應對化工企業網絡攻擊的挑戰

文/Ahlam Rais

你的化工廠受到網絡攻擊時，能安全防護嗎？——網絡攻擊在全球范圍內持續增加，化工行業也不幸地未能避免被網絡攻擊。隨著越來越多的化工企業開始數字化轉型，這也使他們遭受到網絡攻擊，可能會對他們的運營造成毀滅性的后果。

目前網絡攻擊對化工廠帶來的直接影響是：長期停產進而造成資金和公司聲譽的損失，甚至還可能導致工廠關鍵性基礎設施被破壞，從而引發爆炸，對人的生命安全造成威脅。這些網絡攻擊背后的動機通常是為了賺錢，在這種模式中，勒索軟件攻擊是指黑客通過非法手段獲取公司的敏感信息，并威脅公開泄露他們的數據，他們甚至可能竊取公司的知識產權并將其賣給其他公司。在某些情況下，這些黑客也可能是出于政治動機，從而導致對公司資產造成最大的損害，如竊取走寶貴的數據和使工廠運轉癱瘓。

對化工企業的網絡攻擊

化工行業目前也經常遭受到網絡攻擊。2019 年，瀚森專用化學品公司（HEXION）和邁圖高新材料集團（Momentive Performance Materials）遭受到網絡攻擊，這使得他們無法訪問某些信息技術（IT）系統和相關數據。不過，這些公司及時采取了行動，控制住了這些“網絡安全事件”，并恢復了正常運營。近些年來，可能還有其他化工企業遭受了網絡攻擊，但由于事關公司聲譽，這些事件都被保密得很好。

在這種背景下，保護公司的資產變得極其重要，這就是網絡安全的作用所在。根據市場研究公司Statista 的數據，全球網絡安全市場的規模預計將從2022 年的2 400 億美元增長到2026 年的3 450 億美元。專家認為，網絡安全市場大幅增長的原因是各行各業的網絡攻擊數量不斷增加，以及數字化的興起。

數字化轉型導致網絡安全需求增加

隨著越來越多的化工廠向數字化轉型，對網絡安全的需求肯定會增加。ABB能源行業全球網絡安全業務主管Tobias Nitzsche解釋說：“數字化轉型導致化工廠中系統和設備使用增加，而這些設備和系統有可能被網絡犯罪分子利用。”

此外，羅克韋爾自動化OT首席架構師Gert Thoonen 還表示：“數字化轉型已成為自動化行業的新趨勢，還為企業之間的激烈競爭創造了新的動態環境。而采用這些新技術的企業，將通過提供新產品、新服務和更好的客戶體驗而占優勢。但將企業中的所有資產連接在一起，也會降低企業安全性，使企業更容易被攻擊，從而破壞業務連續性。”

西門子數字工業橫向管理網絡安全副總裁Michael Metzler說：“目前，全球各地的化工廠都在經歷數字化轉型，越來越多的公司將其現場操作機械與公司的IT 技術結合起來，以提高效率、降低成本并獲得競爭優勢。然而，隨著以太網和虛擬化等IT 標準在OT（操作技術）系統中使用得越來越多，化工廠也會變得更容易受到網絡攻擊。”

他繼續解釋道，造成這種情況的一個主要原因是IT 系統在設計上是開放和互聯的，而OT 系統在設計上通常是封閉和孤立的。這使得網絡罪犯更容易通過IT 系統訪問OT 系統。因此，化工企業在工廠中采用網絡安全變得越來越重要。這一整體發展促使全行業標準的制定，如IEC 62443，該標準涉及自動化和控制系統中的操作技術安全。

制定網絡安全戰略

在這種情況下，制定一個強有力的網絡安全戰略變得至關重要，因為它可以在很大程度上為化工廠安全運行護航。羅克韋爾自動化OT 首席架構師Gert Thoonen 強調說：“企業需要的是制定明確的網絡安全戰略，而不是直接照搬IT 戰略，這是企業網絡安全防護重要的開始。制定一項成功戰略的關鍵在于提高領導層面對其的認知，并且能夠獲得跨部門利益相關者的支持。重組IT 和OT 部門對于確保統一協調非常重要，因為雙方都需有價值的信息來確保整個企業的安全。”

Gert Thoonen 解釋說，首席信息官（CIO）和首席運營官（COO）的目標、責任和指標應相互重疊，這將迫使他們作為一個團隊一起來確保基礎設施的安全。成立一個由IT 技術人員、控制工程師、運營商、安全專家、HSE 專家、管理層和OEM 控制制造商組成的協調聯合工作組，分享他們的領域知識和專業技能，以評估和降低化工廠的風險。

在這方面，ABB 能源行業全球網絡安全業務主管Tobias Nitzsche 闡述道：“網絡安全戰略應該在持續改進的基礎上注重價值交付。有效利用現有資源是成功的關鍵因素，特別是考慮到實際的OT 網絡安全資源短缺。一旦制定了要實現的計劃或者戰略，下一步就需要制定安全戰略。制定安全計劃（路線圖）的下一步(路線圖）將是差距分析，其中可能包括多個主題，例如審查以前的戰略、政策、標準、指南、風險評估、審計和監管要求。一個好的網絡戰略的另一個方面是一個網絡安全計劃，在這個計劃中，你可以衡量績效的提高”。

當企業談到在其化工廠采用網絡安全系統的想法時，人們經常討論投資回報率（ROI），這方面也需要注意。

“數字化轉型導致化工廠中系統和設備使用增加，而這些設備和系統有可能被網絡犯罪分子利用。”

——Tobias Nitzsche ABB，能源行業全球網絡安全業務主管

網絡安全系統的投資回報率（ROI）

在定義一項投資的盈利能力時，通常會考慮投資回報率。西門子數字工業橫向管理網絡安全副總裁Michael Metzler 認為，當談到化工廠的網絡安全系統時，投資回報率很難量化，因為很難衡量防止可能永遠都不會發生的網絡攻擊的成本和收益。然而，這并不意味著不應該花費金錢，網絡安全是業務運營連續性的一個重要考慮因素，網絡攻擊的潛在代價可能是巨大的，包括經濟損失、聲譽損害和信任損失，甚至對人和環境的身體傷害。與網絡攻擊的影響相比，實施網絡安全系統和措施的成本相對較低，因此，化工廠必須對網絡安全進行投資。

Gert Thoonen 同意Michael Metzler 的觀點，他表示網絡安全不會產生直接的投資回報率，但相關的收益是無形的，可以用公司的效率和有效性來衡量。總之，網絡安全有助于更好地管理總擁有成本（TCO）。

Tobias Nitzsche 解釋說：“為了更好地理解網絡安全投資的投資回報率，公司相關組織應該進行風險評估，了解各種網絡安全解決方案的成本和收益，將其與業務影響分析相結合，并建立一個系統來衡量其網絡安全工作在一段時間內的有效性。在許多工廠中，這并不總是意味著從頭開始，可能已經有現有的Hazop 研究和Lopa 分析，可以作為影響分析的有價值的輸入。”

如果想降低化工廠遭受網絡攻擊的風險，企業應該采取“深度防御”的方法，包括實施多層次的安全，以保護工廠的網絡和系統。Tobias Nitzsche 解釋說，這可能包括以下內容。

“數字化轉型已成為自動化行業的新趨勢，還為企業之間的激烈競爭創造了新的動態環境。采用這些新技術的敏捷組織將通過提供新產品、新服務和更好的客戶體驗而占上風。而采用這些新技術的企業，將通過提供新產品、新服務和更好的客戶體驗而占優勢。”

——Gert Thoonen羅克韋爾自動化，OT 首席架構師

1.工廠安全。工廠安全采用各種方法來防止未經授權的人實際訪問關鍵部件，從傳統的樓宇進出到通過鑰匙卡保護敏感區域。此外，還應包括對工廠全面保護的流程和相關規章制度。從風險分析到適當措施的實施和監測，而且需要一直定期更新。

2.網絡安全。這涉及到保護工廠的網絡免受未經授權的訪問和攻擊。這可能包括防火墻、入侵檢測系統和其他安全技術等措施，以保護工廠的網絡和系統。為了保護化工廠的自動化網絡免受未經授權的陌生訪問，網絡安全系統會監控所有接口，包括網絡安全監控辦公室網絡和工廠網絡之間的所有接口，以及遠程維護訪問保護、網絡分割、加密通信和零信任原則。

3.系統完整性。包括確保工廠的系統以安全的方式進行配置和維護，以及正在運行最新的軟件和安全更新。還可能包括以下安全控制等措施，以保護工廠的工業控制系統（ICS）和操作技術（OT）。定期進行滲透測試和漏洞評估，以識別和解決漏洞，這對于維護系統的完整性非常重要。自動化系統必須受到保護，以防止外部的訪問和操作嘗試。系統內、程序代碼和知識產權內的通信尤其需要保護。

4.非技術措施。如為員工提供網絡安全培訓，制定快速有效應對網絡安全事件響應計劃，在整個組織內營造網絡安全意識文化，并與其他組織和機構合作，共享有關潛在威脅的信息和情報，對于確保化工廠的整體安全也很重要。

“目前，全球各地的化工廠都在經歷數字化轉型，越來越多的公司將其現場操作機械與公司的IT 技術結合起來，以提高效率、降低成本并獲得競爭優勢”。

——Michael Metzler西門子，數字工業橫向管理網絡安全副總裁

結語

網絡安全有許多積極的方面，但有一點是可以肯定的：化工企業如果想要保障自己生產運營的安全并在市場上保持競爭力，就應該制定網絡安全戰略。畢竟，網絡攻擊隨時有可能發生，化工企業一旦遭受網絡攻擊，損失代價將不可估量。