Die moderne, vernetzte Welt ist sehr anfällig für Cyber-Angriffe. Entsprechend ergreift die Industrie mehr und mehr Gegenmaßnahmen als je zuvor, um ihre Systeme und Daten zu schützen. Branchenübergreifend haben Unternehmen die Gegenmaßnahmen beschleunigt und den Fokus auf die Cyber Security verstärkt. Dies spiegelt die Rolle wider, die die Digitalisierung im täglichen Geschäft und Betrieb spielt. Die Öl- und Gasindustrie ist vor Cyber Security-Angriffen nicht gefeit.
Die Vorteile der Digitalisierung sind auf der einen Seite immens, andererseits hat sie jedoch auch ihre eigenen negativen Auswirkungen, was zu einem erhöhten Risiko von Cyber Security-Angriffen beiträgt. Interneteinrichtungen auf einer Offshore-Infrastruktur, die dynamische Positionsnavigation, GPS-Systeme an Bord – all diese Technologien bringen neben ihrem Nutzen Schwachstellen mit sich, die von Cyberkriminellen mit der Absicht Betriebsunterbrechungen, finanzielle Verluste, Reputationsschäden, usw. zu verursachen, ausgenutzt werden können.
Im Laufe der Jahre gab es vermehrt Cyber Security- Angriffe auf den Offshore Öl- und Gassektor. Ölplattformen wurden gekippt, Plattformen mit Malware infiziert und industrielle Steuerungssysteme gehackt. Einige Angriffe stehen mit Insider-Missbrauch, verschiedenen Fehlern, Cyber-Spionage usw. in Verbindung. Die Gegenmaßnahmen, die auf Öl- und Gasplattformen eingesetzt werden, sind das Ergebnis intensiver Cyber Security-Bewertungen und Audits, die einen weiten Bereich abdecken. Darunter fallen physische Sicherheit, Umweltsicherheit, Richtlinien und Verfahren, Sicherheit Onshore und Offshore, hostbasierte Sicherheit, Netzwerksicherheit, usw.
Cyber Security-Training und Bewusstsein
Im heutigen Szenario der Globalisierung und Interkonnektivität, sind Cyber Security -Angriffe eine Bedrohung, die mit größter Aufmerksamkeit genommen werden muss. Das Management muss die Verantwortung übernehmen, seine Mitarbeiter durch verschiedene Sensibilisierungs- und Schulungsmaßnahmen darüber zu informieren. Fast 80 % der Cyber Security-Angriffe stehen im Zusammenhang mit Vorkommnissen, die offshore geschehen sind, sind ein Spiegelbild menschlichen Versagens. Dies ist auf mangelndes Awareness-Training zurückzuführen, das eine der größten Herausforderungen oder Schwachstellen der Branche darstellt. Die Offshore-Öl- und Gasfelder sind hochrangige Ziele für Cyberkriminelle, die eine solche Anfälligkeit aufweisen. Das Fehlen von Schulungen für die Mitarbeiter zeigt deutlich das Fehlen einer klaren Cyber Security-Politik, die das Management über die Gegenmaßnahmen oder die notwendigen Abwehrmechanismen gegen Cyber-Bedrohungen leitet.
Unklarheiten / Lücken in den Cyber Security Richtlinien und -verfahren
Der Prozess der Festlegung einer klaren, geradlinigen und selbsterklärenden Politik für die Cyber Security kann einen enormen Aufwand erfordern, aber die Bedeutung und die Ergebnisse der Cyber Security-Politik sind es wert. Es gibt zwar viele Standards und Richtlinien für die Entwicklung solcher Cyber Security-Richtlinien, aber es liegt in der Verantwortung des Managements, diese auszuwählen und umzusetzen. Unklare Cyber Security-Richtlinien sind gleichbedeutend mit keiner, da sie das Management und die Mitarbeiter über die Umsetzung der Gegenmaßnahmen in die Irre führen. Unternehmen müssen umfassende Sicherheitsrichtlinien erstellen, Schulungen für die Umsetzung planen, Audits durchführen, um sicherzustellen, dass die Richtlinien eingehalten werden, und Systeme überwachen, um Änderungen in Echtzeit zu erkennen.
Veraltete industrielle Steuerungssysteme
Die Studie von ABI Research beschreibt die industriellen Steuerungssysteme in vielen Öl- und Gasunternehmen als “schlecht gegen Cyber-Bedrohungen geschützt”. Im besten Fall sind sie mit IT-Lösungen gesichert, die schlecht an alte Steuerungssysteme wie das Process Control Network (PCN) angepasst sind. Die Legacy Industrial Control Systems sind ein leichtes Ziel für jeden Cyber-Angriff, da sie mit einem Minimum an Schutz ausgestattet sind. Der Advanced Persistent Threat (APT) ist ein Angriffstyp, der oft als heimlich, gefährlich und vor allem oft als erfolgreich beschrieben wird. Solche APTs, die auf ein altes industrielles Steuerungssystem gerichtet sind, können in jeder Hinsicht großen Schaden anrichten. Ein industrielles Steuerungssystem muss über längere Lebenszyklen hinweg funktionieren, was die Stabilität erhöht und die Möglichkeit von Upgrades minimiert. Dies stellt letztlich eine Bedrohung da, und schafft einen Freiraum für den Fortschritt der Cyber-Bedrohungen.
Zu wenig Netzwerksicherheitsmaßnahmen – On- und Offshore
Der Einsatz von IT-Protokollen in industriellen Steuerungssystemen kann diese Systeme anfällig für Netzwerkangriffe machen und eine Hintertür in die IT-Netzwerke des Unternehmens öffnen, wodurch beide Systeme gefährdet werden. Zu der Komplexität integrierter Systeme kommen neue Technologien hinzu, wie z.B. die Nutzung einer Cloud-Plattform zur Durchführung von Operationen, usw., die Schwachstellen mit sich bringen und angemessene Sicherheitsmaßnahmen erfordern. Die Wahl der Implementierung von Sicherheitsmaßnahmen hängt von der Art und der Architektur des industriellen Steuerungssystems ab. Ein weiterer wichtiger Faktor ist die Reife des Security-Programms des Unternehmens. Ist es bereits entsprechend ausgereift? Das Security-Programm spiegelt die Cyber Security-Strategie des Unternehmens in Bezug auf die verschiedenen Bedrohungen wider und sollte ein integraler Bestandteil des täglichen operativen Geschäfts eines Unternehmens sein.