网络优先权2022能源部门的网络安全状况（英）

能源领域的网络安全状况THī CYBīR 优先级 挪威船级社网络优先内容1一个意识到威胁的行业 72四大挑战13“观望”效应阻碍了进展15气隙正在迅速缩小17全球专业知识短缺19复杂的供应链掩盖了关键漏洞213三个关键要点23分配可以产生影响的预算25确定您易受攻击的位置26更均衡地平衡投资26培训和技术结论：该行业日益优先2734 一位 SīCTOR 唤醒了 THī THRīAT1 挪威船级社网络优先1 一位 SīCTOR 醒悟到 THī THRīAT当黑客组织 DarkSide 推出其 2021 勒索软件时进攻殖民管道，局势迅速升级。数小时内，该设施的所有者（提供美国东海岸消耗的大约一半的汽车燃料）暂停运营，导致价格飙升、加油站恐慌性购买以及最终支付比特币赎金价值数百万美元。1在 2010 年代中后期发生一系列袭击导致乌克兰电网瘫痪，导致数十万人断电后，殖民管道事件被描述为作为对能源行业日益增长的网络攻击威胁的警钟。2,3新一波攻击能源高管对整个行业面临的威胁规模并不抱任何幻想。大多数人认为重大事件是可能在未来两年内达到一定规模，导致运营中断 (85%)、环境损害 (74%) 和生命损失 (57%)。中东和非洲的受访者比欧洲和美洲的受访者更有可能有这种期望。但是，我们确实看到了行业的一些变化，所有垂直行业都对受访者认为其组织最关心的网络攻击后果黑客抓住新机遇能源是报告网络攻击的三大行业之一，4它面临着具体的挑战。虽然所有行业都必须防止黑客从其 IT 环境中窃取敏感数据，但能源企业还需要管理对其运营技术 (OT) 的威胁——他们用来管理、监控和控制工业运营的计算和通信系统。随着 OT 变得更加网络化并与 IT 连接，网络攻击者——包括外国势力、恐怖分子、竞争对手和犯罪团伙——正在看到抓住关键基础设施的机会，是否要求赎金，窃取情报，或造成广泛的破坏。对这些黑客来说，另一个吸引力在于，他们过去通常针对的行业（例如金融服务）在广泛努力保护关键入口点之后变得更难渗透。反过来，在对我们的调查作出回应的 948 名能源专业人士中，三分之二 (67%) 承认，近期事件的冲击促使他们对其安全策略 b 和系统进行重大改变。资产关闭和能源供应中断，而来自石油和天然气以及能源行业服务的受访者比输电和供应以及可再生能源行业的受访者更可能担心环境破坏。希望摆脱最坏的情况尽管高管们预计全球行业会发生严重事件，但他们不太可能相信他们自己的组织会受到最极端、危及生命的违规后果的影响。当被问及他们对理论攻击最关心的问题时，他们首先指出了服务和运营中断 (57%)、声誉受损 (42%)、数据泄露 (41%) 以及相应的利润损失 (39%)。相比之下，分别只有 24% 和 16% 的受访者将生命损失和环境灾难描述为最关心的问题。服务/运营中断声誉受损 数据丢失或损坏财务损失（包括盗窃、失去机会等）自动化系统故障 实物资产失控 知识产权盗窃 客户数据盗窃设备、机器、建筑物、车辆或基础设施损坏人身安全事故、伤害和死亡敲诈勒索或赎金造成的损失 环境破坏或污染57%42%41%39%32%30%29%27%27%24%19%16%1美国表示已收回大部分殖民地管道赎金，金融时报2乌克兰停电“是网络攻击”，BBC3人民能源数据泄露影响所有 270,000 名客户，BBC4三人对白人至上主义阴谋破坏美国电网的恐怖主义指控认罪，开始种族战争，华盛顿邮报78 挪威船级社网络优先与采用安全系统并行我们在数据中看到的脱节——与最高管理层仍在接受威胁认为自己的受访者符合这些陈述的比例受访者一方面期待重大行业事件，另一方面希望他们自己的组织能够避免受到最严重的影响——这与过去 50 年来行业逐渐采用物理安全协议类似。国际自动化协会 (ISA) 自动化标准常务董事 Andre Ristaino 解释说，站点所有者/运营商采取了在我们的调查样本中，拥有网络安全专业知识的人对其组织面临的威胁提供了更为悲观的观点。这些“专家”受访者5– 他们通常对组织的安全优势和劣势有第一手的了解 – 对于网络攻击对其业务可能对人员、地球和利润造成伤害的可能性明显更加不安。所有使用 OT 的受访者与 OT 合作的网络安全专家与 OT 合作的高管受访者由于该学科仍在发展和制度化，因此在 20 世纪后期对人员健康和安全的方法不一致。当我们将专家和非专家的数据与高管受访者的数据进行比较时，他们之间的差异更加明显。例如，30%35%29%34%43%29%79%80%76%“当时的共识是，‘你如何衡量安全性？你怎么能预测事故呢？'”他说。 “但是，一旦对安全性进行了研究，并将其提升为一门工程学科，专家们就会认识到总有一个根本原因。”尽管许多人一直在推动改进标准和监管，但需要诸如 Piper Alpha（1988 年）和 Macondo（2010 年）灾难等事件才能实施更严格的监管，并且十分之八 (80%) 的专家受访者同意，对他们的组织的攻击会造成重大的财务损失，而最高管理层的这一比例为 76%。与此同时，43% 的人认为攻击可能导致严重的环境破坏（相比之下，29% 的高管认为），35% 的人认为事件可能导致严重伤害或生命损失（29% 的高管）。同样，C-suite 受访者比网络安全专家考虑的可能性更小对我的组织的网络攻击可能导致受伤或死亡受访者最关心的威胁行为者对我的组织的网络攻击可能导致重大损害对环境对我的组织的网络攻击可能导致重大财务损失让行业领导者标准化并投资于预防未来事件的措施。“当我们听到一些能源公司可能仍对网络安全采取‘希望最好’的立场时，我们感到担忧。过去与安全协议有关的教训清楚地说明了这一点。它会“恶意内部人员”（64% 对 43%）、外国势力（69% 对 55%）或恐怖分子（55% 对 43%）对组织构成威胁，这表明他们对背后的黑客不太熟悉最近的攻击以及对员工行为和善意的更多信任。尽管我们的研究表明该行业所有受访者竞争对手41%52%43%高管受访者具有网络安全专业知识的受访者恐怖组织43%55%47%如果需要对控制系统进行一系列灾难性但可预防的攻击——导致整个行业的运营环境不那么安全——让他们重新考虑他们的方法，那将是一场悲剧”，董事总经理 Trond Solberg 说，DNV 的网络安全。对不断演变的网络威胁、网络专家与高管层令人担忧。领导者意识到他们的业务面临的风险，但专业的高管可能无法将他们的信息传达给业务中的所有决策者。破坏者或脚本小子51%47%46%黑客主义者67%76%68%恶意内部人员或前内部人员43%64%55%犯罪团伙53%60%54%外国势力和国家支持的行为者55%69%60%5一组 102 名受访者表示他们了解 IT/OT 系统、控制系统、操作软件或类似的操作和维护，并及时了解网络趋势。这些受访者也更有可能参与9围绕网络安全的购买和招聘决策。10 挪威船级社网络优先了解对手俄罗斯于 2022 年初入侵乌克兰给能源行业带来了新的不确定性，高管们日益担忧的情绪反映在他们对网络攻击者的看法上。虽然制作这份报告的实地工作是在入侵前两周开始的，但我们可以将这些答复与 2 月 24 日至 3 月 9 日期间提交的答复进行比较，当时我们完成了实地调查。符合这些陈述的比例乌克兰入侵前乌克兰入侵后冲突前，受访者表示，他们最担心的对手是黑客活动家、外国势力和恶意的现任或前任内部人士。入侵之后，我们看到对民族国家的担忧出现了可以理解的跳跃，但这伴随着所有类别的担忧上升。这表明，受访者期望其他机会主义者——无论是出于政治原因还是犯罪利益——通过发起自己的攻击来利用危机后的混乱。根据这些调查结果，我们还看到受访者更加意识到他们对网络攻击的脆弱性。再次，欧洲的冲突可能激发了情绪的变化，但结果是一个更普遍的41%46%43%46%72%77%28%31%36%40%网络风险意识。入侵后，77% 的受访者表示，与两年前相比，网络安全已成为他们组织的首要任务，高于危机前的 72%。更高比例的人还表示担心他们的组织在网络方面做得不够（41% 到 46%）或对其运营技术的安全性投资不足（从 36% 到 40%）。受访者最关心的威胁行为者我的组织对网络安全感到自满我认为我的组织需要紧急网络安全改进，以防止未来 12 个月内发生严重攻击网络安全（通常）对我来说是一个更高的优先级今天的组织比两年前我的组织在 IT 网络安全方面的投资不足我的组织在 OT 网络安全方面的投入不足担忧反映了行业的困境受访者如何看待单个网络攻击者带来的风险在能源行业的各个部门各不相同，但通常可以根据其选民面临的更广泛、更长期的挑战来理解。例如，在石油和天然气领域，十分之八（79%）的公司认为自己是黑客活动的目标，这可能反映了该子行业的碳足迹。相对于其他行业，输电和供电行业的受访者更加警觉子部门，对犯罪团伙和恐怖分子构成的威胁。黑客在 2020 年代初的一次违规事件中窃取了 270,000 条英国客户记录，6而该细分行业也成为美国近期恐怖阴谋的目标。7忧虑可能更高的地方我们看到了一些与个人黑客有关的更广泛的趋势，值得一提。在可再生能源领域，不到一半的受访者对恐怖组织、犯罪团伙或外国势力表示担忧。然而，他们没有理由不成为这些对手的目标，特别是如果他们被认为不如其他行业的企业那么高度警惕的话。平均而言，所有子行业的担忧程度相对较低业余破坏者和脚本小子，他们经常使用预先存在的代码发起攻击。企业不应低估这些业余黑客的风险。6ht tps://www.bbc.co.uk/news/technology-553509957ht tps://www.washingtonpost.com/nation/2022/02/25/power-grid-tropical-race-war/111271%黑客主义者外国势力和65%63%国家资助的演员恶意内部人员或前内部人员57%53%58%52%51%犯罪团伙50%49%恐怖组织42%破坏者或脚本小子41%竞争对手38%乌克兰入侵前乌克兰入侵后 2ĒOUR KīY CHALLīNGīS 挪威船级社网络优先2ĒOUR KīY CHALLīNGīS在能源部门这样复杂多变的环境中管理网络安全绝非易事。数字化、创新和能源转型的进步是在需求变化和欧洲冲突对全球价格和流动产生严重影响的背景下发生的。违规行为如何影响投资决策随着行业领导者希望加强他们的网络防御并适应新兴风险的格局，我们的研究确定了他们必须一路应对的四个关键挑战。1.“观望”效应阻碍了进展我们的研究揭示了一些出现的情绪，乍一看，彼此格格不入。最值得注意的是，受访者意识到他们的组织面临的威胁越来越大，但他们对网络安全的态度往往是被动的。例如，十分之六的最高管理层受访者承认，他们的组织比以往任何时候都更容易受到攻击，但希望在未来几年内进行紧急改进以防止攻击的人数要少得多 (44%)。事实上，三分之一 (35%) 的人表示，他们的组织需要受到重大事件的影响，然后才会花更多的时间或金钱进行防御。这种情绪在中东和非洲 (44%) 比在欧洲 (29%) 和美洲 (39%) 更为普遍，尽管中东的受访者更有可能期待未来几年该行业的重大网络事件。对于这种明显不愿投资于安全的一种解释是，大多数受访者我们的调查认为，他们的组织迄今为止避免了重大网络攻击。不到四分之一 (22%) 的人表示他们的组织在过去五年中遭受了严重的违规行为。此外，相对较低的比例表示，他们的 IT 遭受企图破坏的负面影响 (40%) 和OT 环境 (28%)。值得注意的是，认为自己的组织在数字化方面处于领先地位的受访者不太可能认为他们的企业在网络安全方面投资不足。在这些受访者中，很少有人表示在增加投资之前需要发生重大事件（26% 与 39% 承认自己不是领导者），他们在 IT 网络安全方面的投资不足（28% 与 32%），并且投资是由不合格的个人进行的（25% 对 31%）。这表明，支持加大数字化转型支出的企业也更愿意将投资扩展到保护相关风险。追赶会造成混乱的反应在投资网络升级之前等待事件的问