发布日期:2021年6月11日
美国联邦政府发布新指令命令管道运营商在一个月内检查并报告管道系统网络安全2021年5月28日安全指令管道2021-01(“指令”)发布后,
殖民流水线感到有义务向黑山网络犯罪黑帮支付赎金,以便操作者重新访问自身被绑定软件锁住的IT系统运算符表示数月内检查并完全恢复系统耗资数以万计一号它强调攻击只影响IT,没有导致DarkSide获取操作技术
行业内OT名词覆盖软件和硬件-例如监控数据采集和可编程逻辑控制器-以监控资产、特殊设备如阀门、事件和过程
Gartner研究表明,60%运营关键基础设施的公司仅在成熟的初始阶段,即整合优化OT和网络物理系统网络安全公司知道风险,但不太可能实施强健解决方案2
管道公司显示OT网络安全成熟度与Gartner公司总体发现相同,
可能需要下大力气才能让管道运营商严格应用美国现有的管道系统网络指南
原创管道事件尽管局限于IT系统, 却提升了世界范围能源基础设施运营者日常对抗恶意网络攻击的利害关系, 并补充道 :“即使攻击者没有访问CroundOT, 所感知的风险本身可能足以让公司通过立即命令预防性关闭对广大民众和多产业至关重要的管道而执行自己的协议。”
管道运营商越来越清晰地看到信息技术与OT提高运营效率之间更大的连通性带来了更多复杂和更大的网络安全挑战,监管者自然对事件作出反应,收紧守规检验一个很好的例子就是发布新指令响应殖民管道攻击某些操作者会发现有必要超出基本守规范围,
依据美国运输安全局指令,TSA指定的管道所有者/操作者必须:
数个风险评估框架和模型可帮助执行TSA指令目前要求的网络安全漏洞分析,Ness评论
DNV推荐实践DNVGL-RP-G108油气工业网络安全重点是如何实现关键油气基础设施网络安全面向所有参与确保企业自动化控制系统网络安全的相关人员、流程和技术人民包括资产所有者、系统集成者、产品供应商、服务提供方和守法机构RP澄清这些方分担的责任,并描述谁执行活动,谁应参与,预期输入和输出
DNVGL-RP-G108标题显示,DNVGL-RP-G108基础应用IEC62443号国际电工委通过的一系列标准,作为框架处理和减轻IACS当前和未来的安全漏洞NDVRP还纳入了美国国家标准技术学院NISTSP800标准方面IEC 62433自身从以美国为基地的国际自动化学会开发的ISA99标准演化
RP引导阅读器所有方面IEC 62443与油气关键基础设施相关泛指IEC和NIST标准有共同目标,
NVRP和IEC 62443标准覆盖网络资产整个生命周期,图一从DNVGL-RP-G108中显示
DNVGL-RP-G108风险评估元素使用流程安全分析中应用的已知方法图1面向基本建设项目,原则也可适用于运行中资产
因此,DNVGL-RP-G108可按TSA指令的要求应用网络安全空白评估现有管道系统DNV应用DNVRP和IEC 62443处理若干绿地和棕地岸外安装的油气部门Betway精装版公司还使用这些框架部门,如海运、电力和公用事业
在发布新指令时,TSA还通知管道拥有者/操作者无法执行规定的措施,即他们可请求批准拟议的替代措施和提交替代措施基础
内斯表示:「我猜想多管线运营商若没有多套基础数据集, 将难以满足2021年6月25日的最后期限实现指令中的网络风险和漏洞评估部分”。除其他外,这些数据可包括资产盘点、最新网络绘图、支持性政策和程序、培训方案、钻机调度表、风险评估、响应计划以及识别关键网络安全作用的责任
差值太大无法在最后期限前解决时, 所有操作者应专注于开发实用风险封包计划,
技术服务协定指南附录A列出了必须定期刷新和重新评估的信息信息安全主管或同等信息安全主管/管道操作员/所有者将定期要求信息突出显示信息
内斯表示:“董事会和C-SUites确信收集信息的活动正在进行中,CISOs需要验证公司政策和程序反映需求并确认公司网络安全程序的有效性
阅读更多有关必威一betway088DNV网络安全服务
参考文献
一号'殖民管道CEO解释支付黑客决策MRKelly,JFuller,JKenin国家公共电台,2021年6月3日
22021年1月13日Gartner R Contu报告IDG00737759
DNV将行业专业知识与深工程专业知识和安全最佳做法相结合,以保项目和操作有自信网络安全
更多阅读网络安全dNV 必威一betway088网络安全服务 产业服务 网络洞见DNV