摘要：英國國家電網安全經理表示，能源企業的文化亟待進行改革，以確保每個人都了解網絡安全的重要性

根據能源運營商英國國家電網數字化風險和安全管理經理戴維·威拉西介紹，目前，在重要國家基礎設施的網絡安全領域，英國處于國際領先水平。

但是，英國及其他國家在能源領域仍然迫切需要在企業文化方面進行真正的變革，他在倫敦召開的網絡安全峰會上告訴與會者們說。

“能源部門需要意識到他們不再僅僅只是工程企業，同時還是IT工程企業，因為能源網絡現在完全依賴于IT的運作，而安全性恰恰是其中最薄弱的環節。”威拉西說。

他說，技術變革的速度已然改變了這個世界，而諸如移動技術正大范圍的擴展到了能源部門和大部分的關鍵基礎設施領域的并行操作技術中。

“與此同時，除了少數大型發電機在過去能夠更輕松地實現自我管理外，鑒于當前更多地使用可再生能源資源，用來運行和管理電網的系統都變得越來越復雜和自動化”威拉西說。

“風險狀況的快速變化，再加上安全威脅的迅速增加，使得安全監控和數據采集(Scada)和工業控制系統(ICS)成為了一個相當關鍵問題。”他說。

為了應對這種變化，英國國家電網組建了專門的業務連續性團隊、網絡安全團隊和物理安全團隊，所有團隊均向CIO報告。在過去10年中，該公司還將專門處理網絡安全事務的員工數量由1人增加至50人。

英國能源部門的網絡安全在歐洲處于領先，雖然目前的狀況尚不甚理想，威拉西說，但其他國家則處在一個更糟糕的狀態，很多國家才剛剛開始意識到這方面的問題。

“計算機可以以損傷物理設備和硬件的方式被操縱，并繼續部署Scada和其他類型的智能設備到能源網絡，以擴大攻擊面，增加風險。因此，對所有國家來說，確保能源基礎設施是安全的，對威脅是有彈性的，并有能力從任何災害事件中恢復是至關重要的。”他說。

在任何現代國家，最關鍵的系統均需要依賴于能源。因為如果沒有能源動力，其他關鍵部門將無法操作，威拉西稱。他還補充道：“但現在，能源部門需要廣泛投資控制領域，以減少主要風險這一理念已經被廣泛接受了。”

為了說明網絡安全威脅，威拉西列舉了最近的一項實驗，以看起來像是屬于自來水公司的偽裝IT系統的形式，建立的面向Internet的蜜罐。

他說，第一次攻擊在幾個小時之內到來，在28天里，來自14個不同國家的39次攻擊。在這39次攻擊中，12次獨特的，可以被單獨歸類;而13次是針對相同目標的重復攻擊。然而，威拉西表示說，雖然在過去大多數攻擊的目的均是為了竊取數據，而在實驗中的許多攻擊似乎是試圖看到目標系統能否被順利攻下。

隨著對用于操作關鍵基礎設施的系統，融合了物理和網絡安全問題的網絡資產的依賴越來越強，威拉西表示說，能源部門需要評估和緩解風險，以確保在風險和成本之間達成適當的平衡。

“在英國，能源部門正在與多個政府部門這樣做，因為如果沒有能源供應，就什么事都做不了。”威拉西說。

他說，挑戰在于能源系統要依賴IT，而這些IT系統變得越來越復雜，其攻擊面正持續增長，對于能源網絡的網絡攻擊的威脅——尤其是來自敵對國家的攻擊威脅越來越多，如果沒有“數萬億英鎊”的費用，許多能源網絡的資產無法被改變，而大量微妙的不同IT系統均需要一款定制的方法。

“而其中最大的挑戰之一是，該領域只有極少數人了解網絡安全以及他們的能源網絡。” 威拉西說。

主要風險

他確定了五大主要風險。首先，是由于缺乏安全意識而在采購和升級信息和操作技術、或由安全漏洞和惡意軟件所帶來的風險。威拉西列舉了針對英國系統的一次攻擊的例子，被曝出通過在美國插入閉路電視(CCTV)的數碼錄音機接入網絡，推出的惡意軟件。

其次，有一個危險的事實，關于專有的通信協議安全漏洞的信息，如Modbus協議在互聯網上被廣泛使用。

第三，由被引入到關鍵基礎設施的新的IT資產所帶來的風險。威拉西說，因為大多數現有的系統均是20世紀50年代和60年代生產的，而現在被引入的資產并沒有30年的壽命，應計入折舊和投資規劃。

“也沒有針對舊系統打補丁，沒有反惡意軟件的保護，沒有定義和管理安全邊界。企業管理IT系統和業務系統的部門之間幾乎沒有協調，全是由工程師在負責運維。”他說。

第四是惡意軟件的擴散。“每天有成千上萬的變種病毒，如果某一天一個病毒被無意中引入到一個系統可能損害重要資產。”威拉西說。

最后，被引入到關鍵系統的連接量是巨大的風險，他說。“我們目前所開放的系統比我們封閉的系統要多很多，這就是為什么在業務層面需要掌握更多的認識，并了解運營層面的更多東西的原因了。” 威拉西說。