世界四大會(huì)計(jì)事務(wù)所之一的德勤近日發(fā)布相關(guān)報(bào)告,稱石油與天然氣行業(yè)面臨著尤為嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。這份題為《保護(hù)聯(lián)網(wǎng)能源儲(chǔ)備——上游石油與天然氣行業(yè)網(wǎng)絡(luò)安全問(wèn)題》的報(bào)告由安卓·米塔爾、安德魯·斯萊夫以及保羅·佐尼維爾共同撰寫(xiě),旨在探討這一行業(yè)當(dāng)前所面臨的安全挑戰(zhàn)。
報(bào)告有那些發(fā)現(xiàn)?今年2月由波耐蒙研究所發(fā)布的研究報(bào)告指出,能源行業(yè)目前已經(jīng)成為網(wǎng)絡(luò)攻擊活動(dòng)的第二大目標(biāo)行業(yè),且其中近半數(shù)企業(yè)在2016年年內(nèi)至少曾遭遇過(guò)一次重大網(wǎng)絡(luò)事故。
安全業(yè)界對(duì)此表示擔(dān)憂自然有其理由。在上述德勤報(bào)告各位作者對(duì)美國(guó)本土油田進(jìn)行訪問(wèn)時(shí),佐尼維爾發(fā)現(xiàn)現(xiàn)有安全措施的設(shè)計(jì)相當(dāng)松散。他在接受彭博社的采訪時(shí)解釋稱:“這種感覺(jué)就是回到了上世紀(jì)八十年代,人們毫無(wú)戒心地共享密碼并將密碼內(nèi)容寫(xiě)在紙上。
具體來(lái)講,只有14%的石油鉆井作業(yè)擁有全面的安全監(jiān)控方案。而在一份由工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組于2015年發(fā)布的報(bào)告中,我們發(fā)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施所遭受的網(wǎng)絡(luò)攻擊中有超過(guò)30%存在未知或者無(wú)法追蹤的感染載體。”
各職能事務(wù)優(yōu)先級(jí)差異的影響而石油與天然氣領(lǐng)域各利益相關(guān)方及職能實(shí)體在優(yōu)先級(jí)事務(wù)方面的理解差異也給網(wǎng)絡(luò)安全保護(hù)工作帶來(lái)了額外的復(fù)雜性因素。IT部門優(yōu)先考慮保密性與完整性,而非可用性。鉆井與油田現(xiàn)場(chǎng)操作人員則優(yōu)先考慮可編程邏輯控制器與傳感器的可用性,而非保密性與完整性。除此之外,當(dāng)舊有技術(shù)組件不得不與新型組件配合使用時(shí),安全保護(hù)工作的難度也將上升至新的水平。
能源行業(yè)安全問(wèn)題影響范圍廣石油與天然氣行業(yè)擁有著由眾多向量所共同構(gòu)成的龐大網(wǎng)絡(luò)攻擊面。單一企業(yè)所存儲(chǔ)的敏感數(shù)據(jù)量即可達(dá)到PB級(jí)別,其需要利用數(shù)十萬(wàn)塊處理器對(duì)石油與天然氣開(kāi)采環(huán)境進(jìn)行模擬,同時(shí)將分析結(jié)果與世界各地成千上萬(wàn)家負(fù)責(zé)生產(chǎn)及維護(hù)鉆井控制系統(tǒng)的供應(yīng)商及合作伙伴進(jìn)行共享。在這樣的背景之下,一次攻擊活動(dòng)即可能造成數(shù)百萬(wàn)美元損失,并導(dǎo)致環(huán)境甚至人類生命面臨嚴(yán)重風(fēng)險(xiǎn)。
報(bào)告作者之一安德魯·斯萊夫進(jìn)一步強(qiáng)調(diào)了這份德勤研究資料對(duì)于整個(gè)行業(yè)的現(xiàn)實(shí)意義。他解釋稱,“企業(yè)文化需要作出改變,而且我們也確實(shí)看到了改變的苗頭,但整個(gè)行業(yè)仍然需要時(shí)間。這份報(bào)告無(wú)疑立足安全領(lǐng)域?qū)π袠I(yè)發(fā)出了高聲疾呼。”
德勤發(fā)布的這份圖表顯示了石油與天然氣行業(yè)內(nèi)各個(gè)層面所面臨的網(wǎng)絡(luò)安全問(wèn)題。