公用事业公司受益于基于风险的网络安全方法

虽然生产商没有遇到操作问题，但它确实导致了拒绝服务(DoS)，导致组织控制中心和各个站点的现场设备之间的通信中断。

今年早些时候，美国国家能源技术实验室(National Energy Technology Laboratory)披露，3月5日，美国西部的一家公用事业公司发生了一起网络事件，导致问题公开化。报道称，这起事件影响了加州、犹他州和怀俄明州，但没有造成任何停电。报道没有透露制片人的名字。

DoS攻击

北美电力可靠性公司(NERC)在2019年9月表示，安全漏洞影响了防火墙的web界面，结果是DoS攻击，导致设备重新启动。通信中断持续了10-12个小时，每次持续时间不到5分钟。

西蒙诺维奇是在回应一份题为《处于准星之中:公用事业是否跟上了工业网络威胁?》由西门子赞助，波耐蒙研究所进行。

在这项研究中，56%的受访者报告每年至少有一次关机或操作数据丢失，25%的人最终受到大型攻击的影响，这些攻击通常由民族国家行为体开发的专业知识提供帮助。

“人们真正意识到了挑战，”西蒙诺维奇说。“受访者意识到他们无法察觉，他们正在经历破坏性事件。我认为人们对遵从性有很强的关注，遵从性很好，因为它是规定性的，它提升了中间地位，帮助大多数组织制定了安全基线。你仍然需要一个基于风险的方法来跟上不断变化的网络威胁。这与石油和天然气行业不同，石油和天然气行业的管理基于风险，而不是合规。在这里，公用事业行业已经做了很多工作来实现基本功能，但是由于威胁级别已经发生了很大变化，而且它是如此复杂，他们必须加强他们的能力。

“合规为这个行业带来了很多好处。它建立了一个卫生基线，并加强了防御。这对整个行业都非常有利。两者都需要。你需要一个基于风险的方法，你需要一个监管制度，以确保行业采取行动。

西蒙诺维奇说，另一个区别是发电、输电和配电系统之间的“互联性”。

关键基础设施对网络攻击的脆弱性有可能造成严重的金融、环境和基础设施破坏，根据所有受访者的数据，64%的人表示复杂的攻击是最大的挑战，54%的人预计在未来12个月内会对关键基础设施进行攻击。

西蒙诺维奇说:“公用事业领域正在发生的事情是，能源行业正在经历一场根本性的转型，电力生产数字化，传统化石发电转向可再生能源，这创造了一个越来越超级智能、超级连接的攻击面。”“在很多方面，这是一个两难的选择。一方面，这是一个顶部安装了数字设备的棕地。另一方面，我们拥有这种分布式和去中心化的数字原生、可再生景观。”

“我们想了解这种能源转型的风险是什么，准备程度是什么，他们在考虑什么解决方案?我们发现，这对许多公用事业公司来说是一个重大挑战。”

增加了复杂性

公用事业行业正面临着针对该行业的攻击越来越复杂。

“他们正在努力应对复杂的攻击，许多攻击来自民族国家，其中许多攻击是强有力的，导致关闭，安全事件和环境事件。只有42%的企业准备好应对这一新的网络风险前沿，只有31%的企业能够在事件发生时做出反应。这些数据令人不安。”

西蒙诺维奇说，规模较小的公用事业公司尤其脆弱，由于缺乏人手，它们正在努力解决这个问题。

他们面临着四个问题:

1. 可见性的挑战
2. 缺乏人力或资源
3. 所有权，谁拥有公用事业领域的运营技术(OT)网络空间
4. 如何应对民族国家的攻击。

虽然公用事业公司意识到了这个问题，他们知道他们需要做些什么，但问题是他们真的做了吗?

Simonovich说:“他们中的大多数人都在为基本的网络管理而挣扎，如今信息技术(IT)和OT之间没有明确的界限。”“在你开始接下来的旅程之前，你必须把它们弄好。”

最佳实践

他说，大型公用事业公司走在正确的道路上，但中等规模的人需要一些帮助。

沿着这些思路，Simonovich提供了一些基本的最佳实践，以使公用事业朝着正确的方向发展:

• 知道你拥有什么
• 指定专人负责加班
• 创建一个事件响应计划。

本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体副主编克里斯·瓦夫拉编辑，cvavra@cfemedia.com．