DNV对全球940多名能源行业专业人士发起一项调查，发现超过五分之四的电力、可再生能源和石油和天然气行业的专业人士认为，对该行业的网络攻击可能导致运营关闭(85%)和能源资产和关键基础设施受损(84%)。74%的人认为攻击会危害环境，57%的人认为攻击会造成生命损失。

近年来，随着能源行业出现一系列备受瞩目的安全漏洞，人们对网络攻击带来的新的和更极端的后果担忧日益加剧。DNV的研究还表明，随着国家冲突的发生，人们对新兴威胁的担忧有所增加。67%的能源专业人士表示，最近针对该行业的网络攻击促使他们的组织对安全战略和系统进行了重大调整。

DNV网络安全负责人表示，“几十年来，能源公司一直在解决IT安全问题。然而，保护运营技术(OT)，管理、监控和控制工业运营的计算和通信系统，是该行业最近面临的一个越来越紧迫的挑战”。

“随着OT与IT系统的网络化和连接程度越来越高，攻击者可以访问和控制运行关键基础设施的系统，如电网、风电场、管道和炼油厂。研究发现，能源行业正在意识到OT的安全威胁，但必须采取更快的行动来应对它。47%的能源专业人士认为，他们的OT安全与IT安全一样强大。

网络安全问题仍需加强重视程度

在调查过程中，60%的管理者承认，他们的组织比以往任何时候都更容易受到攻击。然而采取等待、观望的态度来应对威胁并不可取。44%的受访管理者认为，他们需要在未来几年进行紧急改进，以防止对其业务的严重攻击。还有小部分能源人士认为，当期业务受到网络攻击影响时，才会采取措施来应对。一些公司在投资网络安全上犹豫不决，其对自身遭到网络攻击存在侥幸心理。

能源、石油天然气等行业，一旦发生安全事故，结果都是相当惊人的。在1988年的Piper Alpha事件和2010年的Macondo灾难等悲剧事件发生后，油气行业才优先考虑全球安全协议并将其制度化，然后才实施了更严格的监管。目前，能源行业同样需要抓紧时间进行安全建设，以确保在未来不会因为网络安全事件对生命财产和环境造成严重的损害。

供应链安全盲点引发关注

DNV 建议加强防御的第一步是确定哪些关键基础设施容易受到攻击。尤其在漏洞检测和修复方面，尽管许多组织已经进行了投资，但并没有充分考虑到软件供应商。

在与OT合作的能源专业人士中，只有28%的人表示，他们的公司将供应链的网络安全作为优先投资对象。与此形成鲜明对比的是，45%的OT运营者表示，IT系统升级的支出是一项优先投资。

“能源公司可以对自己的漏洞进行完全监督，如通过检测软件代码安全及缺陷来提高软件安全性，同时也可以扫描软件安全漏洞并采取措施降低安全风险。但对于软件供应链中存在的安全漏洞就无法确定。通过研究发现，”远程访问OT系统“被列为对能源行业潜在的网络攻击三大方法之一。因此应该同样关注软件供应链安全，并确保软件来自软件供应商的软件安全性。

加强安全培训

尽管网络安全威胁不断涌现，但研究表明，31% 的能源专业人士自信地断言，如果他们担心组织面临潜在的网络风险或威胁，他们确切知道该怎么做。这一发现表明，能源公司需要投资培训员工，以发现试图访问其系统的犯罪企图。57% 的能源专业人士表示，他们雇主的网络安全培训是有效的。

尽管网络安全威胁不断出现，但研究显示，31%的能源专业人士自信地表示，如果他们担心公司面临潜在的网络风险或威胁，他们知道该怎么做。这一发现表明，能源公司有必要投资培训员工安全意识和能力，以便发现并阻止试图进入其系统的犯罪行为。

文章来源：

https://www.helpnetsecurity.com/2022/05/25/energy-sector-cyberattacks/