过去，能源公司的信息技术（IT）网络和运营技术（OT）网络是分开的。然而，发电-输电-配电-零售系统的数字化已经见证了这些生态系统的融合。

　　虽然使组织更有效率，更能响应利益相关者的期望，但它也有缺点。生态系统的整合为网络威胁行为者玩肇事逃逸游戏提供了一个显着扩大的游乐场，这些游戏在意图和结果上都是邪恶的。

　　令人担忧的是，近年来此类网络威胁和攻击的频率和强度都在上升。

　　这就要求能源行业在面对潜在的网络攻击时，或者在某些不幸的情况下，在网络攻击发生后，审视自己的准备情况。虽然价值链的每个部分都是脆弱的，但值得关注的是OT空间，它不如IT安全。这已成为能源公司关注的焦点。

　　马来西亚能源公司采访了马来西亚国家石油公司（PETRONAS）网络战略与架构主管Rahayu Ramli，他就PETRONAS和整个能源行业如何保护自己免受现有和即将到来的网络威胁提供了见解。

　　“几十年来，能源行业一直是地缘和社会政治的工具，突显了该行业对经济、社会和生活方式的影响。

　　拉哈尤说：“网络战作为国家和私人武器库的组成部分的崛起，只会放大这个问题，从上世纪90年代海湾国家的野战，转变为当今网络空间的游击战，原因是工业数字化的普及。”

　　在复杂的能源领域，技术主要可以分为IT（例如，笔记本电脑，移动设备，服务器，云和类似）和OT(例如，可编程逻辑控制器（plc），远程终端单元（rtu），监控和数据采集系统（SCADA），工业控制系统（ICS），分布式控制系统（DCS），人机界面（hmi）等。

　　从历史上看，这些环境大多是分开的。然而，随着对数字工具、云计算的日益依赖以及远程操作的日益使用，行业正在看到IT和OT之间的界限变得模糊。

　　物联网（IoT）和机器人技术的使用、OT数据的共享、坚固的移动设备和个人可穿戴设备的实施都在明显增加——所有这些都超出了过去相对静态的OT安全边界。

　　不幸的是，IT和OT生态系统的融合也可能成为攻击媒介和进入不同临界和重要性系统的入口点的仙境。

　　网络威胁行为者的范围很广，从试图破坏敌人（和盟友）关键基础设施的民族国家对手，到试图就环境、经济或一般社会发表政治声明的黑客活动分子。

　　OT空间漏洞

　　在许多能源公司中，对以前设计和保护OT景观的隔离方法进行了重新检查。“几十年来，IT安全一直是技术运营的一个方面。另一方面，OT网络安全作为一个具体的实践是一个相对较新的焦点。”

　　“因此，随着新的创业公司、产品和投资流向缓解现有和即将到来的网络威胁，人们对提高OT领域的安全性重新产生了兴趣。这是一个令人兴奋的领域，但也是一个不可预测的领域。”

　　除了外部因素外，内部工作方式也可能导致连接的IT和OT生态系统中的漏洞，其中系统可用性至关重要，避免停机时间至关重要。虽然数字化转型刺激了创新并加速了技术进步，但应用的速度和交付的压力往往使系统安全退居次要地位。

　　拉哈尤指出：“最终，问题会得到解决，但通常是在系统正常运行之后，在一些不幸的情况下，只有在发生违规或事故之后。”

　　此外，供应商和合作伙伴供应链的数字化程度不断提高，为产品和服务创造了灵活性和选择。另一方面，它扩大了不幸的数据泄露或事故的风险，从一个供应商开始，然后蔓延到公司和用户的网络。

　　Polycrisis场景

　　世界经济论坛发布的《2023年全球风险报告》引入了“多元危机”（polycrisis）一词，意为“一系列相互关联的全球性风险，其复合效应超过了每一部分的总和”。

　　鉴于近年来能源转型和快速数字化带来的波动性和不确定性，能源行业对这种情况并不陌生。

　　全球风险情景还包括无国界的网络风险。整个行业预计，随着能源公司越来越依赖互联数字技术来运营，针对IT和OT资产和运营的网络威胁将继续增加。

　　个别公司已经开始重新评估和改善他们的安全状况，承认这样做所需的支持不仅仅是由技术驱动的，更重要的是，还必须得到整个组织的教育支持，以及对其安全能力和需求的持续审查和改进。

　　这项工作也不能在竖井里完成。它需要整个行业的支持和协作，以最大限度地减少可能影响行业中每个人以及与他们互动的社区的盲点。

　　Rahayu说：“在PETRONAS，我们与供应商签订了各种网络安全谅解备忘录（mou），以帮助我们更好地集中精力设计更安全的OT技术。

　　“我们还与其他行业参与者进行知识交流和技能提升。此外，我们与非营利组织和学术界密切合作，提高人们对网络安全重要性的认识，了解网络安全如何应用于我们的日常生活，并寻找潜在的人才。

　　她补充说：“这些类型合作的总体目标是，将人员、流程和技术之间的IT和OT生态系统整合在一起，最终将实现混合技能网络安全劳动力的平衡（在PETRONAS内部和外部），创造一个更可持续的循环，以管理和应对可能出现的任何网络威胁。”

　　保护网络空间环境

　　从2017年数字化转型之旅开始，马来西亚国家石油公司就认识到在整个组织中建立网络安全环境的重要性。“这是马来西亚国家石油公司走向数字化的先决条件，”Rahayu说。

　　“随着组织在决策过程中越来越多地以数据为导向，需要更快地将新的不同技术纳入各种投资组合，它确保每一步都是安全的。这种方法成为马来西亚国家石油公司数字化转型战略的基石之一。

　　她补充说：“它将PETRonAS网络安全职能的建立视为监督It和OT的单一问责点，以管理，引导和塑造最低要求，以维持目标的网络安全成熟度水平。”

　　马来西亚国家石油公司通过设计安全方法来实现OT安全，并将网络安全相关要求作为马来西亚国家石油公司技术标准（PTS）的一部分。它从一个被称为实时OT （RTOT）计划的重点项目开始，设计和实施一个新的标准、架构和路线图，以近乎实时地管理其It和OT补丁管理以及OT资产管理。

　　Rahayu说：“我们的OT足迹很大，因此我们专注于被认为是公司皇冠上的宝石的资产，并继续在我们的本地和国际站点部署该计划。”当马来西亚国家石油公司完成最初的RTOT计划时，它将继续将安全能力扩展到OT的其他方面。

　　“身份在OT中是一个复杂的领域，”Rahayu补充道。“考虑到我们OT系统的分布式特性，这是一个特别值得关注的领域。

　　“虽然IT在建立更强大的身份和访问管理方面一直具有优势，但我们正在探索为我们的OT环境做同样的事情的方法，并致力于消除共享帐户的使用，建立适当的身份治理并确保安全的远程访问。”

　　它还强调建立一个健全的、包罗万象的网络安全治理结构。

　　在推出全组织范围的企业网络安全治理框架（ECSGF）之后，在2023年初推出了一个定制的OT计划，强调了其重要性和脆弱性。

　　因此，网络安全风险评估现在是绿地和棕地项目变更管理（MOC）过程的一部分，以指导OT环境中的设计。

　　这些初步步骤为PETRONAS的资产和网络漏洞的实时可见性奠定了基础，以便根据业务关键性进行补救。与此同时，员工和其他利益相关者通过“人类防火墙”计划不断了解最新的安全行为，该计划强调在工作、家庭和娱乐中保持警惕的必要性。

　　该计划通过培训、沟通和社区参与相结合的方式运行，并得到广泛的网络安全变革代理人网络的支持，他们在我们的业务和站点中倡导信息和意识。

　　我们也会持续培训员工，确保他们具备适当的网络安全知识，以支持他们的日常工作。

　　例如，业务系统所有者必须参加他们监管的系统的网络风险管理培训；现场的主要OT焦点在加入时就会接受OT网络安全培训，并每两年更新一次，以确保他们掌握有关其工作系统的最新网络安全知识。

　　保护的热点地区

　　PETRonAS采用基于风险的网络安全方法，使其能够有效识别关键系统，从而使“热点”得到更严格的保护，同时确保在公司的技术（纵深防御）和组织结构的各个层面都有安全措施。

　　这包括组织范围内的治理和政策，以及员工群体的持续教育和意识。

　　一个主要的问题是OT环境，其中复杂的系统具有更长的使用寿命，维护/更新需要在一年中的特定部分精心安排停机时间。

　　这也是马来西亚国家石油公司优先部署RTOT计划的主要原因之一，该计划旨在加强安全实践，解决潜在漏洞并最大限度地减少网络威胁的影响。

　　另一方面，人们一直认为，人仍然是任何组织中最大的弱点之一。

　　通过网络钓鱼等方法进行社会工程仍然是进入公司系统的主要途径。根据《2022年网络钓鱼报告》，67%的网络钓鱼企图是为了窃取受害者的登录和密码详细信息。

　　这种情况非常普遍，据估计，全球90%以上的公司网络都可能被网络罪犯渗透。

　　以这种方式，破坏可能发生在IT或OT中，尽管威胁行为者可能无法立即访问给定的关键系统，但通过员工的登录凭证进入系统可能足以投放恶意软件，触发勒索软件攻击，或者潜伏在受害者的环境中进行长期侦察程序，这就是所谓的高级持续性威胁（apt）的一个例子，它可能导致更多的恶意活动，如数据盗窃。

　　Rahayu补充说：“我可以告诉你，网络钓鱼的尝试仍然是经常发生的。“三思而后行”是马来西亚国家石油公司的主要网络安全口号之一，我们也经常通过新应用程序和旧系统中潜在的可利用漏洞发现威胁。

　　“安全的一部分是接受威胁行为者在计划攻击时具有很大的耐心和创造力，现在使用人工智能增强工具甚至更简单。

　　“他们也不耻于分享他们的方法，例如，整个业务都是围绕勒索软件即服务（RaaS）建立的。因此，一种安全措施是远远不够的，从企业的角度来设计和应用安全措施，并将其作为组织战略和运营的一个组成部分是至关重要的。”

　　政府和行业的现实检查

　　在马来西亚，自2006年国家网络安全政策（NCSP）最初制定以来，国家关键信息基础设施（NCII）一直是一个成文的优先事项。在《国家战略方案》确定的11个部门中，能源部门具有突出地位。

　　近年来，一些具体事件引发了更直接的行动，重新审视复杂的网络物理系统的安全态势。这些都是警钟，敦促对不断变化的威胁形势采取主动和防御行动。

　　虽然对伊朗核离心机的Stuxnet攻击和NotPetya勒索软件攻击等攻击可能已不再被视为近期记忆的一部分，但世界各国政府和企业仍在不断地对不断发生的网络事件保持警惕。最近的新闻人物包括：2020年太阳风公司（Solarwinds）供应链违规；Colonial Pipeline勒索软件事件和2021年Kaseya供应链泄露事件；以及2023年MOVEit数据泄露事件，该事件影响了数百家组织和数百万个人。

　　能源部门已经开始就网络安全进行更深入的对话，以更好地了解社区可能共同面临的威胁。组织对协作和知识共享变得更加开放，为关键基础设施论坛（如由欧盟网络安全机构（ENISA）和美国国家网络安全卓越中心（NCCoE）领导的论坛）的对话提供经验和教训。

　　2022年，世界经济论坛与50多家公司和政府机构合作，发起了“石油和天然气行业的网络弹性”倡议，目标是建立治理和管理网络风险的蓝图，并统一其保护数字基础设施和资产的方法。能源基准小组（以前称为油气基准小组或OGBG）为能源公司提供了一个与行业其他公司进行运营基准评估的途径，同时围绕安全和安保等关键话题进行战略对话。

　　在马来西亚，正在讨论和计划保护该国的国家网络安全信息基础设施（NCII）。此外，该中心还与东盟-新加坡网络安全卓越中心密切合作，以提高区域人才和能力的技能和知识共享。在操作上，NCII利益相关者与相关政府机构密切合作，以确保准确及时的事件报告，并建立和维护组织认证，如ISMS ISO 27001。

　　众所周知，马来西亚能源公司也与马来西亚标准部合作，采用IEC 62443标准作为马来西亚标准（MS）的一部分。这项计划的目的是确保这些标准对本地行业参与者来说更容易获得和负担得起，不仅仅是最终用户，还有系统集成商和供应商。

　　Rahayu补充说：“在网络攻击事件中，快速响应和恢复的能力在很大程度上取决于识别、检测和保护目标的强大基本能力。”

　　能源委员会的观点

　　能源委员会信息管理和技术部门高级副主任Khairol Fahami表示：“我们的监管机构将确保根据管理马来西亚电力供应行业的2015年电力供应（修正案）法案规定的安全，不间断和可靠的电力供应生态系统。”

　　“委员会希望行业参与者在网络安全方面遵循适当的指导方针，但总的来说，由他们来决定什么最有效。”我们强烈鼓励企业遵循全球网络安全最佳实践。”

　　“不幸的是，信息技术（IT）和操作技术（OT）网络的快速融合带来了前所未有的挑战，”他指出。“能源行业的许多人认为，网络攻击可能会在没有任何事先警告的情况下袭击他们。能源公司如何保护自己免受网络安全攻击？最关键的一步是确定易受攻击的领域并加以加强。

　　“从委员会的角度来看，组织必须做出正确的投资来加强他们的安全生态系统。他们还应该有正确的策略和策略，以确保在发生攻击时快速恢复的敏捷性和灵活性。它们的优先事项之一应该是机构网络卫生。糟糕的网络卫生包括弱密码或缺乏密码、过时的软件或较差的物理安全性，”哈罗尔说。

　　机构网络卫生是正在进行数字化计划的欧盟委员会的优先事项。资讯管理及科技组有严格的时间表，提醒员工更改密码，并监察和检查他们的电子邮件，以防出现最轻微的异常情况。还定期举办教育和参与会议，以确保每个人都在网络安全中发挥作用，并充分意识到潜伏在网络空间的威胁。“作为一项政策，委员会在网络安全方面采取了‘零信任’的方法。任何人，无论愿意还是不愿意——或者，在某些情况下，不知情——都可能成为网络安全链上的薄弱环节。”

　　马来西亚国家石油公司（PETRONAS）网络战略与架构主管Rahayu Ramli

　　×