石油圈
挪威国家石油公司的一位官员在2015年的API网络安全会议上告诉与会者,长期以来网络攻击对该公司的资产、业务和人员造成了严重的威胁。
尽管恐怖袭击经常席卷新闻头条,但网络安全长期高居挪威国家石油公司全球石油与天然气业务威胁榜榜首。
2013年挪威国家石油公司与BP公司以及Sonatrach公司联合运营的英阿梅纳斯油田遭到恐怖袭击,为了评估未来遭受类似攻击的风险该公司成立独立调查组。
挪威国家石油公司在2013年9月发布的事故调查报告的结论是:公司安全文化缺失,目前公司的安保等级与公司的国际化愿景是无法匹配的。
挪威国家石油公司安全威胁评估主管Adrian Fulcher周三在休斯敦的API网络安全会议上告诉与会者:风险评估完成后,挪威国家石油公司判定长期以来威胁公司运行的并不是物理攻击,而是网络安全攻击。
Fulcher说:尽管挪威国家石油公司始终处于全球化这一大环境中,但该公司的大部分资产还是在挪威大陆架上的。最有可能的结果是,该公司已形成一个相当随意的安全文化,这也渗透到了挪威国家石油公司的网络安全文化中。
Fulcher说:“如果我们的工业控制系统遭受攻击而引发大型事故,这在很大程度上将彻底扭转并改变公司的未来。”
网络安全受到攻击带来的不仅是资金和人力方面的损失,而是一个世世代代的挑战,亦或是对较老的遗留资产和新资产在设计阶段的威胁。
为了解决安全文化缺失的问题,挪威国家石油公司建立了旨在解决不同方面安全问题的安全改进方案。通过该方案,挪威国家石油公司设法完成在网络和物理威胁评估中的两个目标。
一个目标是帮助挪威国家石油公司的执行委员会搞清他们的焦点应该放在何处,而不是“亡羊补牢或者事后诸葛亮”。另一个目标是赋予挪威国家石油公司在一系列的活动中敏锐的洞察力和超群的理解力。将钱花在真正有效的地方,而不是华而不实的地方。
为了解决物理安全和网络安全问题,挪威国家石油公司采取了安全必须基于风险和情报主导的新理念。这种想法毫无争议,但对于挪威国家石油公司来说却是十分新颖的。该公司为了解决网络安全和物理安全动员了从人力资源专家、物理安保人员到自动化工程师等整个公司的人力和资源。
Fulcher说道,挪威国家石油公司也构思和设计了该公司的网络安全战略,以此来强调一个事实,即安全机构与国家政府及议会独立运行的时代已经一去不复返了。
该公司还寻求通过人力资源政策和程序来加强其安全文化,以此来向员工普及如果误击电子邮件中的链接将会导致什么样的严重后果。
“如果你在一个工厂中不断将你的同事一次又一次的置于危险之中,那么,你将会亲尝自己种下的苦果。这和网络安全问题的道理是一模一样的。必须杜绝粗心和疏忽。”
挪威国家石油公司与挪威政府的良好关系使其能够获得情报信息,这有助于其解决安全问题。然而,当 Fulcher 放眼未来时,在挪威国家石油公司预防和减轻网络安全攻击的过程中又遇到了两个难题。其中之一就是在面临网络威胁时缺乏为供应商和厂商提供保障的统一标准。
Fulcher 说:“我们有一项为实物资产提供彻底安全保障的政策,供应商和厂商提供的设备和产品也同样需要类似的标准。
另一个难题是,国家间正越来越多地使用网络攻击取代物理攻击伤害彼此的国家利益。在过去,如果资产受到物理威胁,挪威国家石油公司还可以仰仗挪威政府提供的特种部队的支援来解决。但对于网络攻击而言,保护资产的责任就落到了公司自身头上。
Fulcher 认为有必要就此达成一个协议,该协议规定一个公司在保护资产时有什么样的职责,以及可以期望从作为石油与天然气设施东家的外国政府那里获得什么样的保护。
未经允许,不得转载本站任何文章:
