石油與天然氣製程監控的網路安全

Joe Morgan

我從事多種不同形式的石油與天然氣業工作已有三十五年。長期任職讓我得以見證市場和技術的驚人變化。曾經有過蕭條和繁榮時期、發現新油田和找到這些儲量的技術。我看到井下儀器的出現,可以指示各種參數—例如壓力、體積—以及能夠抽出每一盎司的新生產技術。

我的經驗讓我認識到,我們目前正處於石油和天然氣行業的巨大技術變革之中;但是隨著這些進步,在這個領域不斷增加且隨之而來的是網路安全的風險。本文將探討現今的石油生產商,如何利用新的感測器技術來提高效率及降低成本,同時研究如何減輕相關的安全風險。

從「敏銳的耳朵」到感測器技術

石油生產商的主要目標是保持良好的利潤率,技術在營運當中發揮著重要的作用。過去依賴現場維修人員敏銳的耳朵發現軸承故障的聲音,如今已被現場嵌入式感測器接管。智慧感測器和 SCADA 系統正在協助公司監視,並回報石油和天然氣的運轉情況。這些感測器可以偵測早期變化,並將整個設施中的關鍵數據轉發給工廠經理,或者發送到數千英里之外的遠端控制室。直到最近,遠端監控的成本仍然很高,但是 LTE 和類似的行動技術的創新(由太陽能和電池供電的儲存裝置)讓感測器可以遠距發送資訊。智慧感測器還可程式化,以在出現問題時發送數據,進而大幅降低運作成本。

生產廠商正使用這些新的組合技術,調整這些系統,以便遠端監控油井的安全性、製程以及健康與安全。這將使生產廠商從被動轉變為積極,進而有利於現場的運作,並減少對某些油井維修的需求。全天候工作的感測器可以偵測異常活動,取代隨機的手動檢查。最終將可節省金錢,維持良好的盈利。許多公司正在將這些功能引進其網路,但是隨之而來的是潛在的網路風險。

對抗關鍵基礎設施的網路威脅

石油和天然氣是構成一個國家重要基礎設施的產業,而網路安全是大多數營運機構關注的主要問題。對於關鍵基礎設施、眾多相關產業以及主管當局,成功的攻擊將可能造成組織和大眾的災難性影響。此外,還可能導致連鎖反應或骨牌效應:如果一個部門被擊潰,其他部門的問題也可能隨之而來。

對於組織而言,抵禦不斷變化和發展的攻擊非常重要。由於其固有的安全漏洞,該產業已經看到針對物聯網設備增加的勒索軟體攻擊。這凸顯了新感測器的安全性需求。除了傳統的勒索攻擊之外,還有特洛伊木馬型的惡意軟體攻擊,會進行長時間的休眠與資訊收集活動,以免被發現。一旦收集到足夠的資訊,駭客就可以接管運作。想像一下,這如果發生在石油和天然氣工廠的情景。惡意行為可能會觸發假警報,提示某台機器發生故障。如果未經驗證,錯誤的被動反應損害,可能會比實際事件更多。

導入更多安全方防護層

感測器警報或警報的驗證,可以透過其他感測器來達成。影像感測器和熱顯像是兩種不斷演進的感測器。可以調整位置以確定感測器是否確實指出問題;因而,確認是否發生事件。即時遠端監控可以多一層安全保護,尤其是當石油和天然氣公司面臨嚴峻挑戰的時候。石油價格的波動已導致現場值班人力的減少,以及增加對廵視頻率不高的人員依賴。

駭客是機會主義者,他們會利用現有流程中的漏洞。除了驗證之外,高階感測器製造商還增加了更多保護層,並透過第三方網路安全合作夥伴來加強其防禦能力。因此,當我們考慮網路攻擊的相關風險時,供應鏈的深調查從未如此重要。

評估供應鏈

石油和天然氣生產商應注意的重點,不僅僅是新技術帶來的營運收益,還應聚焦供應鏈的企業網路安全成熟度,以保護其投資免受潛在攻擊。重要部門內的折衷解決方案,不僅可能為企業帶來嚴重後果,社會也可能受害。由於各國依靠這些營運服務,其影響可能非常廣泛。從業務角度來看,成功的網路攻擊可能對其品牌聲譽、股價和盈利能力產生負面影響,並導致運轉中斷和罰款。

為了支援企業評估其供應鏈中的合作夥伴,方法需要超越營運本身的技術。整個評估過程中,要考慮的領域應該是其已證明自己內部成熟的流程與策略,例如 ISO27001。如果這些組織無法證明他們正在採取何種措施來保護自己免受網路攻擊,那麼他們如何保護客戶?

關於技術,他們具有哪些功能和工具來減輕其產品成為攻擊根源的風險?例如,諸如簽名韌體和安全啟動之類的功能,可確保在部署之前不會損壞設備。該技術是否遵循「設計的安全性、預設的安全性」設定,能夠立即使用,並啟動所有安全防護措施?他們是否能夠協助把裝置安全地安裝到網路上?如何支援技術的整個生命週期管理?今天的安全並不代表明天的安全。他們是否提供了設備清單,可以有效地主動管理韌體更新?IT 政策已經確認,韌體更新將比製造商的硬體保固更有價值。特別是在針對預期的使用期限和過時的韌體,考慮其所帶來的風險。

隨著石油和天然氣產業進入一個新的技術時代,技術合作夥伴的角色對於成功變得非常重要。尤其是從遠端監控的角度來看,他們提供的解決方案,將有助於提高效率並降低行業成本。但是,對這些業務進行仔細的網路安全評估非常重要,應在採購流程中放在優先評估的位置。根據我的經驗,如果部署用於改善業務營運和提高盈利能力的技術,卻導致使用者系統受到損害,那將是一場災難。如果我們認知到每項業務若要強大都與最薄弱的環節息息相關,那麼我們需要確保在評估流程中納入網路安全,而不是事後才想到。唯有如此,石油和天然氣組織才有可能利用新興技術解決方案。

要了解有關 Axis 如何提供三層式網路防護的更多資訊,請按一下此處。

三層式防護