Skip to main content Skip to Footer

思想前沿


从外部攻破(黑)盒子

确保核心业务安全


概要

绝大部分油气公司高层对其网络安全战略信心十足,然而,仍有60%高层认为,网络攻击宛如黑盒子,具体细节不为人知。保护石油和天然气核心业务的使命越来越重要,因此,攻破黑盒子迫在眉睫。为了评估公司现有网络安全工作是否有效,以及相关投资是否充足,埃森哲对2,000名顶尖公司网络安全人员展开了调查,这些网络安全人员所在公司的年收益超过不低于10亿美元。

背景

油气行业是各国基础架构的核心组成部分,油气公司也由此成为黑客和其他网络罪犯的首选攻击目标之一。然而,研究表明,油气公司对其确保自身系统安全的能力充满信心。尽管高管们满怀信心,但油气公司却逐渐落后于其他行业。埃森哲的这份调查还显示,在网络安全绩效方面,能源公司的表现始终低于全球平均水平。事实上,最近发布的“埃森哲安全指数”排名表明,在跨行业卓越绩效网络安全能力评估中,油气公司位居倒数第二。

分析

数字化运营对于促进油气公司未来的增长至关重要。随着越来越多的油气公司采用新的运营技术(“OT”),网络安全风险将持续增加。在信息技术(“IT”)和OT网络中引入数字自动化解决方案,有助于提高生产力,延长正常运营时间,加强安全,提高质量,但也扩大了公司的受攻击面,使竞争对手有机可乘。随着对OT的投资增加,越发需要保障工业控制系统(“ICS”)的安全。能源公司面临真正的网络安全难题:如何在数字化运营带来的益处和保障公司安全之间实现平衡?

埃森哲的卓越绩效安全调查显示,约有三分之一的攻击企图得逞,而安全团队即时识别出的攻击不到三分之二(通常需要数月甚至数年才能识别)。公司可能把实现合规计划目标与保护公司免于网络攻击需采取的行动相混淆。合规计划自身的不透明也加剧了这一问题。当被问及哪些因素可能对合规造成消极影响时,70%到75%的能源行业高管对所有列出的因素都给出了负面的评分,这表明他们无法识别风险最大的因素。

建议

尽管充满信心,但许多能源公司承认其监控网络攻击的能力依然不足,而且尚未找到更好的办法来保护公司。实际上,接受调查的油气公司高管中,有60%表示网络安全“宛如黑盒子”,他们想知道网络攻击可能会在什么时候以何种方式出现。这一差距是油气公司网络安全高管目前所面临的核心挑战。公司需要采取强有力的方法,全面评估整个公司面临的威胁,以便识别和减少公司的业务敞口,重点保护优先级较高的资产。油气公司必须了解其IT和OT网络动态,为了重塑网络安全视角并重新定义安全的网络,油气公司还应关注如何更好地利用现有工具。从内而外,加强网络安全防护,还应在所有综合网络安全项目中纳入网络事件管理计划,针对OT和IT网络的网络事件进行管理。除此之外,为了评估自己应对高危风险(包括内部和外部)的能力,(仔细)测试安全性能也十分重要。公司应当让最先进的网络安全理念纳入公司的思维习惯,并且不断与时俱进,适应复杂多变的威胁。要为IT和OT等人员提供教育和培训,让他们跨出舒适区,协调整个公司内部的合作。IT人员掌握OT语言,同时OT人员也需要掌握IT语言。