[OPSWAT]网路攻击可能加剧全球能源危机

达友科技代理的OPSWAT提出一则文章分「网路攻击可能加剧全球能源危机」说明如何避免网路攻击以免影响基础关键设施安全。

战争、经济不稳定、外部威胁和全球政治影响一个国家或地区的能源部门。 此外，对关键基础设施的网路攻击可能会削弱紧张的能源市场。

欧洲正面临严重的能源危机，欧洲各国政府正在通过管理需求和保持能源储备来为这个冬天做准备。 欧盟（European Union）也加快了提高关键基础设施防御和弹性的工作。 这场能源危机是俄罗斯在乌克兰发动战争（袭击并破坏供应链）和俄罗斯对欧洲国家采取严格政策的结果。

对能源部门的网路攻击

除了这些挑战外，对能源部门日益增长的网路攻击可能会加剧能源危机。 根据 Energy Security Sentinel 的数据，今年有 13 起针对能源基础设施的网路攻击，使其成为过去六年来年度攻击次数最多的一次。 石油和电力是最脆弱的基础设施，其次是天然气和航运。

网路攻击不仅针对关键的欧洲基础设施。 2021 年，美国的 Colonial Pipeline 受到勒索软体攻击的影响，导致当局宣布 17 个州和华盛顿特区进入区域紧急状态。

同年，沙乌地阿拉伯的国有石油巨擘沙乌地阿美公司 (Saudi Aramco) 遭到网路攻击。 在那种情况下，骇客要求勒索 5000 万美元。

为什么能源部门是网路攻击的目标？

能源部门是出于经济动机的网路犯罪分子的有利可图的目标； 他们知道这些公司往往财务状况良好，可以支付高额赎金以维持营运。

一个国家的经济活动也依赖于能源部门； 因此，中断可能会造成重大损失。 例如，法国冬季停电 6 小时可能造成总计超过 15 亿欧元（17 亿美元）的损失。 它激励了骇客瞄准对手的关键基础设施以取得攻击成果。

尽管该行业具有关键性，但由于三个主要原因，能源基础设施特别脆弱：攻击面大、缺乏熟练的专业人员、数据化整合IT

攻击面大

攻击面是指进入任何系统的所有可能入口点。 能源部门具有广泛的攻击面。 他们的攻击面包括销售网路、供应链、合作夥伴、电力、智能电表等。通常，组织没有能力监控或标记其资产，这会增加风险并可能留下不受保护的入口。

缺乏熟练的专业人员

在关键基础设施中工作的人员通常不具备保护基础设施免受网路攻击所需的技能。即使是投资于安全产品和解决方案的组织也面临著人力资源问题，这使他们容易受到攻击。

有趣的是，公共部门和私人单位正在联手解决熟练专业人员的供应问题。 欧洲的 ENCS 共享讯息和知识，归电子商务营运商所有。同样，美国众议院通过了一项名为《工业控制系统网路安全培训法》的法案，意在为IT专业人员提供免费的ICS培训。

数据化整合IT

尽管数据化和 IT 整合促进了关键基础设施的管理和营运，但它们也带来了一些安全风险。IT/OT融合可以说会增加安全风险，例如未经授权的系统更改和逻辑可能会使人的生命处于危险之中。可以通过主动监控系统、谨慎管理和让技术人员保护网路来最大限度地降低安全风险。

该怎么办？

数据化的必然性可能会带来更多风险，网路攻击可能会变得更加频繁和有组织。这反过来可能会加剧能源危机。 因此，能源部门的领导者必须建构具有网路弹性的系统并实施业务连续性计划。

能源组织在启动任何能源项目时还必须通过设计方法考虑安全性，并且他们还必须包括网路安全领导者和专家。

为了实现经济稳定，保护能源部门免受网路攻击至关重要。 这需要组织和政府在保护能源部门方面密切合作。