网络威胁使石油和天然气专业人才濒临崩溃

美国政府人事管理办公室（OPM）系统的大规模网络违规行为是最近几年一系列引人注目的网络攻击中的最新一次。

在OPM之前，媒体报道主要针对Sony Corporation，Home Depot，Target和Care First的黑客。在这些重大事件之间，能源公司对网络攻击的报道比较安静。例如，2012年破坏沙特阿拉伯石油公司（Saudi Aramcos）网络破坏了3万台计算机，或者2014年黑客入侵了韩国一家核电站运营商的计算机系统，受到的关注要少得多。2014年的一篇文章将2008年土耳其管道的爆炸归因于网络攻击，这是记录在案的关键基础设施的数字化入侵。

根据Ponemon Institute编制的《 HP Enterprise Securitys 2014年全球网络犯罪成本报告》，能源和公用事业遭受的平均每年网络犯罪损失最高（1320万美元），紧随其后的是金融部门（1297万美元）；相比之下，媒体，零售和医疗保健领域的覆盖率要小得多。

尽管一般媒体的报道提高了对数字威胁的认识，但所有网络威胁并没有平等。

能源部门面临两种类型的网络威胁

能源部门容易受到两种类型的网络威胁的攻击。一种是针对公司用于业务和管理目的的信息技术（IT）系统。这些是我们经常在网络受到攻击，办公计算机受到攻击或商业信息被盗时听到的违反公司法律的行为，这些破坏无疑对公司和整个行业都是毁灭性的。相关：军事可再生投资在未来几年可能会出现巨大增长

应对这些威胁已广为人知和先进。赛门铁克，Fire eye，Palantir，Palo Alto网络，Splunk，Fidelis等网络安全公司仅提供一些工具和解决方案来保护和保护IT基础架构和系统。国防承包商，例如洛克希德·马丁公司，通用动力公司，BAE Systems公司，还提供广泛的技术和服务来设计和管理IT网络解决方案。美国政府和整个行业的公司首席信息官（CIO）非常了解IT网络安全和风险管理。第二类威胁是对运行技术（OT）的威胁，例如传感器，SCADA（监控和数据采集）系统，软件以及运行管道，发电厂以及输配电网格的其他控制。

自从2007年研究人员展示了一种破坏发电机的数字攻击以来，对OT的网络威胁就一直令美国政府感到担忧。对手控制和摧毁发电厂，石油和天然气设施，化工厂或供水装置的潜力对任何国家构成了经济，社会和政治威胁。越来越多的报道称对此类关键基础架构进行了成功的攻击。与IT系统不同的是，保护OT的解决方案为时较早。然而，随着更多的操作和通信系统被集成并且功能已启用Internet，IT系统和OT系统正在融合。政府和行业都在争相确保IT系统的安全并开发实践和技术来应对OT威胁。保护能源行业的OT系统免受网络威胁当当今大多数能源基础设施建成时，网络安全并不是威胁。因此，从未在用于操作阀门，泵和其他系统组件的软件，控制器和传感器中内置保护措施。改造现有基础架构或设计新解决方案并非易事。智能电网，数字油田以及与互联网相连的服务和功能带来了新的复杂性，漏洞和接入点。能源OT系统的网络解决方案必须能够运行，而且不能干扰控制器或能源系统的工作，从而使其比IT系统复杂得多。

美国能源部（DOE）的电力输送和能源可靠性办公室已经启动了一个雄心勃勃且影响深远的政府与企业的伙伴关系，以应对电网对网络安全的挑战。DOE认为，“确保有弹性的电网特别重要，因为它可以说是其他行业提供基本服务所依赖的最复杂，最关键的基础架构。”相关：希腊和伊朗为油价提供一两次冲床

美国能源部在2011年发布了雄心勃勃的“实现能源输送系统网络安全的路线图”。根据该计划，“到2020年，将设计，安装，运行和维护有弹性的能源输送系统，以在网络事件中幸存下来，同时维持关键功能。”基本上，即使遭到攻击，电网也将继续供电。

（点击放大）

庞大且不断增长的市场

ABI Research广泛预计，到2018年，石油和天然气行业的网络支出将达到18.7亿美元，因为它可以保护基础设施免受网络攻击。根据PWC的《 2015年全球信息安全®状况调查》，2014年用于网络安全的石油和天然气支出增长了14％。

相比之下，普华永道发现电力公司对网络安全的投资在2014年停滞不前。确定的许多威胁是已知的IT漏洞，并不直接包含OT网络保护的成本。但是，由于IT漏洞可能是OT控制的网关，因此这些投资至关重要。保护OT的网络市场规模尚未单独确定。它可以使IT市场相形见war，这并非不合理。

电力行业的每个主要供应商都致力于开发网络解决方案并将其推向市场。这些包括知名的公开交易名称，私营公司和非营利组织。

例如，爱立信，Schweitzer工程实验室和网格保护联盟正在开发安全的通信解决方案，该解决方案将在远程访问设备和控制中心之间发挥作用。阿海珐集团已与诺斯罗普·格鲁曼公司合作，为公用事业领域提供解决方案。ABB，艾默生，霍尼韦尔，OSIsoft参与了DOE赞助的计划，以测试基准安全评估解决方案。

集成网络和物理安全态势感知的解决方案被视为对实时安全状态监视的关键。西门子目前正在为此目的开发一种近实时解决方案。

石油和天然气专业人士参加了LOGIIC（链接石油和天然气行业以改善网络安全性）计划，以促进合作研发，测试和评估程序，以改善石油工业数字控制系统中的网络安全性。英国国土安全部，雪佛龙公司，壳牌公司，道达尔公司都是LOGIIC的成员。洛克希德·马丁公司为石油和天然气行业提供全套的网络解决方案，这些解决方案采用了集成的IT和OT方法。这些只是几个例子。

能源公司不能再对物理，IT和OT安全性持孤立的看法。能源行业中IT和OT的融合意味着脆弱性和潜在攻击面继续增加。在该行业竞相寻找解决方案的同时，越来越多的能源公司正在购买网络安全保险。目前尚不清楚这些政策是否能弥补土耳其网络遭受网络攻击等损失。紧跟坚定的和日益复杂的对手之前的紧迫性意味着，保护关键基础架构免受网络威胁的全球市场机会将继续增长。