通过基于风险的方法破解网络安全宝典:艾默生电力和水供应商的优选实践
作者:Bob Yeager
对于电力和水行业而言,数字化转型在很多方面都是一把双刃剑。
一方面,突飞猛进的技术发展,如信息技术(IT)与运营技术(OT)的融合、更高的互联互通能力以及对海量数据的便捷访问,大幅提升了公用事业和市政机构优化运营的能力,使其能够更安全地管理分布式能源资源,并持续提供可靠、低成本电力和清洁水源。
另一方面,为利用上述优势,电力和水供应商转变运营方式的行为,使他们越发容易受到网络安全攻击和威胁,尤其是在没有采取适当的对策或通过合作伙伴来提供保护的情况下。
如今,针对关键基础设施的网络安全攻击愈演愈烈。 美国环保署(EPA)发布备忘录,强调了审查地方供水系统安全措施的必要性;工业网络安全大拿 Dragos 的最新报告同样显示,能源行业受到攻击的事件持续攀升。
攻击越多,代价越高。 全球网络威胁与攻击造成的年度损失在 2023 年估算有 8 万亿美元,远高于 2015 年的 3 万亿美元,2025 年甚至可能升至 10.5 万亿美元。
随着风电场、太阳能设施和微电网等越来越多的分布式能源 (DER) 向电网供应可再生能源,然后为关键基础设施供电,因此黑客远程破坏电力输送的可能性更大。 美国 美国能源部十月份发布的报告指出,分布式能源资源为电网带来新的网络安全挑战,其设计必须将安全性作为“核心要素”。
如今,黑客变得越来越狡猾,使用的技术也愈发先进,并且黑客的发展与创新速度很多时候甚至超过他们瞄准的目标公司,因此问题就变成:公司该怎么做才能抵御黑客的攻击?
采用基于风险导向的策略破解网络安全难题
无论什么行业,采用基于风险导向的策略都有助于尽早识别潜在漏洞,保护企业当前及未来的运营。 基于风险导向的策略并非试图防住一切威胁,而是识别关键薄弱点,根据其突破概率与影响程度制定安全方案。
在优化网络安全体系时,可从以下几个方面入手,构建持续升级的整体防护框架:
开展风险评估。
风险评估为贵公司提供关键见解,有助于预先缓解风险。 通过评估,企业可了解网络安全、数据管理、周界防护等关键要素的准备度,更全面地掌握整体安全态势。
加强系统访问权限控制。
安全措施可能带来麻烦或不便,因此不由得减少安全措施,而这正是攻击者梦寐以求的。 确保员工不折不扣地落实安全政策、不断评估风险并帮助在内部建立恰当的安全文化,确保系统访问受到严密保护。
制定有效政策。
即使是最缜密的安全措施,也会因人为错误而变得毫无用处。 因此,务必培训并授权员工实施强有力的管理政策,以降低社交工程、网络钓鱼和相关攻击的风险。
升级控制系统。
停车成本高昂,应尽量避免。 按时打补丁、升级系统,有助于减少停车,降低因服务器与工作站防护不全面带来的安全风险。
跳脱出周界防护思维。
攻击者通常认定外围保护已部署到位,因此会使用通用协议和已知服务端口来破坏控制系统组件。 要应对针对性攻击,既要需要加强系统周界管控,也要保护各类潜在攻入点,我们应部署可定制、可灵活调整的防火墙,并持续扫描安全薄弱环节。
谨慎管理远程访问。
几乎所有控制系统都部署了某种类型的远程连接,但这仅仅是因为远程访问是一种常态化的做法,并不是因为它安全。 在必须进行远程访问的系统上,请确保远程访问得以安全监控和实施。 甚至可采用多重身份认证等方式增强安全性。
掌握控制系统状态。
在制定并部署基于风险的网络安全方法之后,请确保全程持续监控风险,并尽快识别潜在的攻击和威胁。 有效的网络安全策略必须能不断调整与升级。
对于希望不断创新、保持竞争优势的电力企业或市政公用事业而言,数字化转型已不再是“可有可无”,而是必选项。 数字化转型虽有风险,但也不乏回报,例如加强员工之间的协作与创新、取得突破性运营改进等。
此外,在不断演变的网络安全格局中,上述实践只是起点。 为真正优化运营,完善其风险导向防护策略,越来越多的电力与水务企业通过自动化手段,在其业务中深度集成业内优质的网络安全解决方案,例如艾默生的 Ovation™ 控制系统,该系统已获美国国土安全部指定并认证为“合格反恐安全技术”。
无论公司处于网络安全之旅的哪个阶段,都不要忘记进步和发展永无止境,只有做好充分准备,才能应对潜伏在角落里蠢蠢欲动的下一次潜在攻击或威胁。
眼下没有受到攻击,并不代表以后也不会。 因此,请立即抽出时间制定恰当的对策,并与合适的合作伙伴携手同行。 未来的您会感谢此刻的自己。
