在任何行业，网络安全威胁无处不在。 网络安全漏洞代价高昂。 2021 年，网络安全数据泄露的平均成本为 424 万美元，此外还会严重损害公司的声誉。 在 IBM 调查的 17 个行业中，能源行业的数据泄露平均成本排名第五，仅次于医疗保健、制药、金融和技术行业。 随着越来越多的系统上线，能源部门的安全漏洞只会增加，许多供应商正在考虑更新他们的网络安全措施，以避免成为攻击者的牺牲品。

好消息是，能源供应商可以选择降低潜在数据泄露的可能性和影响。 全面的网络安全措施不仅仅考虑软件供应链的一层或孤立地解决单点故障。 相反，他们在上下文中查看系统及其所有部分，考虑没有小到无法解决的漏洞，也没有大到无法保护的系统。

在过去几年中，许多引人注目的网络安全漏洞一直困扰着能源行业。 以下是一些可以通过提前制定更全面的措施来主动避免的情况。

由于不确定情况的全面程度，官员们关闭了殖民地管道，以遏制对国家安全的可能威胁。 他们还联系了能源部和国土安全部、联邦调查局以及网络安全和基础设施安全机构。 然后，他们付钱给黑客以获取解密密钥。 5 月 12 日，管道恢复正常运营，但在整个东海岸出现石油短缺之前。

网络安全公司 Mandant 发现，黑客通过泄露的密码获得了对 Colonial Pipeline 网络的访问权限。 该密码授予对管道虚拟专用网络 (VPN) 的访问权限，黑客可以通过该密码窃取数据并分发勒索软件。 最初泄露的来源不明，但 Mandant 表示，该密码很可能已被一名员工用于另一个网站，从而使黑客能够在管道系统上推断出该员工的密码。 Colonial Pipeline 事件是有史以来规模最大的公开披露的针对美国基础设施的网络攻击。

据称，当第三方承包商将信息从 PG&E 的网络复制到其自己的网络时，该公司通过其第三方承包商失去了对 30,000 多条信息的控制权。 承包商的网络在网上公开托管，不需要登录即可访问。 PG&E 最初声称数据是假的——为测试数据存储系统而生成的虚拟信息——但后来推翻了这一说法。

网络安全漏洞需要多个故障点

在上述两个案例研究中，多个故障点相互作用导致了灾难。 如果员工接受过绝不重复使用密码的培训，或者如果员工知道如何转移网络钓鱼攻击（即使是那些针对与他们工作无关的个人账户的攻击），殖民地管道石油短缺问题就可以避免。 或者，如果整个系统的命运不取决于单个 VPN 的安全性，或者如果已采取监视措施让当局更好地了解哪些系统已被访问，则危机可能已经避免，因此 他们会知道是否有必要关闭整个管道。

同样，PG&E 可以以不需要如此广泛的数据共享的方式与第三方合作，以不需要使用第三方的方式使用智能电表，或者完全放弃智能电表。 另一种解决方案可能是更彻底地向第三方介绍何时（或何时不）复制数据。 PG&E 还可以在发布初始声明之前对数据的性质进行更彻底的调查，以避免错误地声称数据本身是假的。 这些解决方案中的任何一个都可以被阻止，或者至少可以减轻与这些数据泄露相关的损害。

对于寻求防止 Colonial Pipeline 或 PG&E 遭受的各种攻击的能源供应商而言，有效的在线安全是必不可少的工具。 Kiuwan 提供必要的安全服务，确保能源供应商代码和在线系统的安全。

---

Kiuwan 可以帮助减轻网络安全风险

Kiuwan 独特的开发、安全和运营 (DevSecOps) 方法强调了从整体上考虑系统安全性的重要性。 没有漏洞是在真空中考虑的。 相反，Kiuwan 承认并倾向于能源安全的根本综合性。

对能源网络安全的威胁始终取决于利用多个故障点。 为了减轻这些威胁，能源供应商需要一个能够看到大局的网络安全团队。

Kiuwan 的高级网络安全服务包括强大的工具，例如软件组合分析 (SCA) 和静态应用程序安全测试 (SAST)，它们可以分析和识别代码安全中的潜在漏洞。

Kiuwan 的服务对软件供应链中的每个步骤进行广泛且易于理解的审查，并部署强大的解决方案来应对最常见的网络安全威胁。 联系 Kiuwan 获取演示。