美国政府问责局(GAO)警告称,现在是时候采取行动、保护美国近海石油天然气设施了,因为它们面临“重大”的网络攻击风险,而且这种风险“越来越大”。
图1. 位于得克萨斯州加尔维斯顿港口的近海石油钻井平台
一份提交给美国国会的报告调查了“包括1600多个近海石油天然气设施”的庞大网络;这家联邦监管机构指出,这些设施供应“数量相当庞大”的美国国内石油天然气,还调查了负责管理和控制物理设备的操作技术(OT)。
研究报告还警告称,有可能会发生严重程度与2010年Deepwater Horizon灾难相当的生态和能源灾难。
报告带着绝望的口吻补充道,美国内政部安全和环境执法局(BSEE)在2015年和2020年曾发起了应对网络安全风险的工作,但是“都没有带来实质性的行动”。
今年早些时候,BSEE再次启动了另一项此类计划,聘请了一名网络安全专家来领导该计划。但BSEE官员显然已经暂停了这项计划,那名专家都还没来得及了解相关问题。与此同时,报告敦促BSEE应立即制定一项战略,以应对近海基础设施风险。
让人奇怪的是,该报告既没有提及针对俄罗斯北溪能源公司在波罗的海海底拥有的天然气管道的物理攻击,也没有提及Stuxnet——这可能是有史以来最臭名昭著的SCADA系统恶意软件。人们普遍认为,这个知名的蠕虫破坏了伊朗的核武器计划好几年;据研究人员声称,Stuxnet通过一只受感染的U盘进入了核电站严加保护的网络。
监视控制和数据采集(SCADA)系统为操作人员提供了图形化用户界面(GUI),以便检查工业控制系统的状态、接收表明设备离线或被破坏的任何警报,或者输入调整参数来管理系统本身上的进程。
不过GAO确实提到了USB是一条感染途径,并提及施耐德电气(Schneider Electric)在2018年针对一些系统监控设备发布的警报,这些设备装有USB可移动介质,其中一家供应商在生产制造过程中使USB可移动介质感染上了恶意软件。
报告指出,在最糟糕的情况下,针对近海油气行业操作技术系统的网络攻击可能导致其危害程度可能与2010年移动近海钻井设施Deepwater Horizon的防喷装置故障相当的灾难。报告指出,这套半潜式近海钻井平台的操作技术(OT)系统瘫痪导致了该统爆炸和沉没,“外加11人死亡、重伤和美国历史上最严重的海上石油泄漏(约490万桶)。”
据美国管道与危险物品安全管理局的官员表示,针对管道OT(比如控制石油天然气流量的阀门)的网络攻击可能会扰乱生产和传输,从而对能源供应、市场和经济产生负面影响。
报告(https://www.gao.gov/assets/gao-23-105789.pdf)还特别指出,2021年针对Colonial Pipeline公司的勒索软件攻击导致美国东南部大部分地区的汽油及其他石油产品的运输出现暂时中断。这家运营商不仅在网络安全防御方面猝不及防,据称还支付了500万美元,以重新控制其系统,使管道可以重新运送燃油。当时,该公司每天在得萨斯州休斯顿和纽约港之间运输1亿加仑的精炼燃料,占美国东海岸所需燃料总量的45%。
尽管报告从未明确提到欧洲,但它显然着眼于欧洲目前遭受的能源价格冲击,俄罗斯对乌克兰战争中断了欧洲的天然气供应。由于向清洁能源转型的步伐缓慢,加上一些国家关闭了核电站,欧洲一些国家已经非常依赖俄罗斯的天然气。
当俄罗斯切断能源供应时,这导致了全球通货膨胀上升和极端的能源预算,还有出乎意料的燃煤发电厂复兴——德国、奥地利、法国和荷兰都宣布计划恢复燃煤发电厂或延长运营期限。
GAO提到了一些网络威胁,包括由俄罗斯政府撑腰的网络攻击者构成的那些威胁。据CISA的警报显示,在2015年针对乌克兰的攻击中,俄罗斯政府撑腰的不法分子发出了未经授权的命令,打开由三家地区电力公司管理的变电站的断路器,结果导致约225000个客户断电。
报告得出的结论是,考虑到针对这些基础设施的成功网络攻击可能会带来潜在的灾难性影响,如果不采取行动以应对外大陆架1600多处油气设施和建筑的网络安全风险,就会造成“重大责任”。报告希望有一项战略来指导最近的网络安全工作,包括风险评估、提升性能的措施、协调各项工作以及评估所需资源。
参考及来源:https://www.theregister.com/2022/11/21/us_oil_gas_cyber_threats/