隨著能源部門對軟件組件的依賴日益全球化和日益複雜,供應鏈風險已經演變並擴大。
雖然能源部門的網絡供應鏈問題已經被認識和研究了好幾年,但它們仍然存在。
突出的一個風險是“意外汙點”,即在設計或實施過程中無意中嵌入到產品中軟件組件的缺陷,這使得它們與假冒偽劣產品截然不同——用質量較低的產品或仿製產品代替,而“惡意汙點”則是有意讓供應鏈顛覆。
意想不到的汙點可能導致意外的供應鏈顛覆,並且對能源部門關鍵基礎設施的不間斷功能構成重大而可信的威脅。
Software Era的供應鏈報告概述了理解某些能源部門風險的分類標準,併為決策者和私營部門提供了具體的探索性建議。
雖然有些選擇可能對某些人不具吸引力,但如果意願存在的話,其他人則相對容易。不太有吸引力的選擇是繼續沿著目前的道路前進,為事故提供途徑,並讓對手破壞能源運作,這將對行業,全球經濟以及國家和國際安全產生更深遠的影響。
2015年到2017年之間的研究結果表明,烏克蘭和沙特阿拉伯的兩起高調網絡攻擊利用供應鏈漏洞影響兩個能源部門組織的運營。
2015年12月,數十萬烏克蘭家庭在電網遭到首次確認的網絡攻擊中暫時陷入黑暗。 2017年8月,一場網絡攻擊導致沙特阿美石油公司的暫停運營。在這兩種情況下,供應鏈組件安全性的改善都會阻止這些攻擊。
網絡供應鏈安全已成為能源領域的一個突出問題,解決這一問題的嘗試正在增長。例如,北美電力可靠性公司(NERC)正在更新其關鍵基礎設施保護(CIP)標準,以包括供應鏈保護。
此外,諸如BitSight,安全記分卡和Sir-Track(德國)這樣的衡量“數字化排放”的公司,越來越多地衡量第三方供應商的信息技術(IT)和IT安全實踐的公共可觀察物品。
軟件安全漏洞是開發過程的自然結果,儘管付出了最大努力,但無法完全消除。
每年在共同的現成(COTS)組件中發現超過10,000個安全漏洞。它們出現在全球網絡供應鏈中,包括能源部門;軟件設計和實施方面的薄弱環節和漏洞在通過供應鏈的多步驟過程中累積,無論是故意的還是意外的。
單個軟件組件可能會危及關鍵系統的操作完整性。例如,安全儀表系統組件中的硬編碼默認密碼 - 一種已知類別的供應鏈漏洞 – 導致了沙特阿美公司2017年12月的運營關閉。
在簡要中推薦幾個替代的行動路線來解決這些問題。
跨能源部門應用現有框架 —— 能源部門公司或能源部(DOE)可以利用現有框架,特別是NERC-CIP標準和DOE的網絡安全能力成熟度模型,作為改善整個能源部門安全的藍圖,其中包括第三方供應商。
激勵可信IT實踐以避免能源領域的意外汙染——國會,美國能源部和能源行業公司可以通過減少監管負擔或其他激勵措施,來提高意識和採用已知有效的實踐,並避免已知效果不佳的實踐。
脆弱性監測,協調和共享 ——美國能源部,國土安全部(DHS)和行業組織可以提高對該行業現有軟件漏洞的認識和理解,以減少受相同或類似問題影響的組織之間的信息不對稱。
審查其他經營,責任和管理模式 —— 國會,美國能源部和國土安全部以及其他受影響的利益相關者應該識別和分析替代的運作方式,責任和監管,這可能會增加整個能源行業的安全性,安全性和可靠性。
閱讀更多 前瞻網 的文章
