今年早些时候，欧盟委员会（europeancommission）为关键的欧洲能源基础设施项目提供了资金，这是在向气候中性经济转型过程中实现能源基础设施交付的关键部分。

现在，我们比以往任何时候都更需要确保所有基本要素协同工作，平衡功能性、可持续性和安全性。

能源部门在现代经济的运行中一直发挥着至关重要的作用。为了提供增强的、可持续的和更廉价的能源服务，更需要数字设备、平台和电网的连接。

能源行业技术和工业发展的稳步增长，以及对互联和数字化的日益重视，使能源行业成为网络攻击的前沿。数字化可能是优化能源行业的关键，但数字化创新的驱动力正在引入新的风险。

埃森哲说报告在确保数字经济的安全方面，79%的组织回应称，“采用新技术和新兴技术的速度快于解决相关安全问题的速度。”

在能源领域网络攻击的平均成本（每个组织）将从13.2美元（2017年）上升到13.8美元（2018年）-这一时期增长了4%。虽然银行业、生命科学或旅游业的成本或增长可能没有经济和国家基础设施的关键部分那么高，但网络攻击的影响可能会产生重大后果，能源组织必须将衡量的网络安全战略视为重中之重。

我们联系了拉吉萨马尼，首席科学家和研究员麦克菲，了解更多有关能源行业网络安全的挑战、风险和情景。

问：能源和公用事业部门是基础设施的重要组成部分，该部门是否面临着独特的挑战？

拉吉萨马尼：传统上，我们一直观察到这一领域特有的挑战，不仅是持续可用的需求，而且系统的本质要求一套关键技能，而这些技能在传统网络安全技能市场中不一定是现成的。

Q： 你能举一个可能有风险的例子吗？

卢比：我们已经在现实生活中看到了其中的一些——也许是相当令人担忧的，就在不久前。例如，伊朗的南坦兹核电站就是一个明显的例子，该核电站曾遭受Stuxnet蠕虫感染——2010年首次被发现。十年后，还有其他针对作战技术（OT）的例子，因为在2015年，随着政治局势升级，我们还看到了针对乌克兰电网的重大攻击。这两个例子都证明了这种风险正在产生的影响。

最近，我们还看到了勒索软件对关键国家基础设施（CNI）的威胁——这方面的一个例子是RagnarLocker对能源部门的攻击，今年早些时候要求支付1170万英镑的赎金，以换取10Tb的私人信息。虽然这些攻击集中在IT网络上，但今年我们目睹了勒索软件追查另一家公司的生产设施。

Q： 在covid/后covid环境中，这些场景会发生变化吗？

卢比：进攻性网络攻击战术的使用并不严格要求物理交互。当然，有了适当的空气间隙，可能需要使用物理媒体，如USB入口点向量，但从广义上讲，网络犯罪是一个不受COVID和经济形势负面影响的部门。

尽管值得注意的是，特斯拉勒索软件攻击的挫败是以USB作为初始载体进行的，因此这种威胁肯定仍然存在。

Q： 如何管理能源供应链中的安全风险？

卢比：可以采用的一种方法是利用数字物料清单（DBOM）。这可以为参与CNI的组织提供必要的透明度，但这可以而且应该得到更广泛的应用，以确保全面的最佳实践。

Q： 工业控制系统应该多久测试一次漏洞？

卢比：一直以来，尽管“如何”仍然是很值得商榷的。例如，以负责任的方式对系统进行漏洞测试，不仅应该受到鼓励，而且应该通过漏洞奖励计划等途径得到奖励。更具挑战性的可能是测试生产系统之间的互连性，特别是在需要持续正常运行时间的环境中。

Q： 公司应该有什么样的系统和控制措施来缓解内部威胁？

卢比：对异常情况进行常规监测势在必行。组织必须扪心自问：‘有没有超出正常惯例的行为？“这一点至关重要，还需要适用于试图获取内幕人士无权获取的资产。

Q： 您认为目前是否有适当的控制措施来检测和应对违规行为？

卢比：在操作技术（OT）环境中，使用不太可能导致潜在停机的技术是关键。以数据二极管为例，它们对于保持不同网段之间的隔离至关重要。也有经过认证可供自动化供应商使用的技术，所以也有白名单技术。

所有这些都需要特别好地理解生产环境，以便只授权（白名单）已知事件，因此治理是至关重要的。

Q： 如何保护客户的个人资料？

卢比：采取合理措施！我意识到这是一个法律术语，但它是至关重要的。任何组织都必须质疑自己，它所实施的措施是否符合这一非常主观的术语。