Zaledwie 10-20% przemysłu naftowego i gazowego jest zdigitalizowane, a tempo związanego z tym rozwoju prawdopodobnie znacznie wzrośnie w następnym dziesięcioleciu.
Rozwiązania cyfrowe i IIoT zmieniły mapę zagrożeń
IIoT i rewolucja cyfrowa oferują ogromne korzyści dla przemysłu naftowo-gazowego. Mogą jednak zwiększyć podatność na nowe typy zagrożeń dla cyberbezpieczeństwa, które wymagają bezzwłocznych działań.
Nasze światowe badanie bezpieczeństwa informacji — Global Information Security Survey (GISS) ujawniło, że 57% respondentów z przemysłu naftowo-gazowego odnotowało ostatnio poważny incydent związany z cyberbezpieczeństwem. Podobnie raport Światowej Rady Energetycznej opublikowany we wrześniu 2016 r. wskazuje na cyberbezpieczeństwo jako na główny problem dla branży energetycznej, szczególnie w Ameryce Północnej i Europie, gdzie infrastruktura jest najbardziej zaawansowana.
Środowiska OT tradycyjnie koncentrują się na zapewnianiu dużej dostępności kosztem poufności i integralności, a obecnie są bardzo podatne na zagrożenia dla cyberbezpieczeństwa w wyniku cyfryzacji i modernizacji, m.in. łączności z internetem. Utrzymywanie oddzielnych środowisk — informatycznego i OT — nie jest już ani praktyczne, ani opłacalne. Tak naprawdę, aby osiągnąć maksimum korzyści dzięki cyfryzacji i inteligentnej inżynierii, coraz częściej łączenie tych środowisk staje się koniecznością. Zmiany te przyspieszyły dzięki pojawieniu się nowych technologii, takich jak IIoT i analityka w zakresie dużych zbiorów danych..
Bezpieczeństwo operacyjne i jakość są zależne od cybernetyki
Integracja środowiska informatycznego i OT przyczyniła się do powstania nowych zagrożeń cyberfizycznych.
Amerykański Narodowy Instytut Standaryzacji i Technologii (NIST) stwierdza: „Systemy cyberfizyczne lub systemy «inteligentne» to budowane wspólnie, współdziałające sieci komponentów fizycznych i obliczeniowych. Systemy te będą stanowić fundament naszej krytycznej infrastruktury, bazę dla nowych i przyszłych inteligentnych usług, a także przyczynią się do poprawy jakości życia w wielu obszarach”.
Nowe zagrożenia powstają, gdy urządzenia końcowe podłączone do sieci, np. pojazdy bezobsługowe[EM1], inteligentne czujniki, ręczne terminale techniczne i przemysłowe urządzenia routingowe, są produkowane i wdrażane bez podstawowych zabezpieczeń w zakresie cyberbezpieczeństwa i mogą zostać zhakowane zdalnie.
Ponieważ coraz więcej urządzeń jest podłączonych do internetu, możliwość infiltracji rośnie wykładniczo.
Obecnie zagrożenia cyberfizyczne nie są skutecznie identyfikowane, śledzone ani monitorowane — zatem jak można je właściwie ograniczać? Biorąc również pod uwagę tempo wdrażania nowych technologii i cyfryzacji procesów operacyjnych, okazuje się, że trzeba działać już dziś. Naruszenie bezpieczeństwa systemów cyberfizycznych może skutkować niebezpiecznym zdarzeniem powodującym utratę możliwości świadczenia usług na rzecz społeczeństwa w zakresie krytycznej infrastruktury krajowej lub, co gorsza, zagrożenie dla życia wskutek niezachowania bezpieczeństwa.
Takie zdarzenia odnotowano już w przypadku pojazdów bezzałogowych (takich jak drony i pojazdy autonomiczne). Skutki takich ataków w przemyśle naftowo-gazowym mogą być potencjalnie poważniejsze niż uszkodzenia systemów sterowania, urządzeń, sprzętu i sieci. Mogą również stanowić zagrożenie dla całego łańcucha dostaw i zakłócać działalność w sektorze regionalnym. To jest istota ryzyka cyberfizycznego.
Zapewnienie bezpiecznych i niezawodnych operacji cyfrowych
Dostosowanie cyfrowej strategii przedsiębiorstwa w celu przeciwdziałania zagrożeniom cyberfizycznym jest niezbędne, aby odpowiednio chronić zasoby i procesy operacyjne. Dostosowanie strategii cyfrowej i cybernetycznej może umożliwić cyfrową transformację dzięki:
- ograniczeniu ryzyka operacyjnego i ryzyka dla bezpieczeństwa w ramach zarządzania nowymi technologiami i zagrożeniami cyberfizycznymi, a także ich monitorowania,
- wzmocnieniu tendencji do cyfryzacji poprzez stworzenie bezpiecznego i zarządzanego środowiska cybernetycznego, w którym można wdrażać nowe technologie i procesy,
- odblokowaniu innowacji technologicznych dzięki właściwej wiedzy na temat zasobów IT, OT i IIoT, a także na temat zagrożeń i ryzyka, mogących wpływać na funkcjonowanie i integralność tychże zasobów,
- tworzeniu bezpiecznych platform technologicznych dla sieci terenowych i korporacyjnych, które mogą przewidywać potencjalne ataki i awarie zanim do nich dojdzie.
Spółki naftowo-gazowe są na różnych etapach procesu transformacji cyfrowej, a wiele z nich jest na samym początku tego procesu. Zrozumienie aktualnych zagrożeń cyberfizycznych oraz zagrożeń związanych z IIoT i nowymi technologiami ma kluczowe znaczenie dla planowania trwałego sukcesu niezawodnej i bezpiecznej działalności w tym sektorze. Niezwykle ważne jest właściwe zrozumienie korzyści płynących z proaktywnego podejścia do bezpieczeństwa już teraz, aby w przyszłości uniknąć poważnych luk w zabezpieczeniach. Takie podejście przyczyniłoby się również do ograniczenia ryzyka opóźnień w realizacji projektów transformacji cyfrowej lub napotkania poważnych problemów po ich rozpoczęciu.
Dwie inteligentne metody inwestowania w cyberbezpieczeństwo
1. Dokonanie porównania względem podobnych przedsiębiorstw w zakresie wydatków na bezpieczeństwo.
2. Uzasadnienie wydatków na bezpieczeństwo, z uwzględnieniem zakresu wartości chronionej, a nawet tworzonej, dzięki zapewnieniu działalności przemysłowej odpornej na zagrożenia cybernetyczne.
Im więcej wartości tworzymy dzięki połączonym systemom cyberfizycznym, tym więcej uwagi powinniśmy poświęcić ich ochronie.
Trzy najważniejsze rzeczy do zrobienia już teraz
W celu ograniczenia zagrożeń dla bezpieczeństwa i ciągłości działalności, należy rozważyć następujące kwestie:
- Przed wdrożeniem nowych „inteligentnych” technologii zażądaj od swoich dostawców, aby udowodnili, że w swoich produktach wdrożyli podstawowe zabezpieczenia w zakresie cyberbezpieczeństwa. Obecnie urządzenia są wdrażane z inherentnymi lukami w zakresie bezpieczeństwa. Zapewnienie podstawowego poziomu bezpieczeństwa przed wdrożeniem pozwoli ochronić działalność przed zagrożeniami związanymi z urządzeniami końcowymi sieci IIoT i ewentualnymi skutkami dla bezpieczeństwa, reputacji i finansów.
- Pogódź się z istnieniem ryzyka cyberfizycznego i uwzględnij je już teraz w swojej dokumentacji ryzyka operacyjnego. Zasięg ryzyka rośnie wraz z każdą nową technologią wdrożoną przez Twoją firmę, co może mieć wpływ na bezpieczeństwo i niezawodność jej działalności i pracowników. Na podstawie rozmów z klientami wiemy, że wiele firm nie zdawało sobie sprawy z konieczności przeprowadzania testów infiltracji środowiska cybernetycznego, co jest szczególnie istotne, biorąc pod uwagę większą łączność między systemami OT i systemami informatycznymi. Brak publicznego ujawniania informacji o cyberatakach w branży to kolejny czynnik, który utrudnia uświadomienie sobie skali i rzeczywistego charakteru różnych typów ryzyka.
- Dostosuj cyberbezpieczeństwo do cyfrowej strategii swojej działalności. Im większy stopień cyfryzacji, tym większa skala ryzyka cybernetycznego w Twojej firmie. Uwzględnienie środowiska cybernetycznego w procesie projektowania cyfrowego umożliwi wdrożenie większej liczby technologii bez dodatkowego ryzyka operacyjnego. Departament Bezpieczeństwa Krajowego USA twierdzi, że przemysł naftowo-gazowy to najczęściej atakowany sektor przemysłu.
Podsumowanie
Dostosowanie cyfrowej strategii przedsiębiorstwa w celu przeciwdziałania zagrożeniom cyberfizycznym jest niezbędne, aby odpowiednio chronić zasoby i procesy operacyjne. Dostosowanie strategii cyfrowej i cybernetycznej może umożliwić cyfrową transformację.