世界經濟論壇推動石油和天然氣行業網絡彈性承諾以緩解日益增長的網絡風險
在數字化和網絡攻擊以前所未有的速度增長之際,確保整個石油和天然氣行業的有效網絡彈性需要多學科聯合和協調一致的努力,以實現有凝聚力的業務和數字化支持。世界經濟論壇 (WEF)在日前舉行的2022年會(5月22-26日)上宣布,18個石油和天然氣公司和一些網絡安全公司正在倡導建立一種統一的方法,以減輕日益增長的網絡風險,并承諾提高網絡彈性。網絡彈性承諾認識到需要更多的集體準備這一事實,并促進向設計彈性文化、生態系統范圍內的網絡彈性計劃以及參與者之間更大的協作轉變。此前的WEF石油和天然氣網絡彈性倡議行動旨在促進公共和私營部門領導人之間的國際合作和對話,將網絡彈性嵌入商業文化和運營模式,并采取系統化的風險管理方法。此次推動的網絡彈性承諾是對之前倡議的升級和落地。
已做出承諾的全球組織包括Aker ASA、Aker BP、Aramco、Check Point Software Technologies、Claroty、Cognite、Dragos、Ecopetrol、Eni、EnQuest、Galp、Global Resilience Federation、Maire Tecnimont、Occidental Petroleum、OT-ISAC、Petronas、Repsol 和 Suncor。
2021年8月,美國NIST推出了其特別出版物草案800-160,第二卷,第1版,發展網絡彈性系統:系統安全工程方法,提倡摒棄基于邊界的防御,更多地關注于構建彈性IT系統,通過限制攻擊者對網絡或基礎設施造成的破壞來抵御現代攻擊。NIST將“網絡彈性”的定義為“對使用網絡資源或由網絡資源支持的系統的不利條件、壓力、攻擊或危害進行預測、承受、恢復和適應的能力。”NIST研究員羅恩?羅斯(Ron Ross)也是SP800-160 V2的起草人表示,“我們想要實現的是一個系統,我們稱之為“網絡彈性”或系統足夠的彈性,它可以繼續運行和支持業務運行的關鍵任務——即使它不是在一個完美的狀態,甚至有點退化狀態,”“這很難做到,因為沒有人喜歡假設對手已經得到了最好的訪問權,并進入了系統。但這就是我們今天面臨的現實。”
NIST SP 800-160草案提供了一系列工具、技術和方法,安全團隊和ciso可以通過在網絡中構建更強的彈性來應對攻擊,包括已經部署的舊系統或從零開始構建的新系統。
WEF推動網絡彈性承諾的想法是,通過簽署網絡彈性承諾,各方承諾通過采用網絡彈性原則來加強整個生態系統的網絡彈性。該承諾還讓簽署組織的高級網絡領導者通過制定全球方法和提高整個生態系統的網絡彈性來采取集體行動。此外,該承諾還包括通過展示網絡彈性承諾所取得的影響來宣傳和展示經驗。
該承諾旨在動員全球致力于加強整個行業生態系統的網絡彈性。支持該承諾的組織承諾在網絡彈性方面開展合作并采取集體行動。該承諾是在參與WEF石油和天然氣網絡彈性倡議的組織的支持下發起的,旨在使組織能夠采取具體措施來增強整個行業的網絡彈性。
來自WEF網絡彈性承諾網站
去年5月對美國殖民管道和今年2月對歐洲石油設施的網絡攻擊迫使這些設施以有限的能力運行,造成巨大的經濟和社會范圍的混亂。
WEF將實現網絡彈性確定為最大的網絡安全挑戰之一。這不是一次性或單一參與者的努力。數據表明,需要一種跨越國界和企業的統一方法。到2025 年,全球網絡犯罪的成本預計將達到每年10.5萬億美元,而網絡攻擊導致的基礎設施崩潰威脅是網絡領導者最關心的個人問題。
世界經濟論壇網絡安全中心負責人亞歷山大·克里姆伯格在一份媒體聲明中說,“網絡彈性承諾首先得到石油和天然氣價值鏈中的關鍵CEO的認可,這是一個里程碑式的進展,因為它標志著人們認識到建立網絡彈性行業生態系統的復雜性,并承諾采取集體行動來實現它”。“世界經濟論壇網絡安全中心很自豪能與我們的合作伙伴一起領導這項工作。我們期待在未來將承諾擴大到其他行業。”
沙特阿美石油公司首席執行官阿明·納賽爾 (Amin H. Nasser) 表示:“隨著世界數字化足跡的加深,網絡威脅變得越來越復雜。” “但是一家公司,單槍匹馬,實際上就像鎖住前門,而后門敞開著。” 如果公司想要真正保護全球數十億人所依賴的關鍵能源基礎設施,就必須共同努力。
工業網絡安全公司Dragos的首席執行官兼聯合創始人Robert M. Lee表示,通用的、全行業的網絡彈性實踐至關重要。“隨著我們的世界變得更加數字化,必須確保我們的基礎設施安全可靠地運行,尤其是對于我們的工業和運營技術而言,”他補充道。
Ecopetrol首席執行官Felipe Bayón表示,“石油和天然氣行業正在經歷一場數字革命,這已成為能源轉型和可持續發展的催化劑”。“網絡彈性是這場革命的關鍵,因為領先于漏洞是我們業務的基礎。通過開展集體努力,在整個能源行業嵌入網絡彈性和網絡風險意識文化,該承諾又向前邁進了一步,”他補充說。
Galp首席執行官安迪·布朗 (Andy Brown) 表示:“該承諾通過在全球能源部門提高對網絡彈性的認識和統一立場,推動了Galp對管理網絡風險和保護關鍵能源基礎設施網絡安全的聯合行動的承諾。”
巴西國家石油公司Petronas首席執行官Tengku Muhammad Taufik 說,“Petronas將其人員、資產和環境的安全作為我們的首要任務,包括加強更好的網絡安全和安全實踐。Petronas致力于并全力支持世界經濟論壇的網絡彈性承諾及其原則,以保障我們以負責任和安全的方式提供能源的能力”。“在這方面,我們認為解決風險和增強網絡彈性至關重要,因為石油和天然氣行業正在接受更大的數字化以在這個數字時代抓住寶貴的機會。”
Hexagon PPM網絡生態系統全球總監Edward Liebig在評論該倡議時在一封電子郵件聲明中寫道,隨著對關鍵基礎設施的威脅變得更加普遍和肆無忌憚,人們越來越關注加強整個行業生態系統的網絡彈性。“對于整個OT/ICS行業運營商而言,這一承諾做出了大膽的‘第一步’團結聲明,以強化在網絡安全方面‘沒有人是競爭對手’。'我們一起做的。' 然而,在授權高層領導采取行動方面還有很多工作要做,”他補充說。
根據Liebig的說法,網絡彈性需要深深植根于企業文化中,并從上到下貫穿組織的各個方面。他補充說:“這項網絡彈性承諾肯定會在更多的董事會中重振網絡討論,而不僅僅是那些簽署公司。”
WEF還邀請各部門的組織支持網絡彈性承諾,并加強整個系統的網絡安全。
NCC集團戰略威脅情報團隊發布的數據顯示,勒索軟件攻擊的受害者數量在 4月份似乎已經趨于穩定。上個月總共觀察到288次攻擊,比3月份觀察到的283次略有增加。“4月份最受攻擊的行業是工業,占攻擊次數的35%,其次是周期性消費品,占攻擊次數的19%。與3月份的結果相似,很明顯,勒索軟件威脅參與者對這些領域有著不懈的興趣和熱情,”研究補充說。
本周早些時候,世界經濟論壇認識到,關鍵基礎設施保護對于保持基本服務運行至關重要,并且通常依賴于公私合作模式。此外,關鍵基礎設施故障的成本通常被認為是最壞的情況,因為通常存在誰為其安全買單的問題。該機構建議,確定“具有系統重要性的關鍵基礎設施”有助于開辟新的合作模式并開啟新的融資機制。
參考資源
1、https://industrialcyber.co/analysis/cyber-resilience-pledge-ropes-in-oil-and-gas-companies-to-mitigate-growing-cyber-risks-promote-resilience/
2、https://initiatives.weforum.org/cyberresiliencepledge3、https://www.weforum.org/projects/cyber-resilience-in-oil-and-gas-industry
來源:網空閑話
