德勤報告：石油與天然氣企業網路安全防禦準備不充分

E安全7月5日訊
世界四大會計事務所之一的德勤近日發布相關報告，稱石油與天然氣行業面臨著尤為嚴重的網路攻擊風險。這份題為《保護聯網能源儲備——上游石油與天然氣行業網路安全問題》的報告由安卓·米塔爾、安德魯·斯萊夫以及保羅·佐尼維爾共同撰寫，旨在探討這一行業當前所面臨的安全挑戰。

報告有那些發現？

今年2月由波耐蒙研究所發布的研究報告指出，能源行業目前已經成為網路攻擊活動的第二大目標行業，且其中近半數企業在2016年年內至少曾遭遇過一次重大網路事故。

安全業界對此表示擔憂自然有其理由。在上述德勤報告各位作者對美國本土油田進行訪問時，佐尼維爾發現現有安全措施的設計相當鬆散。他在接受彭博社的採訪時解釋稱：「這種感覺就是回到了上世紀八十年代，人們毫無戒心地共享密碼並將密碼內容寫在紙上。

具體來講，只有14%的石油鑽井作業擁有全面的安全監控方案。而在一份由工業控制系統網路應急響應小組於2015年發布的報告中，我們發現關鍵基礎設施所遭受的網路攻擊中有超過30%存在未知或者無法追蹤的感染載體。」

各職能事務優先順序差異的影響

而石油與天然氣領域各利益相關方及職能實體在優先順序事務方面的理解差異也給網路安全保護工作帶來了額外的複雜性因素。IT部門優先考慮保密性與完整性，而非可用性。鑽井與油田現場操作人員則優先考慮可編程邏輯控制器與感測器的可用性，而非保密性與完整性。除此之外，當舊有技術組件不得不與新型組件配合使用時，安全保護工作的難度也將上升至新的水平。

能源行業安全問題影響範圍廣

石油與天然氣行業擁有著由眾多向量所共同構成的龐大網路攻擊面。單一企業所存儲的敏感數據量即可達到PB級別，其需要利用數十萬塊處理器對石油與天然氣開採環境進行模擬，同時將分析結果與世界各地成千上萬家負責生產及維護鑽井控制系統的供應商及合作夥伴進行共享。在這樣的背景之下，一次攻擊活動即可能造成數百萬美元損失，並導致環境甚至人類生命面臨嚴重風險。

報告作者之一安德魯·斯萊夫進一步強調了這份德勤研究資料對於整個行業的現實意義。他解釋稱，「企業文化需要作出改變，而且我們也確實看到了改變的苗頭，但整個行業仍然需要時間。這份報告無疑立足安全領域對行業發出了高聲疾呼。」

德勤發布的這份圖表顯示了石油與天然氣行業內各個層面所面臨的網路安全問題。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！