英國在關鍵基礎設施網(wǎng)絡安全領域處于領軍
根據(jù)能源運營商英國國家電網(wǎng)數(shù)字化風險和安全管理經(jīng)理戴維·威拉西介紹,目前,在重要國家基礎設施的網(wǎng)絡安全領域,英國處于國際領先水平。
但是,英國及其他國家在能源領域仍然迫切需要在企業(yè)文化方面進行真正的變革,他在倫敦召開的網(wǎng)絡安全峰會上告訴與會者們說。
“能源部門需要意識到他們不再僅僅只是工程企業(yè),同時還是IT工程企業(yè),因為能源網(wǎng)絡現(xiàn)在完全依賴于IT的運作,而安全性恰恰是其中最薄弱的環(huán)節(jié)?!蓖髡f。
他說,技術變革的速度已然改變了這個世界,而諸如移動技術正大范圍的擴展到了能源部門和大部分的關鍵基礎設施領域的并行操作技術中。
“與此同時,除了少數(shù)大型發(fā)電機在過去能夠更輕松地實現(xiàn)自我管理外,鑒于當前更多地使用可再生能源資源,用來運行和管理電網(wǎng)的系統(tǒng)都變得越來越復雜和自動化”威拉西說。
“風險狀況的快速變化,再加上安全威脅的迅速增加,使得安全監(jiān)控和數(shù)據(jù)采集(Scada)和工業(yè)控制系統(tǒng)(ICS)成為了一個相當關鍵問題?!彼f。
為了應對這種變化,英國國家電網(wǎng)組建了專門的業(yè)務連續(xù)性團隊、網(wǎng)絡安全團隊和物理安全團隊,所有團隊均向CIO報告。在過去10年中,該公司還將專門處理網(wǎng)絡安全事務的員工數(shù)量由1人增加至50人。
英國能源部門的網(wǎng)絡安全在歐洲處于領先,雖然目前的狀況尚不甚理想,威拉西說,但其他國家則處在一個更糟糕的狀態(tài),很多國家才剛剛開始意識到這方面的問題。
“計算機可以以損傷物理設備和硬件的方式被操縱,并繼續(xù)部署Scada和其他類型的智能設備到能源網(wǎng)絡,以擴大攻擊面,增加風險。因此,對所有國家來說,確保能源基礎設施是安全的,對威脅是有彈性的,并有能力從任何災害事件中恢復是至關重要的?!彼f。
在任何現(xiàn)代國家,最關鍵的系統(tǒng)均需要依賴于能源。因為如果沒有能源動力,其他關鍵部門將無法操作,威拉西稱。他還補充道:“但現(xiàn)在,能源部門需要廣泛投資控制領域,以減少主要風險這一理念已經(jīng)被廣泛接受了?!?/p>
為了說明網(wǎng)絡安全威脅,威拉西列舉了最近的一項實驗,以看起來像是屬于自來水公司的偽裝IT系統(tǒng)的形式,建立的面向Internet的蜜罐。
他說,第一次攻擊在幾個小時之內(nèi)到來,在28天里,來自14個不同國家的39次攻擊。在這39次攻擊中,12次獨特的,可以被單獨歸類;而13次是針對相同目標的重復攻擊。然而,威拉西表示說,雖然在過去大多數(shù)攻擊的目的均是為了竊取數(shù)據(jù),而在實驗中的許多攻擊似乎是試圖看到目標系統(tǒng)能否被順利攻下。
隨著對用于操作關鍵基礎設施的系統(tǒng),融合了物理和網(wǎng)絡安全問題的網(wǎng)絡資產(chǎn)的依賴越來越強,威拉西表示說,能源部門需要評估和緩解風險,以確保在風險和成本之間達成適當?shù)钠胶狻?/p>
“在英國,能源部門正在與多個政府部門這樣做,因為如果沒有能源供應,就什么事都做不了?!蓖髡f。
他說,挑戰(zhàn)在于能源系統(tǒng)要依賴IT,而這些IT系統(tǒng)變得越來越復雜,其攻擊面正持續(xù)增長,對于能源網(wǎng)絡的網(wǎng)絡攻擊的威脅——尤其是來自敵對國家的攻擊威脅越來越多,如果沒有“數(shù)萬億英鎊”的費用,許多能源網(wǎng)絡的資產(chǎn)無法被改變,而大量微妙的不同IT系統(tǒng)均需要一款定制的方法。
“而其中最大的挑戰(zhàn)之一是,該領域只有極少數(shù)人了解網(wǎng)絡安全以及他們的能源網(wǎng)絡?!?威拉西說。
主要風險
他確定了五大主要風險。首先,是由于缺乏安全意識而在采購和升級信息和操作技術、或由安全漏洞和惡意軟件所帶來的風險。威拉西列舉了針對英國系統(tǒng)的一次攻擊的例子,被曝出通過在美國插入閉路電視(CCTV)的數(shù)碼錄音機接入網(wǎng)絡,推出的惡意軟件。
其次,有一個危險的事實,關于專有的通信協(xié)議安全漏洞的信息,如Modbus協(xié)議在互聯(lián)網(wǎng)上被廣泛使用。
第三,由被引入到關鍵基礎設施的新的IT資產(chǎn)所帶來的風險。威拉西說,因為大多數(shù)現(xiàn)有的系統(tǒng)均是20世紀50年代和60年代生產(chǎn)的,而現(xiàn)在被引入的資產(chǎn)并沒有30年的壽命,應計入折舊和投資規(guī)劃。
“也沒有針對舊系統(tǒng)打補丁,沒有反惡意軟件的保護,沒有定義和管理安全邊界。企業(yè)管理IT系統(tǒng)和業(yè)務系統(tǒng)的部門之間幾乎沒有協(xié)調(diào),全是由工程師在負責運維?!彼f。
第四是惡意軟件的擴散?!懊刻煊谐汕先f的變種病毒,如果某一天一個病毒被無意中引入到一個系統(tǒng)可能損害重要資產(chǎn)?!蓖髡f。
最后,被引入到關鍵系統(tǒng)的連接量是巨大的風險,他說?!拔覀兡壳八_放的系統(tǒng)比我們封閉的系統(tǒng)要多很多,這就是為什么在業(yè)務層面需要掌握更多的認識,并了解運營層面的更多東西的原因了?!?威拉西說。