石油和天然气行业可能看起来不像黑客喜欢攻击的行业。 但是现实就是这样,随钻井、炼油厂和总部之间的新的数据互联的增长,网络安全风险不断上升。 在日益连接的世界中,上游的O&G公司如何保护自己?
(一)介绍:风险不断上涨
这几年,网络攻击者开始针对原油和天然气(O&G)公司,随着行业采用更多的连接技术,攻击频率、复杂性和影响力都在增加。 但一般来说,能源行业网络成熟度相对较低,董事会对网络问题的战略关注普遍有限。
为什么会这样?也许是油气行业因为从事原油和天然气的勘探、开发和生产,觉得自己不太可能是网络攻击的目标。业务是原油,而不是字节。此外,能源行业的远程操作和复杂的数据结构,也提供了自然的防御。但由于黑客的动机发展迅速,从网络恐怖主义到行业间谍活动,从中断运营到窃取现场数据,现今日常业务对连接技术的需求越来越大,风险越来越高。
O&G业务的不同领域会带来不同级别的风险,需要不同的应对策略。我们以前的文章“打击网络风险的综合方法:确保石油和天然气行业的运营 ”中,从O&G整个行业来观察网络风险和治理过程,本文探讨了O&G行业的上游价值链(勘探、开发和生产),以评估每个业务运行方的网络脆弱性,并给出风险控制策略。
在上游业务中,钻井开发和生产(development
drilling and production)具有最高的网络风险,而地震成像(seismic
imaging)具有相对较低的风险,日益增长的业务需要将地震数据数字化,存储和传递给其他学科,未来的其风险可能会提高。一个安全、保持警觉和弹性的整体风险管理计划,不仅可以减小网络风险,而且促进上游业务的三个目的:人员安全,运营可靠性、创造新价值。
(二)遏制网络威胁
2016年,能源行业是第二大容易发生网络攻击的行业,近四分之三的美国O&G公司经历了至少一次网络事件。但是,在他们最近的年度报告中,只有少数能源公司将网络攻击行为作为主要风险。事实上,许多美国O&G公司将网络风险与诸如内乱,劳资纠纷和天气破裂等其他风险相结合,许多非美国O&G公司在100多页的文件中甚至没有提到“网络”。
令人担忧的是,O&G公司上游业务的工业控制系统(ICS)遭受了越来越多的网络攻击,危及到工作人员的安全、声誉、运营以及环境。黑客是否使用间谍软件来瞄准领域的数据,是否使用恶意软件感染生产控制系统,或DDOS攻击阻断控制系统的信息流的服务?攻击正变得越来越复杂,特别是令人震惊的,是发起对该行业的组合攻击。例如,在2014年,黑客通过精心研究的网络钓鱼和高级木马攻击,对欧洲的50个O&G公司全面攻击。
毫不奇怪,精确定位攻击者是艰难的。防御工作的复杂在于攻击者的动机往往难以猜测。据“工业控制系统网络应急小组(ICS-CERT)”报道,2015年三分之一以上袭击关键基础设施的是无法追查的,或者有一个未知的“感染载体”。这就是为什么网络攻击行为不容易被发现的原因,像Shamoon这样的攻击,2012年感染了中东O&G公司的30,000台电脑,继续以变种的形式出现。
据估计,能源公司每年平均的抵御网络犯罪费用大约在1500万美元左右。但是一个重大事件可能很容易导致成本上升到数亿美元,更重要的是,风险会影响人们的生活和附近的环境。如果一个网络攻击者操纵从海上开发井出来的泥浆数据,黑掉的海上钻井生命监测情况,或者延迟防喷器(blowout
preventers)所需的井流数据,其影响可能是毁灭性的。
2.1 数字化带来了挑战
除了上游行业的“关键基础设施”状况外,遍布全球的计算、网络和物联网设备的复杂生态,使得该行业极易受到网络攻击的威胁。换句话说,行业有很大的攻击面和许多攻击向量(见图1)。例如,一家大型O&G公司,使用了五十万个处理器用于石油和天然气储层模拟、生成、传输和存储PB级敏感和竞争性的数据,并经营和分享数千个钻井,控制系统的生产跨地理位置、领域、供应商、服务提供商和合作伙伴。
增加脆弱性的是,企业业务部门技术和信息技术部门的优先对比。支持钻井和井场操作的运行系统(如传感器和可编程逻辑控制器)都是将执行具有24X7可用性的任务作为其主要目标,然后才是完整性和机密性。而IT系统,如企业资源规划,具有保密性,完整性和可用性的优先级顺序。这种目标的冲突
-业务安全与网络安全(safety vs
security),钻井和生产控制室工程师们担心严格的IT安全措施,可能会对时间敏感的控制系统产生不可接受的延迟,从而影响决策和运行响应。
ICS的技术设置也带来安全挑战。关于ICS软件的决策通常不是由企业IT集中决策,而是在现场或单位层面,导致来自不同解决方案提供商的产品,基于不同的技术,以及不同的IT安全标准。井和ICS系统的十多年生命周期以及持续的销售和采购增加了多样性问题,使得经常对这些系统进行帐户、标准化,升级和改造具有挑战性。例如,全球约1350个油气田已经生产了25年以上,在此期间使用不同年份的系统和设备。
日益增长的数字化和互操作性进一步加剧了网络风险。以前,由于系统的物理分离,风险较小。但如今,数字油田或智能油田,通过实时连接上游业务,为黑客提供了全新的攻击向量。例如,壳牌公司最近设计了一个井,从加拿大遥控操作中心,能控制在阿根廷Vaca
Muerta钻井的速度和压力。
物联网(IoT)技术很强大,而且其针对数据的创建、沟通、汇总、分析和采取行动的能力也是脆弱的,德勤信息价值环(见图2)。这些阶段通过传感器技术,通常是无线通信网络和几种分析和自动化工具实现,每个阶段都非常易受传统ICS系统和复杂上游生态系统的安全漏洞的影响。上游O&G行业面临双重网络挑战,既保护已有的,并领先于未来的物联网。
此外,在现场层面的智能仪表
– 可以对采集到的数据进行自处理,分析和采取行动的设备,而不是集中存储和处理中心 – 将网络风险带入上游业务的前沿。
例如,恶意黑客可以通过向内控制器发送改变速度的命令,来改变集成抽油杆泵的电机速度和热容量(油生产过程的“前线”)来减慢抽油过程。
不仅仅是新的物联网产生的信息和价值面临风险。 未来的机会成本 – 包括人员的安全和对环境的影响 – 都受到威胁。
(三)从哪里开始:评估漏洞以优化网络投资
如何开始排名漏洞和优先级别?对于与高级管理人员沟通战略来说,网络问题必须以业务单位(offshore,
lower 48,
international)或价值链层面(废弃井的地理测量)的语言构成,解释的业务风险、影响和解决方案。虽然业务部门因公司而异,本文概述了整个行业价值链层面的网络脆弱性和严重性评估框架。
上游业务的脆弱性将是攻击面(例如,供应商、用户和接口的数量,工业控制系统的数量和类型)、模式和数据流(物理或数字和单向,双向或多向),以及现有的安全和管制状况。另一方面,严重性包括健康、环境和安全事件,业务中断,法律和监管问题,声誉破坏和知识产权盗窃形式的直接和间接费用。
上游阶段(勘探、开发、生产和废弃)具有明显的网络脆弱性和严重性profile(见图3)。事实上,在开发阶段,现场开发规划与钻探开发具有不同的网络风险。虽然每个操作都需要保护,但对于最重要的,易风险的操作优先考虑,对于确定采取行动次序和缩小修复范围至关重要。以下,我们将讨论每个阶段的主要关键和易风险的操作。
3.1 勘探(EXPLORATION)
在三个主要阶段中,勘探具有最低的网络脆弱性和严重程度。它的网络脆弱性很低,因为前两个操作
– 地震成像和地质和地球物理勘测 –
都有一个封闭的数据采集系统(通过磁力,地震检波器捕获的岩层数据主要通过物理磁带发送和/或在专有模型中处理,与外部世界的联系有限),以及是一个相对简单的供应商生态系统(前三名地球物理供应商控制着市场的50%至60%,并提供了一整套产品)。第三个操作,勘探和钻井评价(exploratory
and appraisal drilling),具有较高的风险特征,但包含开发阶段的许多要素,将在下一节中介绍。
网络攻击对地质和地球物理和地震成像的造成的潜在财务影响很小,因为这种操作会导致业务中断或对健康、环境和安全风险的可能性很小。然而,风险最高的是公司的竞争性现场数据,但由于没有直接的成本或不可见,攻击可能长期被忽视。例如,2011年Night
Dragon攻击背后的黑客,攻击禁用代理设置,多年来,利用远程管理工具窃取了许多O&G公司的现场勘察和投标数据。
虽然目前的勘探工作流程具有相对安全的网络风险状况,但公司越来越多地使用先进的重力波传感器来提高地下成像的准确性,并通过在超级计算机上进行数字化、存储和处理。例如,中国海油将其地震数据计算时间从两个月缩短到仅仅几天,部署开源的大容量服务器可扩展到多个存储集群,将存储性能提高了4.4倍。
无疑,这种基于软件的高性能计算和存储进步,将以指数方式推动了基于物联网的价值。但是,当这些勘探数据开始实时进入跨学科上游业务,如附近地区的钻井计划、完井设计和储量估算时,网络攻击的影响将从潜在的收入损失增加到重大的业务中断。
3. 2.开发(DEVELOPMENT)
在O&G价值链中,石油和天然气井的开发是特别容易暴露在网络事件的中。虽然钻探开发( drilling
operation)与勘探和钻井评价(exploratory and appraisal
drilling)相似的技术,但由于钻井开发活动更高,广泛的基础设施和服务(高于和低于表面)以及复杂的工程公司生态系统、设备和材料供应商,钻机和服务公司、合作伙伴和顾问,因此具有容易受到网络攻击。
钻井和计算机系统,主要是在海上钻机中,被设计为独立的网络。数百英里的海洋和物理障碍,提供了对网络攻击的自然防御。但是随着实时运营中心的到来,它们可以从世界任何地方,访问和可视化实时海上钻机数据,控制钻井作业,甚至连接地球科学和工程数据库,并预测钻井危害
– 没有什么能逃脱黑客的雷达。
与脆弱性因素一样,钻井开发业务的网络攻击的严重性在也是最高的。无论是资产损失、业务中断、监管罚款、声誉损失、知识产权盗窃或健康,环境和安全事件,此阶段的未来机会成本最高。黑客从墨西哥湾井场的一个浮动单位,将石油钻机倒在非洲海岸,网络团队需要19天才能从韩国到巴西的石油钻机上删除恶意软件,而这个阶段已经出现了许多事件。随着越来越多采用开源,厂商中立的数据协议来创造新价值,行业应该看到黑客目前还没有利用这些数据,取得优势。
另外两个主要阶段,开发规划(development
planning)和完井 (well completions)-
网络风险状况相对较低。开发规划,特别是与其他业务的实时关系很少,但涉及跨学科,如地质学,地球物理学,水库管理,生产,基础设施,完井,经济学和金融学,因此为黑客提供了许多切入点。除了丢失机密的现场设计数据和技术和设备的蓝图外,黑客甚至在钻机的GPS坐标和最佳井间距上进行了小的改变,也可能带来重大的财务影响。
完井过程很有可能进入高风险的网络区域。该行业正在积极地开发新的和连接技术的原型,通过实时监控和先进的分析软件,特别是压裂液(fracturing
fluids),沙子和物流管理领域,缩短了完井时间。据Schlumberger说,“水平井计划的增长强度,要求下一波压裂技术加载传感器和实时数据流传输功能。
值得澄清的一点:没有人应该责怪自动化和连接性增加了O&G网络风险。自动化使运营高效,安全,而且非常重要的是为运营商和管理人员提供价值,我们担心是公司缺少一个可接受的网络安全计划和投资。
3.3.生产和废弃
石油和天然气的生产运行(production
operation)在上游业务中的网络脆弱性排名最高,主要是由于其资产基础不是建立在网络安全的基础上,而是多年来一直在改装和修补,并且现有网络上缺乏监控工具。全球大约42%的离岸设施已经运行了15年以上,不到一半的O&G公司在其网络上使用监控工具,而在那些拥有这些工具的公司中,只有14%运行中安全监控中心。
解释或放大上述网络安全问题是一个广泛的运行环境,供应商的角色转换,从系统供应商到系统集成商。美国一家大型O&G公司拥有超过25,000口生产井,每口井都拥有多种工业控制系统,从钻孔传感器到井上的可编程逻辑控制器,以及本地控制中心的SCADA系统,从许多具有不同维护计划的供应商处购买,并使用现成的技术进行连接。
最重要的是,这些松散耦合集成的工业控制系统,越来越多地与公司的企业资源规划系统相连接。由资源规划系统控制了全球石油和天然气生产的75%,因此,这部分价值链面临从高层(IT系统)和底层(现场的核心传统运营技术系统)网络风险。因此,对石油和天然气生产的网络攻击可能是严重的。与更复杂和专门的地震和钻井数据不同,生产参数(通常由温度,流量,压力,密度,速度等组成)相对容易理解,这使得黑客可以攻击,引发后果。
价值链 – 井干预,修井和废弃阶段 – 脆弱性较低,因为该过程主要涉及机械改造、诊断以及更换和维护工作。但最近,供应商正在越来越多地使用可互操作的设备、标准软件平台和HMI接口来降低成本,从而提高了脆弱性风险。
O&G生产运营在上游中的网络脆弱性排名最高,主要是因为其传统资产基础不是建立在网络安全的基础上,而且多年来一直在改装和修补。
(四)使用整体风险管理计划来减轻网络风险
确定网络风险是第一步, 下一步就是制定缓解风险策略。 在减轻网络风险方面的一个常见的反应是试图解决一切。 但是,随着物联网技术连接越来越多的系统和黑客变得越来越复杂,网络事件的零容忍是不切实际的。 因此,公司应该重视的是,对威胁的更多可视化和感知,并更有效地作出响应,以减少其影响。 简单来说,有效的网络战略是安全、警惕、有弹性的。
【注:原图是一个带点动画的,可以去看看】
所以对于O&G的战略家来说,一个问题是使得最关键的操作
– 勘探阶段的地震成像,开发阶段的钻探、生产阶段的井生产和废弃 –
是安全、警惕和有弹性。以下部分将介绍三种网络事件,针对每个关键操作,以解释和强调策略。我们假设公司已经有标准的IT解决方案,所以这里更多地关注战略解决方案。
4.1 勘探阶段
场景:作为海上地震影像项目,使用网络连接的存储和数据管理系统,即将完成,恶意软件通过一个网络存储节点进入并达到高性能计算系统。虽然恶意软件不会对操作产生影响,但它会窃取竞争性地震数据。公司如何保障地震资料的数字化?
尽管数千兆比特的地震资料太大,成为天然的屏障,但数据化和存储地震数据在云中的增长趋势,确实需要确保行业间谍不能窃取数据。通过用敏感的等价物(称为令牌)代替每个敏感的地震数据元素,并将代码运行在令牌上,而不是实际的数据,公司将为未来的黑客提供无价值的利用或窃取。核心令牌生成或索引系统是隔离的,存储实际的地震数据的系统以加密格式存储数据。
随着几个业务学科在整个整个生命周期不同阶段中访问地震模型,并且模型随着来自多个存储库的新数据而不断改进,O&G公司应该对潜在的数据被盗窃保持警惕。通过记录跨学科的网络流量,并根据规定的基线检查网络流量,以捕获例如用户下载太多数据或访问数据异常频繁的情况
– 公司可以主动检测与地震数据相关异常流量。
考虑到地震数据采集的成本很大,对地震数据进行备份至关重要,以确保即使实际数据受到损害,地震数据的处理仍然持续或保持弹性。随着数字存储和使用多个存储节点处理地震数据的转变,公司的备份工作流程也需要与此框架相一致。
4.2.开发阶段
场景:隐藏在钻机组件系统中或从网络中出现的流氓软件程序进入钻井控制系统,并开始管理必要的钻井参数。结果是井的角度偏差,突然的流体流入和井完整性问题,导致额外成本,并且使人和环境处于危险之中。如何避免和响应?
考虑到在钻井的供应商和设备复杂生态系统,公司可以在新系统,设备和软件进入主流系统之前部署(即预先测试)新的系统、设备和软件来确保其运营。在实验环境中试部署可以及早识别现有的恶意软件,并确认系统是否遵守最低的网络标准。
考虑到确保每个钻探资产安全几乎是不可能的,额外的安全功能可能会干扰运营的可用性,或减慢对时间敏感的决策。通过对模拟仿真环境下的SCADA和其他特定系统,而不是实际运行网络扫描,并且通过使用基于数据的规则,来搜索偏离“正常基线”的异常,可以尽早检测到攻击。
最常用的弹性战略之一是创造气隙(air
gaps
)或隔离系统,为钻井平台和陆上控制中心的相关方制定跨学科的网络手册,可大大减少响应时间并减少损失。响应时间至关重要,因为钻机的日常合同价格高达500,000美元。例如,在受恶意软件攻击后,2010年从韩国到南美洲的钻机必须关闭19天才能恢复其功能。
4.3.生产和废弃阶段
场景:蠕虫被部署在陆上工业控制系统上,可以对可编程逻辑控制器中的逻辑进行更改,并绕过保护性变速箱。蠕虫屏蔽了控制室中变速器的状况,随机改变了泵的转速,这些变化将导致次油产量降低,泵的磨损,甚至井的破裂。可以做些什么来避免这种情况?
公司可以通过使用基于风险的方法,管理一个整体的补丁管理程序,确保其关键控制系统安全。至少这需要对资产进行清点,做一个详细的针对每个资产的漏洞/严重性评估,以及对关键资产进行优先排序。另外,上游公司可以通过简单的网络协议替代传统设备,并采用全新的专用硬件而不是改装。
通过将来自外部来源的威胁源(例如,跟踪网络威胁主题和社交媒体上的模式)与内部网络数据相关联,公司可以通过早日识别和解决威胁。
O&G公司必须分享、构建和监控来自外部来源的关键危害指标,特别是针对SCADA系统,其网络攻击历史悠久,许多攻击以一种形式或另一种形式重新出现,例如,在2016年沙特阿拉伯的第二次已知的Shamoon攻击重新使用了2012年Shamoon
1中使用的Disttrack方法。
为了快速地响应或具有弹性(即快速恢复),公司可以通过网络模拟来定期做出演练。特别是与参与海上事件或偏远地区工作的人员进行分段演练,可以更好地了解威胁,并改善网络判断。
公司需要一个全面的警惕策略,考虑到确保每个钻探资产安全几乎是不可能的,额外的安全功能可能会干扰运营的可用性,或减慢对时间敏感的决策。
(五)将网络安全作为业务,实现安全性、可靠性和价值创造
上游石油和天然气行业发展迅速,自动化,数字化和物联网技术正在迅速融入复杂的运营生态系统。然而,行业相互连接的趋势,超越了网络成熟度,成为网络攻击的主要目标。我们认为,董事会层面的有限战略关注和赞助,而不是缺乏技术,是行业相对较低的网络成熟度的原因。
获得高级管理层的赞助需要战略性地提出问题,并描述网络安全如何促进公司的三大最重要的操作要求:资产、人员和环境的安全(safety),资产的可用性和可靠性,并从创造新价值(见图6)。接下来将是每个人参与到整体的网络风险管理计划。
目前低油价时期为上游企业提供了一定的空间,可以专注于内部过程和系统。油气行业以效率为重点,取得了良好的开端。现在需要保护安全运行不受网络安全攻击。
原文链接:https://dupress.deloitte.com/dup-us-en/industry/oil-and-gas/cybersecurity-in-oil-and-gas-upstream-sector.html