网络安全

随着资产和设备联网,EPC公司正在适应网络安全挑战

随着资产和设备联网,EPC公司正在适应网络安全挑战

联系我们:

基督教Nerland

基督教Nerland

业务发展总监

发送电子邮件

发布日期:2022年2月7日


  • 随着资产和设备越来越网络化,能源基础设施发展项目面临越来越多的网络安全挑战
  • 工程、采购和建设(EPC)承包商必须满足客户对基础设施在移交和运营启动时实现网络安全的要求
  • EPC承包商需要鼓励小型系统供应商提供网络安全系统和组件
  • EPC承包商施耐德电气(Schneider Electric)的奥马尔•加西亚(Omar Garcia)表示,对未经验证的新产品或技术进行网络漏洞测试是可取的

管理能源基础设施开发项目的工程、采购和建设(EPC)承包商面临越来越多的网络安全挑战,因为曾经管理工业运营的独立计算系统越来越多地连接到IT基础设施和物联网。

这种日益增长的连通性对EPC承包商提出了大量要求,要求他们按时并在预算内开发和移交资产,同时还要确保运营启动时的网络安全。在整个项目阶段,承包商必须向运营商展示工业控制系统(ICS)容易受到网络攻击的最新风险,以及如何降低风险。例如,运营商需要保证承包商推荐的第三方设备和系统不会给他们的运营带来不可接受的网络风险。

参与大型能源基础设施项目的人员(包括内部人员和供应商)数量之多,也增加了网络安全可能受到威胁的风险,因为他们连接笔记本电脑、笔式驱动器和其他设备和外围设备,并安装软件。另一个重大威胁来自于不总是使用最新版本的网络安全软件。

联系我们:

基督教Nerland

基督教Nerland

业务发展总监

发送电子邮件
为能源基础设施项目实施网络安全的最大挑战在于,在项目移交给运营商运营之前,有许多不同的方法可以达到运营商希望达到的可接受的风险水平。”
奥马尔•加西亚
  • 项目经理
  • 施耐德电气

网络安全挑战的复杂性因其产生的通信需求而成倍增加。施耐德电气(Schneider Electric)项目经理奥马尔•加西亚(Omar Garcia)表示:“在能源基础设施项目中实施网络安全的最大挑战在于,在项目移交给运营商运营之前,有许多不同的方法可以达到运营商希望达到的可接受的风险水平。”

这一切都意味着EPC承包商的项目经理,直接与客户打交道,现在必须能够权威地传达挑战、选项和进展,以达到更复杂和相互关联的资产和系统所需的网络安全水平。这要求项目经理不断证明他们了解资产的网络安全状况、当前的网络威胁和风险概况,以及可以确保客户期望继续得到满足的策略。

“我们在很大程度上依赖施耐德电气的技术经理和其他SME(主题专家)以及开发运营商,并倾向于在每个项目中准备和使用风险评估矩阵,以更好地与客户及其期望保持一致,”Omar解释道。这样的矩阵是在定量风险评估中计算出的风险概率和严重程度的图形表示(图1)。“这包括定义与客户保持一致的工作范围,这是一个很好的图形模型,可以向他们展示您是如何进展的,以及您降低了多少风险,”Omar补充道。


单一来源的设备供应商使网络安全挑战复杂化

DNV网络安全业务发展总监Christian Nerland表示,在涉及复杂、多利益相关者供应链的能源基础设施项目中,小型系统供应商通常代表着更高的网络风险:“较小的供应商保护系统的历史较少,过去它们是独立的。然而,现在他们的系统之间的联系越来越紧密,庞大而分散的供应链对系统集成商和EPC承包商来说是一个挑战,因为他们需要监督网络风险。”

Omar观察到:“例如,当你在棕地项目中面对原始设备制造商(oem)和供应商时,他们都是指定设备和部件的单一来源。你别无选择,只能利用他们,你需要他们的支持和参与。你需要他们实现客户需要的一些网络安全技术。但在某些情况下,这些供应商并不是非常大的公司,不具备网络安全技能。”

因此,EPC承包商需要帮助此类供应商理解网络安全在所提供OT组件中的重要性,并尽可能确保其支持。

图1:用于展示风险缓解措施前后潜在网络安全风险的风险矩阵。(来源:DNV)
图1:用于展示风险缓解措施前后潜在网络安全风险的风险矩阵。(来源:DNV)
根据我的经验,只有少数非常大的原始设备制造商了解网络安全的重要性,并有合适的人负责网络安全。”
奥马尔•加西亚
  • 项目经理
  • 施耐德电气

“这是一个相当大的挑战,”奥马尔说。“根据我的经验,只有少数非常大的原始设备制造商了解网络安全的重要性,并有适当的人员负责网络安全。最终,我们作为EPC承包商的角色只是支持客户实施技术,而不是提高第三方供应商设备的网络安全。”他继续说,这使得很难在客户的网络安全需求和供应商提供的产品之间取得适当的一致。


供应链网络风险管理

大型和经验丰富的EPC承包商拥有世界各地大型和小型项目市场上大多数产品的经验。“我们对它们进行评估,当我们准备项目设计时,选择其中一些产品,因为我们对解决方案的成熟度和稳健性感到满意,”奥马尔说。

“但如果我们遇到挑战,因为不同的或新的OEM无法验证新产品或新技术,我们就需要测试他们。在这种情况下,我们需要执行POC(概念证明),在这种情况下,进行网络安全渗透测试来评估解决方案的稳健性是非常明智的。”例如,DNV为一系列EPC承包商在能源基础设施开发中为第三方供应商的组件提供网络安全验证服务。这涉及DNV进行ICS和IT渗透测试,模拟网络攻击,以评估可能被利用的漏洞,以获得对控制系统网络的未经授权和潜在恶意访问。

“在我们的案例中,DNV到目前为止一直很好地支持我们,”Omar说。“在我们的项目中,我们通常不寻求技术顾问,但非常信任我们自己的工程人员。外部顾问随客户而来,主要是针对复杂的项目。客户将已经准备了非常详细的工作范围,并将使用良好的内部网络安全资源严格遵循该工作范围。或者,他们会有一个外部顾问公司监督项目的所有设计和主要设计文件,或者在项目结束时跟进。”


保障作战和信息技术网络安全

DNV的网络安全方法基于公认的标准和建议,如ISO 27000系列、IEC 62443、NIST 800框架等。该公司还开发了建议的实践,可以帮助EPC承包商及其客户与利益相关者建立信任,即项目分别满足OT和IT的网络安全基准。

DNV协助油气开发项目,将深层次的能源基础设施知识与安全最佳实践相结合。DNV的Nerland表示:“客户通常希望我们能够识别和修复网络漏洞,证明符合法规和标准,并帮助他们将具有网络弹性的关键基础设施移交给运营商。”


阅读更多DNV网络安全服务
  • 网络安全

现实世界的网络安全

DNV将您的行业专业知识与深厚的工程专业知识和安全最佳实践相结合,确保您的项目和运营的网络安全。

阅读DNV关于网络安全的更多信息 我们的网络安全服务 我们服务的行业 DNV的网络LDsports幸运28洞察