2017年12月8日 星期五

.物聯網時代下的油氣行業將最容易受到網路攻擊

Oil & gas industry faces hacking risks



Nx Witness v3.0 - 雲端影像平台解決方案 — 

來源:传感联物



石油和天然氣看起來並不像是一個駭客們會感興趣的行業。
  
但事實上,隨著鑽井平台、煉油廠、總部和下游零售行業的普遍數位化和互聯性增加,公司越來越多地將日常業務建立在網際網路技術上,其網路安全風險也與日俱增。


物聯網時代下的油氣行業將最容易受到網路攻擊
  

雖然實際值錢的是一桶桶石油,而不是軟體或資料,但駭客的動機也在改變——網路恐怖主義,行業間諜活動,竊取資料和情報等。
  
有時駭客們使用間諜軟體竊取投標資料、用病毒感染生產控制系統,或發起DDOS分散式拒絕服務攻擊。
  
例如,2014年,駭客對歐洲50家油氣公司發起了全面攻擊,他們使用了先進的網路釣魚軟體和特洛伊木馬攻擊。
  
在2016年,能源行業是最容易受到網路攻擊的行業,近四分之三的美國油氣公司至少經歷過一次網路攻擊事件。
  
雖然一些人估計能源公司的網路犯罪,平均年度成本僅在1500萬美元左右。但一些重大事件,很容易造成數億美元的損失,更可能會危及人類生命和環境。因為油氣行業所涉及的近海鑽探、油井開採等生產流程,一旦出現問題,後果將十分嚴重。
  
一個大型的油氣行業在油氣儲量的模擬中,可能使用到多達50萬個處理器,公司所營運的鑽井和生產控制系統,可能分佈在全球各地不同的地理區域、油田、相關供應商服務商和合作伙伴之間。單一企業所儲存的敏感資料量,即可達到PB級別。
  
對於駭客來說,這些企業易受攻擊的網路鋪展極廣,並且有很多突破口(見圖1)。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖1:油氣企業典型架構圖
  

企業架構中存在一些網路安全方面的漏洞:如複雜的作業系統和生產流程,資訊科技(IT)與操作技術(OT)很少有交集,防火牆可能造成即時系統的延遲,各部門間網路標準不一致,系統安全補丁更新不規律(尤其是供應商的安全系統),歷史遺留問題。

通常,生產控制系統和軟體的開發,不是由企業的IT部門決定的,而是由基於不同IT安全標準的不同供應商提供的。例如,許多開採了十年以上的油井的控制系統版本,與新版本具有很大的差異,使得對這些系統的升級改造十分具有挑戰性。

例如,全球大約有1350個油氣田已經開採了25年以上。

有些油氣企業正在研發數位化油田和智慧油田,這也為駭客提供了新的攻擊機會。

例如,殼牌最近開發的系統,可以從加拿大的控制中心遠端控制阿根廷油井的開採速度和壓力。

物聯網技術能將所有一切聯通起來,彙總資料並分析,這是其強大之處,也是其最脆弱的地方。無數的感測器、無線通訊網路、自動化分析工具、智慧儀表這些都隱藏著許多安全漏洞。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖2:油氣行業上游物聯網和網路成熟度
  

隨著越來越多網際網路技術的使用,網路攻擊的頻率、複雜度和影響都在增加。

但該行業的網路成熟度仍然相對較低,油氣行業董事會對網路風險的戰略性關注度普遍有限。

在最新的年度檔案中,只有少數幾家能源公司將網路入侵列為主要風險。

事實上,許多美國的油氣公司,都將網路風險與其他風險(如國內動亂、勞資糾紛和惡劣天氣)混為一談。

許多非美國的油氣公司甚至在他們100多頁的檔案中,都沒有提到「網路」一詞。

油氣行業價值鏈的不同部分的風險程度也不同,需要不同的策略來應對。

油氣行業上游價值鏈:勘探、開發、生產
根據歷史資料,上游業務中,鑽井勘探、開發和生產是風險最高的。

儘管生產流程中的每一環節都需要確保安全,但我們也需要衡量不同環節的風險程度,以決定行動的優先順序和關鍵點。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖3:上游管理過程中的網路安全嚴重程度
  

勘探環節是相對安全的,不容易造成環境汙染或破壞,但也是競爭對手最感興趣的。
  
2011年,美國網路安全公司McAfee發表報告稱,5家西方跨國能源公司遭到駭客「有組織、隱蔽、有針對性」的攻擊。超過千兆位元組的敏感檔案被竊,包括油氣田操作的機密資訊、專案融資與投標檔案等。McAfee的報告稱這場網路間諜行動代號為「夜龍」(Night Dragon),最早可能開始於2007年。
  
在開發環節,遠端即時操控系統是一個可能的駭客的突破口。從世界上任何地方,都可以即時獲取全球各地鑽井的資料,並控制其操作。這一環節受網路攻擊的影響程度和機會成本是最高的。
  
駭客不僅可以竊取機密的現場設計資料、施工藍圖,甚至在GPS座標和最佳定位間距上,做一點小小的改變,都能使公司遭受巨大損失。
  
生產階段是網路威脅最嚴重的階段,主要是由於歷史遺留問題過多,許多經過長期沿襲下來的資產,不具備安全防護措施,且多年來經過了許多次修補和翻新。
  
自動化使生產操作更安全高效,能為所有人都節省時間,但公司需要重視並投資網路安全,來確保這些新技術不會成為一把雙刃劍。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖4:用整體風險管控減輕區域性網路風險
  

在2010年,韓國到南美的一條鑽井平台,因為惡意軟體攻擊而關閉了19天,而鑽機的每日合同費率高達500,000美元。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖5:油氣行業的網路安全弱點
  

網路令牌、網路異常流量監測、資料備份、前置系統、網路掃描、網路手冊等都是可行的解決措施。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖6:生產流程中網路攻擊防禦措施
  
此外,也需要使公司管理層意識到網路安全問題的重要性。網路安全問題不僅可以保護企業資產的安全,使系統執行更加可靠,也可以創造新的價值。

物聯網時代下的油氣行業將最容易受到網路攻擊
  圖7:風險管理可以創造新價值
  

當前的低油價時期,已經為油氣公司提供了足夠的喘息空間,足以讓他們將注意力投向改善內部流程和系統。
  
像自動化、數位化油田這樣的專案,可以迅速從燒錢的專案變為成熟的投資。
  
油氣行業下游網路安全
油氣行業與下游的零售行業之間的聯絡日益緊密,提高了銷售的效率和業績。
  
但物聯網技術的推廣也使得企業系統,更多地暴露在了駭客的視野裡。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖8:影響油氣行業的網路攻擊
  

目前對於網路攻擊具體影響的分析都是推測性的,缺乏大量的證據,但已經有一些可疑事件,足以使企業謹慎起來。
  
2008年,土耳其油管發生爆炸,最初調查認為是庫爾德分裂分子幹的,後來的調查又表明了網路攻擊的可能性,儘管缺乏證據。
  
2014年,德國一家鋼廠遭到網路攻擊,導致高爐失去控制,隨後對工廠造成重大損失。
  
2015年,中東的一些石油化工火災,被懷疑是由電腦病毒損壞裝置所導致的。
  
這些網路攻擊對於油氣行業的下游來說,可能會造成很大的經濟影響,因為提煉過程嚴重依賴於自動化、感測器和控制系統。
  
例如,煉油廠每天損失10萬桶油,收入會減少550萬美元,利潤會減少140萬美元。
  
如果網路攻擊從一個設施擴散到另一個設施,或者沿著影響分銷和零售網路的價值鏈下行,可能會最終導致數千萬美元的收入損失。
  
此外,任何物理傷害都可能造成數百萬(甚至數十億美元)的修復和建築成本。
  
在一個自動化水平更高、更依賴於網際網路的世界裡,網路攻擊可能造成的影響,會變得史無前例地嚴重。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖9:下游產業不同部門的預估風險


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖10:下游價值鏈中的潛在風險示例
  

其中,與安全裝置有關的風險是值得重點注意的。例如冷卻液泵控制失靈、火災隱患等。
  
評估這些風險是一項複雜而長期的挑戰,公司需要時時關注、檢測和評估,不能設想一勞永逸。
  
為了管控網路風險,企業不僅需要在戰略上重視,在實際執行上也需要確保企業中有合適的人員、既定的流程和所需技術。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖11:下游部門網路安全成熟度框架
  

根據德勤為一系列能源和資源公司所做的評估,油氣行業整體平均成熟度為2.5,總評分範圍是1-5分。
  
這意味著企業已經採取了一些特定措施來處理一部分檔案、標準和檢測方面的潛在威脅,但許多公司仍缺乏全面的安全計劃。
  
德勤建議油氣公司的成熟度應達到或超過4分。
  
從人員、流程和技術三個方面來看,有許多可行的措施以供企業提高自身的網路安全成熟度。


物聯網時代下的油氣行業將最容易受到網路攻擊
  圖12:提高網路安全成熟度的可行措施
  

公司應限制不必要的網路互連,例如將內網和外網進行物理隔離,限制有許可權人員的訪問。
  
在某些情況下,公司可以考慮將涉密的核心生產流程與外界完全隔離。

企業所需要的不僅僅是傳統的簡單防火牆,他們更需要一個可以監視系統,並辨識網路入侵的工具。在最理想的狀態下,系統將擁有評估自身風險的能力,決定哪些問題可以由系統自行處理,哪些需要向網路安全部門發出警告。
  
對於高風險的部門,數位化雙胞胎是一種可行的解決方案。它是物理資產的一種虛擬形式,將虛擬生產資料(如蒸餾塔的感測器資料)與實際資料相比較,可以即時發現生產流程中的異常。
  
這種解決方案不僅能辨識網路攻擊,也能辨識出實際生產流程中的人為失誤。
  
使用雲端計算技術對於企業來說,能降低成本並提高靈活性,但雲計算服務也可能成為新的網路風險來源。
  
企業還可以透過網路模擬,來進行定期應急反應演練。對於遠端工作的員工,這使得他們可以提高自身的判斷力,理解網路攻擊的可能形式並更快做出反應。

  
展望未來
油氣行業的企業面臨的主要障礙是安全意識不足,而且也缺乏部門間的協調,甚至是上下游相關行業間的協調。此外,網路安全人才短缺,和建設網路安全系統的成本也是可能存在的問題。
  
一個可行的計劃將是成功的關鍵,一個大型的、可靠的網路安全防禦系統,將有賴於所有人的精誠合作,鑑於油氣行業中的公司通常規模較大,業務較複雜,這對於他們來說可能比其它行業更為艱難。


                                                                                                                                                                                                                 

沒有留言:

張貼留言