能源、海事和制造业等行业的公司面临着相对较新的网络安全威胁,因为网络攻击针对的是操作技术(OT),可能带来毁灭性的安全和经济后果。1
根据IBM X-Force的数据,现在OT安全面临的风险如此之大,包括能源、运输和制造业在内的工业部乐动官网网址门是2021年受攻击最多的十大行业之一。2这种不断上升的事件浪潮引发了新的监管要求,以及不断演变的框架、标准和最佳实践,这些都相当于事实上的监管。
OT网络安全挑战要求行业内外进行更大的合作,以有效应对。可靠的合作途径包括制定新标准、创造最佳实践和分享知识。全行业应对包括OT供应商在内的整个价值链的全行业和全球挑战的时机已经成熟。
在OT网络安全成为一个比许多董事会和高管们想象的更大、更严重的安全问题之前,需要更多的行业合作来识别和应对威胁。”
DNV网络安全客户成功总监Shaun Reardon表示:“我们对正在进行的合作活动感到鼓舞。“但在OT网络安全成为一个比许多董事会和高管们想象的更大、更严重的安全问题之前,需要进行更多的行业合作,以识别和应对威胁。”OT网络安全风险日益成为业务风险。对于业界来说,从来没有比现在更重要的时候团结起来,分享知识,创造最佳实践,并制定打击网络犯罪的新标准。
DNV对我们2022年5月报告的研究网络优先显示了指导董事和管理层如何促进具有网络意识和弹性的企业文化的重要性。
十分之六的能源高管承认,他们的组织比以往任何时候都更容易受到网络攻击。更少的人(44%)希望在未来几年内进行紧急改进以防止攻击。超过三分之一(35%)的人表示,他们的业务需要受到重大事件的影响,才会在防御上花费更多的时间和金钱。
里尔登评论说:“一些能源公司似乎希望得到最好的结果,而不是主动应对网络威胁。”“这让我们想起了上世纪70年代石油和天然气行业对人身安全措施的态度。只有像Piper Alpha和深水地平线这样的悲剧事件,石油和天然气行业才会优先考虑安全协议、标准和监管,并将其制度化。”
在OT网络安全领域,没有理由不能实现类似的转型,但不必经历类似的痛苦,他强调:“在物理安全的情况下,协作和在流程、人员和技术上建立信任,可以成为跨工业部门及其价值链的IT和OT网络安全的关键。”乐动官网网址
里尔登补充说,网络优先级还表明有必要保持对IT网络安全的投资,同时确保有同等的资源可用来保护OT免受网络攻击。DNV公司Applied Risk在2021年发布的一项关于OT安全专业人员的研究显示,过时和老化的控制系统是最大限度地减少OT安全相关风险的最大障碍。
信任至关重要。可以理解的是,企业不愿分享OT网络安全经验,担心这会削弱信心或突显漏洞。他们需要一个安全的“空间”来报告、收集、分析和分享网络安全事件的教训。与行业同行合作创建最佳实践和开发新标准就是这样一个安全空间。
Reardon说:“公平地说,目前还没有足够的最佳实践来指导运营商、供应商、制造商和监管机构为OT建立有效的网络防御。”“也就是说,我们已经看到行业参与者走到一起,开发技术最佳实践。”
合作成果包括IEC 62443自动化和控制系统OT网络安全标准,以及DNV推荐实践(RP)。DNV-RP-G108适用于能源和海事行业的IEC 62443。据Applied Risk称,超过四分之三的OT安全专业人士表示,他们的组织使用特定于OT的网络安全标准来管理他们的安全计划。IEC62443系列是这些组织中最广泛采用的最大限度降低OT安全风险的标准。
推荐的做法dnv - rp - 0575也来自于与工业界的合作。该RP描述了45项风险降低措施——涵盖人员、流程和技术——为公司运营、管理和保护现有电网变电站提供了指导。对于运行中的船舶和移动海上设备,与工业合作导致dnv - rp - 0496,为网络安全弹性管理提供指导。
加强跨行业合作、知识共享和支持也有助于缓解日益严重的网络技能短缺。技能差距反映在不到三分之一的受访者表示,如果他们担心潜在的网络风险或正在展开的攻击,他们有信心确切地知道该怎么做(图1)。在这种情况下,响应速度至关重要。
根据ISC2网络安全劳动力研究,网络安全劳动力缺口约为270万专业人员。3.在能源、海事和其他行业,对既懂OT又懂IT的专业人才以及相关行业背景乐动官网网址的需求加剧了这一挑战。在全球网络专业人才短缺的情况下,企业需要合作,利用共享的经验和知识,尤其是中小型运营商。
“一些能源企业实际上没有所谓的IT团队,更没有专注于OT安全的团队。我们调查的可再生能源公司尤其如此。他们的高级专业人员在事件反应意识方面得分最低,”里尔登说。
自愿合作可以帮助设计和实施企业战略、流程、文化态度和培训,以简化对现有法规的遵从。它还可以使公司以更少的努力和成本来遵守不可避免的新的和更新的法规,要求检测、识别和报告实际或可疑的网络事件。
里尔登指出:“由于安全和经济风险如此之高,各国政府将更加积极主动地制定网络法规和法律,以保护健康、安全、环境、战略基础设施和资产。我们已经看到了这一点,例如,在殖民管道事件之后。”在那次网络攻击之后,美国联邦政府于2021年5月发布了一项安全指令,要求管道运营商在一个月内检查并报告其管道系统的网络安全情况。4
同月,美国总统乔·拜登发布了一项行政命令,其中包括在2022年成立网络安全审查委员会(CSRB)。政府和行业领袖在CSRB合作审查和评估重大网络安全事件,以更好地保护美国的网络和基础设施。5CSRB既不监管也不执行,而是识别和分享促进国家网络安全的经验教训。其第一份报告为政府和行业提供了19项可采取行动的建议,以应对2021年底在广泛报道中发现的漏洞所构成的持续风险Log4Shell流行Java编程语言的漏洞。Log4Shell举例说明了源自供应链的风险。它于2021年在全球云服务器和企业软件以及It和OT中使用的工具中被发现。
根据美国2002年《海上运输安全法》(MTSA),美国船只和设施必须向美国海岸警卫队国家反应中心报告网络安全漏洞或可疑网络活动。对于不涉及物理或污染影响的网络事件,报告方也可以向国家网络安全和通信集成中心报告,该中心可能能够提供技术援助。自2016年以来,有关此类报告的指导意见已经出台,但尚不清楚有何回应。
在全球治理的舞台上,国际海事组织(IMO)提出了航运网络安全的要求和准则。国际海事组织的网络风险管理解决方案,要求船东、经营人和管理人员确保每艘船舶的安全管理系统包括网络风险管理。
欧洲的发展表明,未来能源行业跨境贸易和在复杂供应链中工作将面临更多的网络安全合规挑战。欧盟正在准备一项关于能源部门数字化的行动计划。6根据该计划的路线图,它可能包括关注“加强能源部门的网络安全,面对实时需求、级联效应以及传统技术与智能/最先进技术的混合”。该行动计划将与目前正在更新的欧盟网络安全总体框架(即NIS指令)保持一致。此外,还计划制定《欧洲跨境电力流动网络安全守则》。该行动计划将评估在必要时为能源行业网络安全的其他方面采取额外措施的必要性。
行业合作正在运作、兴起和发展(见表1),因为监管不断上升和变化,需要避免可能危及收入和经营许可证的事件。
国际船级社协会(IACS)统一要求(URs)要求造船厂,作为系统集成商和系统供应商,从2024年1月1日起在所有新造船船舶和系统中建立网络安全屏障(图2)。7URs适用于等级规则和法定法规要求的IT和OT系统以及内部和外部通信系统。URs是新船网络弹性和舰载系统和设备网络安全的最低目标要求。它们来自IACS建立的网络系统联合工作组的广泛合作。
IACS URs和DNV自己的等级规则使用IEC 62443标准,全面解决OT和IT网络安全问题,涵盖技术和流程相关方面。在与业界讨论的基础上,DNV开发了自己的网络安全等级符号,解决船舶主要功能的网络安全问题和船东的运营需求。
DNV已准备好将符合iacs的网络安全规则应用于新建筑。8到目前为止,已有100多艘船舶与DNV签订了自愿批准合同,还有更多的自动化和导航系统供应商正在对其系统进行类型批准。
欧洲能源信息共享和分析中心(EE-ISAC)是观察和应对欧盟监管发展的合作组织之一。它最终可能与威胁情报平台集成,实现实时态势感知。其想法是,将故障和攻击场景一起考虑,将允许威胁意识转移到操作环境中,以优先考虑决策和响应。
由电网运营商拥有的EE-ISAC和欧洲网络安全网络(ENCS)正在加强整个欧洲在威胁情报方面的合作。他们将分享关于欧洲公用事业和人民面临的漏洞和威胁的信息。这些情报将用于加强欧洲电网系统抵御网络攻击的能力。
DNV建议公司在解决网络安全问题时考虑四个重要问题:网络安全预算;确定你的弱点;关注你的供应链;投资于人。
里尔登敦促说:“这些都是合理的原则,但我们也呼吁业界进一步采取集体行动,因为工业网络安全风险日益成为商业风险。”“行业合作提供洞察、知识、专有技术、指导和灵感,帮助企业实现OT网络安全之旅,可以为企业、行业、客户和社会带来好处。”
他总结道:“我们已经看到了石油和天然气行业在安全方面的演变,我们需要看到同样的情况发生在OT网络安全方面。”
阅读更多DNV网络安全服务
参考:
1'网络优先, dnv, 2022
2“2022年X-Force威胁情报指数”,IBM, 2022年
3.“有弹性的网络安全专业绘制前进道路”,(ISC)2网络安全劳动力研究,2021年[在线]www.isc2.org
5“关于改善国家网络安全的行政命令”,白宫,2021年5月12日新闻稿
6“路线图:能源部门数字化的行动计划”,欧盟委员会,Ref. Ares(2021)4720847 - 22/07/2021
7“IACS采用网络安全新要求”,IACS,新闻稿,2022年4月21日[online] iacs.org.uk
