7 min. czytania 12 kwi 2019
Widok z góry na rafinerię ropy naftowej

W jaki sposób cyfryzacja w sektorze ropy naftowej i gazu ziemnego stwarza zagrożenia dla bezpieczeństwa

Autor Piotr Ciepiela

Partner w Europejskiej Platformie Rozwoju, EY

Piotr jest Globalnym liderem dla bezpieczeństwa Architektury i Nowoczesnych Technologii (Architecture Engineering & Emerging Technologies) obejmujący obszary takie jak OT/IoT, AI, RPA, Blockchain, Cloud oraz kwestie związane z bezpieczeństwem rozwiązań MicroSoft oraz systemów SAP.

7 min. czytania 12 kwi 2019
Powiązane tematy Cyberbezpieczeństwo

Utrzymujące się niskie ceny ropy naftowej napędzają przyjęcie cyfryzacji w całym przemyśle naftowym i gazowym, podnosząc stawkę za bezpieczeństwo cyberprzestrzeni.

Rozwiązania cyfrowe, takie jak technologia inteligentnej inżynierii (SET), Przemysłowy Internet Rzeczy (IIoT) i duże ilości danych, mogą przynieść zarówno korzyści, jak i zwiększyć podatność na zagrożenia cybernetyczne.

Korzyści obejmują:

  • Redukcję kosztów operacyjnych dzięki automatyzacji procesów, co przyczynia się do poprawy rentowności
  • Wdrażanie szybszego i skuteczniejszego procesu podejmowania decyzji, co przyczynia się do poprawy konkurencyjności
  • Poprawę jakości produktów i zmniejszenie ryzyka jakościowego
  • Dalsze wdrażanie narzędzi i procesów cyfrowych w przedsiębiorstwach naftowo-gazowych, umożliwiające radykalną zmianę modeli biznesowych i przeprowadzenie istotnych zmian organizacyjnych.

Niektóre z potencjalnych słabych punktów obejmują:

  • Znaczne narażenie na ryzyko ekonomiczne w fazie poszukiwań, wynikające z wycieku, sabotażu lub manipulowania danymi dotyczącymi poszukiwań
  • Ryzyko szkód, utraty życia i/lub katastrofy ekologicznej spowodowanej sabotażem procesów i technologii wiertniczych
  • Luki w zabezpieczeniach ujawnione podczas projektowania i budowy nowych instalacji
  • Zawieranie współpracy partnerskiej, rozwijanie wspólnych przedsięwzięć lub współpraca z dostawcami lub innymi podmiotami o słabym poziomie bezpieczeństwa
  • Brak właściwej ochrony i przekazywania danych może prowadzić do poważnych konsekwencji finansowych oraz do utraty przewagi konkurencyjnej na arenie międzynarodowej.

Najlepsze pytania dotyczące bezpieczeństwa cybernetycznego, które należy sobie postawić:

1. Wiedziałbyś, gdybyś padł ofiarą cyberataku?

2. Co byś zrobił, gdyby nastąpił atak?

3. Jak dobrze znasz zakres IIoT/technologii operacyjnej (OT), który chronisz?

4. Czy Twoja firma jest zdolna do prowadzenia działalności bez wsparcia IIoT/OT?

5. Jak krytyczne znaczenie ma dla Ciebie środowisko IIoT w kontekście tworzenia wartości biznesowej?

6. Jakie są największe zagrożenia cybernetyczne związane z Twoim krytycznym środowiskiem produkcyjnym?

7. Jak zapewnić bezpieczeństwo i odporność w czasach zwiększonej integracji danych pochodzących z wielu źródeł?

8. Jak dobrze znasz ograniczenia środowiska, które musisz chronić?

9. Czy konfiguracja Twoich krytycznych urządzeń IIoT/OT jest odpowiednio zabezpieczona (istniejący backup, przechowywany na zewnątrz itp.)?

Zaledwie 10-20% przemysłu naftowego i gazowego jest zdigitalizowane, a tempo związanego z tym rozwoju prawdopodobnie znacznie wzrośnie w następnym dziesięcioleciu.

Rozwiązania cyfrowe i IIoT zmieniły mapę zagrożeń

IIoT i rewolucja cyfrowa oferują ogromne korzyści dla przemysłu naftowo-gazowego. Mogą jednak zwiększyć podatność na nowe typy zagrożeń dla cyberbezpieczeństwa, które wymagają bezzwłocznych działań.

Nasze światowe badanie bezpieczeństwa informacji — Global Information Security Survey (GISS) ujawniło, że 57% respondentów z przemysłu naftowo-gazowego odnotowało ostatnio poważny incydent związany z cyberbezpieczeństwem. Podobnie raport Światowej Rady Energetycznej opublikowany we wrześniu 2016 r. wskazuje na cyberbezpieczeństwo jako na główny problem dla branży energetycznej, szczególnie w Ameryce Północnej i Europie, gdzie infrastruktura jest najbardziej zaawansowana.

Środowiska OT tradycyjnie koncentrują się na zapewnianiu dużej dostępności kosztem poufności i integralności, a obecnie są bardzo podatne na zagrożenia dla cyberbezpieczeństwa w wyniku cyfryzacji i modernizacji, m.in. łączności z internetem. Utrzymywanie oddzielnych środowisk — informatycznego i OT — nie jest już ani praktyczne, ani opłacalne. Tak naprawdę, aby osiągnąć maksimum korzyści dzięki cyfryzacji i inteligentnej inżynierii, coraz częściej łączenie tych środowisk staje się koniecznością. Zmiany te przyspieszyły dzięki pojawieniu się nowych technologii, takich jak IIoT i analityka w zakresie dużych zbiorów danych..

Bezpieczeństwo operacyjne i jakość są zależne od cybernetyki

Integracja środowiska informatycznego i OT przyczyniła się do powstania nowych zagrożeń cyberfizycznych.

Amerykański Narodowy Instytut Standaryzacji i Technologii (NIST) stwierdza: „Systemy cyberfizyczne lub systemy «inteligentne» to budowane wspólnie, współdziałające sieci komponentów fizycznych i obliczeniowych. Systemy te będą stanowić fundament naszej krytycznej infrastruktury, bazę dla nowych i przyszłych inteligentnych usług, a także przyczynią się do poprawy jakości życia w wielu obszarach”.

Nowe zagrożenia powstają, gdy urządzenia końcowe podłączone do sieci, np. pojazdy bezobsługowe[EM1], inteligentne czujniki, ręczne terminale techniczne i przemysłowe urządzenia routingowe, są produkowane i wdrażane bez podstawowych zabezpieczeń w zakresie cyberbezpieczeństwa i mogą zostać zhakowane zdalnie.

Ponieważ coraz więcej urządzeń jest podłączonych do internetu, możliwość infiltracji rośnie wykładniczo.

Obecnie zagrożenia cyberfizyczne nie są skutecznie identyfikowane, śledzone ani monitorowane — zatem jak można je właściwie ograniczać? Biorąc również pod uwagę tempo wdrażania nowych technologii i cyfryzacji procesów operacyjnych, okazuje się, że trzeba działać już dziś. Naruszenie bezpieczeństwa systemów cyberfizycznych może skutkować niebezpiecznym zdarzeniem powodującym utratę możliwości świadczenia usług na rzecz społeczeństwa w zakresie krytycznej infrastruktury krajowej lub, co gorsza, zagrożenie dla życia wskutek niezachowania bezpieczeństwa.

Takie zdarzenia odnotowano już w przypadku pojazdów bezzałogowych (takich jak drony i pojazdy autonomiczne). Skutki takich ataków w przemyśle naftowo-gazowym mogą być potencjalnie poważniejsze niż uszkodzenia systemów sterowania, urządzeń, sprzętu i sieci. Mogą również stanowić zagrożenie dla całego łańcucha dostaw i zakłócać działalność w sektorze regionalnym. To jest istota ryzyka cyberfizycznego.

Zapewnienie bezpiecznych i niezawodnych operacji cyfrowych

Dostosowanie cyfrowej strategii przedsiębiorstwa w celu przeciwdziałania zagrożeniom cyberfizycznym jest niezbędne, aby odpowiednio chronić zasoby i procesy operacyjne. Dostosowanie strategii cyfrowej i cybernetycznej może umożliwić cyfrową transformację dzięki:

  • ograniczeniu ryzyka operacyjnego i ryzyka dla bezpieczeństwa w ramach zarządzania nowymi technologiami i zagrożeniami cyberfizycznymi, a także ich monitorowania,
  • wzmocnieniu tendencji do cyfryzacji poprzez stworzenie bezpiecznego i zarządzanego środowiska cybernetycznego, w którym można wdrażać nowe technologie i procesy,
  • odblokowaniu innowacji technologicznych dzięki właściwej wiedzy na temat zasobów IT, OT i IIoT, a także na temat zagrożeń i ryzyka, mogących wpływać na funkcjonowanie i integralność tychże zasobów,
  • tworzeniu bezpiecznych platform technologicznych dla sieci terenowych i korporacyjnych, które mogą przewidywać potencjalne ataki i awarie zanim do nich dojdzie.

Spółki naftowo-gazowe są na różnych etapach procesu transformacji cyfrowej, a wiele z nich jest na samym początku tego procesu. Zrozumienie aktualnych zagrożeń cyberfizycznych oraz zagrożeń związanych z IIoT i nowymi technologiami ma kluczowe znaczenie dla planowania trwałego sukcesu niezawodnej i bezpiecznej działalności w tym sektorze. Niezwykle ważne jest właściwe zrozumienie korzyści płynących z proaktywnego podejścia do bezpieczeństwa już teraz, aby w przyszłości uniknąć poważnych luk w zabezpieczeniach. Takie podejście przyczyniłoby się również do ograniczenia ryzyka opóźnień w realizacji projektów transformacji cyfrowej lub napotkania poważnych problemów po ich rozpoczęciu.

Dwie inteligentne metody inwestowania w cyberbezpieczeństwo

1. Dokonanie porównania względem podobnych przedsiębiorstw w zakresie wydatków na bezpieczeństwo.

2. Uzasadnienie wydatków na bezpieczeństwo, z uwzględnieniem zakresu wartości chronionej, a nawet tworzonej, dzięki zapewnieniu działalności przemysłowej odpornej na zagrożenia cybernetyczne.

Im więcej wartości tworzymy dzięki połączonym systemom cyberfizycznym, tym więcej uwagi powinniśmy poświęcić ich ochronie.

Trzy najważniejsze rzeczy do zrobienia już teraz

W celu ograniczenia zagrożeń dla bezpieczeństwa i ciągłości działalności, należy rozważyć następujące kwestie:

  1. Przed wdrożeniem nowych „inteligentnych” technologii zażądaj od swoich dostawców, aby udowodnili, że w swoich produktach wdrożyli podstawowe zabezpieczenia w zakresie cyberbezpieczeństwa. Obecnie urządzenia są wdrażane z inherentnymi lukami w zakresie bezpieczeństwa. Zapewnienie podstawowego poziomu bezpieczeństwa przed wdrożeniem pozwoli ochronić działalność przed zagrożeniami związanymi z urządzeniami końcowymi sieci IIoT i ewentualnymi skutkami dla bezpieczeństwa, reputacji i finansów.
  2. Pogódź się z istnieniem ryzyka cyberfizycznego i uwzględnij je już teraz w swojej dokumentacji ryzyka operacyjnego. Zasięg ryzyka rośnie wraz z każdą nową technologią wdrożoną przez Twoją firmę, co może mieć wpływ na bezpieczeństwo i niezawodność jej działalności i pracowników. Na podstawie rozmów z klientami wiemy, że wiele firm nie zdawało sobie sprawy z konieczności przeprowadzania testów infiltracji środowiska cybernetycznego, co jest szczególnie istotne, biorąc pod uwagę większą łączność między systemami OT i systemami informatycznymi. Brak publicznego ujawniania informacji o cyberatakach w branży to kolejny czynnik, który utrudnia uświadomienie sobie skali i rzeczywistego charakteru różnych typów ryzyka.
  3. Dostosuj cyberbezpieczeństwo do cyfrowej strategii swojej działalności. Im większy stopień cyfryzacji, tym większa skala ryzyka cybernetycznego w Twojej firmie. Uwzględnienie środowiska cybernetycznego w procesie projektowania cyfrowego umożliwi wdrożenie większej liczby technologii bez dodatkowego ryzyka operacyjnego. Departament Bezpieczeństwa Krajowego USA twierdzi, że przemysł naftowo-gazowy to najczęściej atakowany sektor przemysłu.

Podsumowanie

Dostosowanie cyfrowej strategii przedsiębiorstwa w celu przeciwdziałania zagrożeniom cyberfizycznym jest niezbędne, aby odpowiednio chronić zasoby i procesy operacyjne. Dostosowanie strategii cyfrowej i cybernetycznej może umożliwić cyfrową transformację.

Informacje

Autor Piotr Ciepiela

Partner w Europejskiej Platformie Rozwoju, EY

Piotr jest Globalnym liderem dla bezpieczeństwa Architektury i Nowoczesnych Technologii (Architecture Engineering & Emerging Technologies) obejmujący obszary takie jak OT/IoT, AI, RPA, Blockchain, Cloud oraz kwestie związane z bezpieczeństwem rozwiązań MicroSoft oraz systemów SAP.

Powiązane tematy Cyberbezpieczeństwo