來西亞國家石油公司技術標準(PTS)的一部分。它從一個被稱為實時OT (RTOT)計劃的重點項目開始,設計和實施一個新的標準、架構和路線圖,以近乎實時地管理其It和OT補丁管理以及OT資產管理。
Rahayu說:“我們的OT足跡很大,因此我們專注于被認為是公司皇冠上的寶石的資產,并繼續(xù)在我們的本地和國際站點部署該計劃。”當馬來西亞國家石油公司完成最初的RTOT計劃時,它將繼續(xù)將安全能力擴展到OT的其他方面。
“身份在OT中是一個復雜的領域,”Rahayu補充道。“考慮到我們OT系統的分布式特性,這是一個特別值得關注的領域。
“雖然IT在建立更強大的身份和訪問管理方面一直具有優(yōu)勢,但我們正在探索為我們的OT環(huán)境做同樣的事情的方法,并致力于消除共享帳戶的使用,建立適當的身份治理并確保安全的遠程訪問。”
它還強調建立一個健全的、包羅萬象的網絡安全治理結構。
在推出全組織范圍的企業(yè)網絡安全治理框架(ECSGF)之后,在2023年初推出了一個定制的OT計劃,強調了其重要性和脆弱性。
因此,網絡安全風險評估現在是綠地和棕地項目變更管理(MOC)過程的一部分,以指導OT環(huán)境中的設計。
這些初步步驟為PETRONAS的資產和網絡漏洞的實時可見性奠定了基礎,以便根據業(yè)務關鍵性進行補救。與此同時,員工和其他利益相關者通過“人類防火墻”計劃不斷了解最新的安全行為,該計劃強調在工作、家庭和娛樂中保持警惕的必要性。
該計劃通過培訓、溝通和社區(qū)參與相結合的方式運行,并得到廣泛的網絡安全變革代理人網絡的支持,他們在我們的業(yè)務和站點中倡導信息和意識。
我們也會持續(xù)培訓員工,確保他們具備適當的網絡安全知識,以支持他們的日常工作。
例如,業(yè)務系統所有者必須參加他們監(jiān)管的系統的網絡風險管理培訓;現場的主要OT焦點在加入時就會接受OT網絡安全培訓,并每兩年更新一次,以確保他們掌握有關其工作系統的最新網絡安全知識。
保護的熱點地區(qū)
PETRonAS采用基于風險的網絡安全方法,使其能夠有效識別關鍵系統,從而使“熱點”得到更嚴格的保護,同時確保在公司的技術(縱深防御)和組織結構的各個層面都有安全措施。
這包括組織范圍內的治理和政策,以及員工群體的持續(xù)教育和意識。
一個主要的問題是OT環(huán)境,其中復雜的系統具有更長的使用壽命,維護/更新需要在一年中的特定部分精心安排停機時間。
這也是馬來西亞國家石油公司優(yōu)先部署RTOT計劃的主要原因之一,該計劃旨在加強安全實踐,解決潛在漏洞并最大限度地減少網絡威脅的影響。
另一方面,人們一直認為,人仍然是任何組織中最大的弱點之一。
通過網絡釣魚等方法進行社會工程仍然是進入公司系統的主要途徑。根據《2022年網絡釣魚報告》,67%的網絡釣魚企圖是為了竊取受害者的登錄和密碼詳細信息。
這種情況非常普遍,據估計,全球90%以上的公司網絡都可能被網絡罪犯滲透。
以這種方式,破壞可能發(fā)生在IT或OT中,盡管威脅行為者可能無法立即訪問給定的關鍵系統,但通過員工的登錄憑證進入系統可能足以投放惡意軟件,觸發(fā)勒索軟件攻擊,或者潛伏在受害者的環(huán)境中進行長期偵察程序,這就是所謂的高級持續(xù)性威脅(apt)的一個例子,它可能導致更多的惡意活動,如數據盜竊。
Rahayu補充說:“我可以告訴你,網絡釣魚的嘗試仍然是經常發(fā)生的。“三思而后行”是馬來西亞國家石油公司的主要網絡安全口號之一,我們也經常通過新應用程序和舊系統中潛在的可利用漏洞發(fā)現威脅。
“安全的一部分是接受威脅行為者在計劃攻擊時具有很大的耐心和創(chuàng)造力,現在使用人工智能增強工具甚至更簡單。
“他們也不恥于分享他們的方法,例如,整個業(yè)務都是圍繞勒索軟件即服務(RaaS)建立的。因此,一種安全措施是遠遠不夠的,從企業(yè)的角度來設計和應用安全措施,并將其作為組織戰(zhàn)略和運營的一個組成部分是至關重要的。”
政府和行業(yè)的現實檢查
在馬來西亞,自2006年國家網絡安全政策(NCSP)最初制定以來,國家關鍵信息基礎設施(NCII)一直是一個成文的優(yōu)先事項。在《國家戰(zhàn)略方案》確定的11個部門中,能源部門具有突出地位。
近年來,一些具體事件引發(fā)了更直接的行動,重新審視復雜的網絡物理系統的安全態(tài)勢。這些都是警鐘,敦促對不斷變化的威脅形勢采取主動和防御行動。
雖然對伊朗核離心機的Stuxnet攻擊和NotPetya勒索軟件攻擊等攻擊可能已不再被視為近期記憶的一部分,但世界各國政府和企業(yè)仍在不斷地對不斷發(fā)生的網絡事件保持警惕。最近的新聞人物包括:2020年太陽風公司(Solarwinds)供應鏈違規(guī);Colonial Pipeline勒索軟件事件和2021年Kaseya供應鏈泄露事件;以及2023年MOVEit數據泄露事件,該事件影響了數百家組織和數百萬個人。
能源部門已經開始就網絡安全進行更深入的對話,以更好地了解社區(qū)可能共同面臨的威脅。組織對協作和知識共享變得更加開放,為關鍵基礎設施論壇(如由歐盟網絡安全機構(ENISA)和美國國家網絡安全卓越中心(NCCoE)領導的論壇)的對話提供經驗和教訓。
2022年,世界經濟論壇與50多家公司和政府機構合作,發(fā)起了“石油和天然氣行業(yè)的網絡彈性”倡議,目標是建立治理和管理網絡風險的藍圖,并統一其保護數字基礎設施和資產的方法。能源基準小組(以前稱為油氣基準小組或OGBG)為能源公司提供了一個與行業(yè)其他公司進行運營基準評估的途徑,同時圍繞安全和安保等關鍵話題進行戰(zhàn)略對話。
在馬來西亞,正在討論和計劃保護該國的國家網絡安全信息基礎設施(NCII)。此外,該中心還與東盟-新加坡網絡安全卓越中心密切合作,以提高區(qū)域人才和能力的技能和知識共享。在操作上,NCII利益相關者與相關政府機構密切合作,以確保準確及時的事件報告,并建立和維護組織認證,如ISMS ISO 27001。
眾所周知,馬來西亞能源公司也與馬來西亞標準部合作,采用IEC 62443標準作為馬來西亞標準(MS)的一部分。這項計劃的目的是確保這些標準對本地行業(yè)參與者來說更容易獲得和負擔得起,不僅僅是最終用戶,還有系統集成商和供應商。
Rahayu補充說:“在網絡攻擊事件中,快速響應和恢復的能力在很大程度上取決于識別、檢測和保護目標的強大基本能力。”
能源委員會的觀點
能源委員會信息管理和技術部門高級副主任Khairol Fahami表示:“我們的監(jiān)管機構將確保根據管理馬來西亞電力供應行業(yè)的2015年電力供應(修正案)法案規(guī)定的安全,不間斷和可靠的電力供應生態(tài)系統。”
“委員會希望行業(yè)參與者在網絡安全方面遵循適當的指導方針,但總的來說,由他們來決定什么最有效。”我們強烈鼓勵企業(yè)遵循全球網絡安全最佳實踐。”
“不幸的是,信息技術(IT)和操作技術(OT)網絡的快速融合帶來了前所未有的挑戰(zhàn),”他指出。“能源行業(yè)的許多人認為,網絡攻擊可能會在沒有任何事先警告的情況下襲擊他們。能源公司如何保護自己免受網絡安全攻擊?最關鍵的一步是確定易受攻擊的領域并加以加強。
“從委員會的角度來看,組織必須做出正確的投資來加強他們的安全生態(tài)系統。他們還應該有正確的策略和策略,以確保在發(fā)生攻擊時快速恢復的敏捷性和靈活性。它們的優(yōu)先事項之一應該是機構網絡衛(wèi)生。糟糕的網絡衛(wèi)生包括弱密碼或缺乏密碼、過時的軟件或較差的物理安全性,”哈羅爾說。
機構網絡衛(wèi)生是正在進行數字化計劃的歐盟委員會的優(yōu)先事項。資訊管理及科技組有嚴格的時間表,提醒員工更改密碼,并監(jiān)察和檢查他們的電子郵件,以防出現最輕微的異常情況。還定期舉辦教育和參與會議,以確保每個人都在網絡安全中發(fā)揮作用,并充分意識到潛伏在網絡空間的威脅。“作為一項政策,委員會在網絡安全方面采取了‘零信任’的方法。任何人,無論愿意還是不愿意——或者,在某些情況下,不知情——都可能成為網絡安全鏈上的薄弱環(huán)節(jié)。”
馬來西亞國家石油公司(PETRONAS)網絡戰(zhàn)略與架構主管Rahayu Ramli
×