巴黎遇襲后 油氣公司應該想到的第一件事

挪威國家石油公司的一位官員在2015年的API網絡安全會議上告訴與會者，長期以來網絡攻擊對該公司的資產、業務和人員造成了嚴重的威脅。

盡管恐怖襲擊經常席卷新聞頭條，但網絡安全長期高居挪威國家石油公司全球石油與天然氣業務威脅榜榜首。

2013年挪威國家石油公司與BP公司以及Sonatrach公司聯合運營的英阿梅納斯油田遭到恐怖襲擊，為了評估未來遭受類似攻擊的風險該公司成立獨立調查組。

挪威國家石油公司在2013年9月發布的事故調查報告的結論是：公司安全文化缺失，目前公司的安保等級與公司的國際化愿景是無法匹配的。

挪威國家石油公司安全威脅評估主管Adrian Fulcher周三在休斯敦的API網絡安全會議上告訴與會者：風險評估完成后，挪威國家石油公司判定長期以來威脅公司運行的并不是物理攻擊，而是網絡安全攻擊。

Fulcher說：盡管挪威國家石油公司始終處于全球化這一大環境中，但該公司的大部分資產還是在挪威大陸架上的。最有可能的結果是，該公司已形成一個相當隨意的安全文化，這也滲透到了挪威國家石油公司的網絡安全文化中。

Fulcher說：“如果我們的工業控制系統遭受攻擊而引發大型事故，這在很大程度上將徹底扭轉并改變公司的未來?！?/span>

網絡安全受到攻擊帶來的不僅是資金和人力方面的損失，而是一個世世代代的挑戰，亦或是對較老的遺留資產和新資產在設計階段的威脅。

為了解決安全文化缺失的問題，挪威國家石油公司建立了旨在解決不同方面安全問題的安全改進方案。通過該方案，挪威國家石油公司設法完成在網絡和物理威脅評估中的兩個目標。

一個目標是幫助挪威國家石油公司的執行委員會搞清他們的焦點應該放在何處，而不是“亡羊補牢或者事后諸葛亮”。另一個目標是賦予挪威國家石油公司在一系列的活動中敏銳的洞察力和超群的理解力。將錢花在真正有效的地方，而不是華而不實的地方。

為了解決物理安全和網絡安全問題，挪威國家石油公司采取了安全必須基于風險和情報主導的新理念。這種想法毫無爭議，但對于挪威國家石油公司來說卻是十分新穎的。該公司為了解決網絡安全和物理安全動員了從人力資源專家、物理安保人員到自動化工程師等整個公司的人力和資源。

Fulcher說道，挪威國家石油公司也構思和設計了該公司的網絡安全戰略，以此來強調一個事實，即安全機構與國家政府及議會獨立運行的時代已經一去不復返了。

該公司還尋求通過人力資源政策和程序來加強其安全文化，以此來向員工普及如果誤擊電子郵件中的鏈接將會導致什么樣的嚴重后果。

“如果你在一個工廠中不斷將你的同事一次又一次的置于危險之中，那么，你將會親嘗自己種下的苦果。這和網絡安全問題的道理是一模一樣的。必須杜絕粗心和疏忽?！?/span>

挪威國家石油公司與挪威政府的良好關系使其能夠獲得情報信息，這有助于其解決安全問題。然而，當 Fulcher 放眼未來時，在挪威國家石油公司預防和減輕網絡安全攻擊的過程中又遇到了兩個難題。其中之一就是在面臨網絡威脅時缺乏為供應商和廠商提供保障的統一標準。

Fulcher 說：“我們有一項為實物資產提供徹底安全保障的政策，供應商和廠商提供的設備和產品也同樣需要類似的標準。

另一個難題是，國家間正越來越多地使用網絡攻擊取代物理攻擊傷害彼此的國家利益。在過去，如果資產受到物理威脅，挪威國家石油公司還可以仰仗挪威政府提供的特種部隊的支援來解決。但對于網絡攻擊而言，保護資產的責任就落到了公司自身頭上。

Fulcher 認為有必要就此達成一個協議，該協議規定一個公司在保護資產時有什么樣的職責，以及可以期望從作為石油與天然氣設施東家的外國政府那里獲得什么樣的保護。

未經允許，不得轉載本站任何文章：