OT與IT關聯度逐漸提高 能源部門對網路安全關注度如何？

DNV對全球940多名能源行業專業人士發起一項調查，發現超過五分之四的電力、可再生能源和石油和天然氣行業的專業人士認為，對該行業的網路攻擊可能導致運營關閉(85%)和能源資產和關鍵基礎設施受損(84%)。74%的人認為攻擊會危害環境，57%的人認為攻擊會造成生命損失。

近年來，隨著能源行業出現一系列備受矚目的安全漏洞，人們對網路攻擊帶來的新的和更極端的後果擔憂日益加劇。DNV的研究還表明，隨著國家衝突的發生，人們對新興威脅的擔憂有所增加。67%的能源專業人士表示，最近針對該行業的網路攻擊促使他們的組織對安全戰略和系統進行了重大調整。

DNV網路安全負責人表示，“幾十年來，能源公司一直在解決IT安全問題。然而，保護運營技術(OT)，管理、監控和控制工業運營的計算和通訊系統，是該行業最近面臨的一個越來越緊迫的挑戰”。

“隨著OT與IT系統的網路化和連線程度越來越高，攻擊者可以訪問和控制執行關鍵基礎設施的系統，如電網、風電場、管道和煉油廠。研究發現，能源行業正在意識到OT的安全威脅，但必須採取更快的行動來應對它。47%的能源專業人士認為，他們的OT安全與IT安全一樣強大。

網路安全問題仍需加強重視程度

在調查過程中，60%的管理者承認，他們的組織比以往任何時候都更容易受到攻擊。然而採取等待、觀望的態度來應對威脅並不可取。44%的受訪管理者認為，他們需要在未來幾年進行緊急改進，以防止對其業務的嚴重攻擊。還有小部分能源人士認為，當期業務受到網路攻擊影響時，才會採取措施來應對。一些公司在投資網路安全上猶豫不決，其對自身遭到網路攻擊存在僥倖心理。

能源、石油天然氣等行業，一旦發生安全事故，結果都是相當驚人的。在1988年的Piper Alpha事件和2010年的Macondo災難等悲劇事件發生後，油氣行業才優先考慮全球安全協議並將其制度化，然後才實施了更嚴格的監管。目前，能源行業同樣需要抓緊時間進行安全建設，以確保在未來不會因為網路安全事件對生命財產和環境造成嚴重的損害。

供應鏈安全盲點引發關注

DNV 建議加強防禦的第一步是確定哪些關鍵基礎設施容易受到攻擊。尤其在漏洞檢測和修復方面，儘管許多組織已經進行了投資，但並沒有充分考慮到軟體供應商。

在與OT合作的能源專業人士中，只有28%的人表示，他們的公司將供應鏈的網路安全作為優先投資物件。與此形成鮮明對比的是，45%的OT運營者表示，IT系統升級的支出是一項優先投資。

“能源公司可以對自己的漏洞進行完全監督，如透過檢測軟體程式碼安全及缺陷來提高軟體安全性，同時也可以掃描軟體安全漏洞並採取措施降低安全風險。但對於軟體供應鏈中存在的安全漏洞就無法確定。透過研究發現，”遠端訪問OT系統“被列為對能源行業潛在的網路攻擊三大方法之一。因此應該同樣關注軟體供應鏈安全，並確保軟體來自軟體供應商的軟體安全性。

加強安全培訓

儘管網路安全威脅不斷湧現，但研究表明，31% 的能源專業人士自信地斷言，如果他們擔心組織面臨潛在的網路風險或威脅，他們確切知道該怎麼做。這一發現表明，能源公司需要投資培訓員工，以發現試圖訪問其系統的犯罪企圖。57% 的能源專業人士表示，他們僱主的網路安全培訓是有效的。

儘管網路安全威脅不斷出現，但研究顯示，31%的能源專業人士自信地表示，如果他們擔心公司面臨潛在的網路風險或威脅，他們知道該怎麼做。這一發現表明，能源公司有必要投資培訓員工安全意識和能力，以便發現並阻止試圖進入其系統的犯罪行為。

文章來源：

https://www.helpnetsecurity.com/2022/05/25/energy-sector-cyberattacks/