サイバーセキュリティ

海洋掘削業界における課題、脅威、機会

デジタルトランスフォーメーションの時代に、Cyber​​Securityは石油およびガス業界でますます人気のある話題になりました。 サイバー脅威の高まりにより、業界のリーダーは適切なアクションでサイバーリスクを迅速に特定して軽減する必要があります。 安全でないコンピュータシステムとネットワークは、機密データの侵害、重要な資産への損害、詐欺などの壊滅的な中断につながる可能性があり、サイバーシステムの脆弱性により、ユーザーが不正にアクセスして悪用する可能性があります。

課題

海洋掘削は、プロセスを安全、効率的、生産的にするための高度な機器を含む、よく設計されたプロセスです。 最新の掘削リグの機械は、主にPLC（プログラマブルロジックコントローラー）、HMI（ヒューマンマシンインターフェース）、SCADA（監視制御およびデータ取得）によって制御され、産業用制御システム（ICS）または産業用自動化および制御システム（ IACS）ISA / IEC62443で呼ばれています。

DPクラス3仕様の最新の掘削船には、自動船位保持、配電、その他の運用システムを統合するXNUMXつの独立したネットワークがあります。

掘削制御システムは、Cyber​​baseを、さまざまな掘削装置、泥制御システム、センサー、アクチュエーター、および掘削データロギングを制御するPLCと統合します。 掘削制御システムは、掘削データ分析のためにSCADAとも統合されています。

資産の洗練度によっては、診断と修復のために掘削ネットワークにアクセスするためのOEMリモートアクセスが存在する場合があります。

最新の防噴装置（BOP）とさまざまな機器の状態ベースの監視にも、グローバルリグネットワークから分離された独自のネットワークベースの制御システムがありますが、同様に脆弱です。 リモートドリルを含む最近の技術の進歩により、産業用自動化および制御システムの複雑さが増しています。

クラウドベースのデータストレージと人工知能ベースの分析によってサポートされるビッグデータ要件には、産業用制御システムへのアクセスも必要です。

このような統合制御システムの設計は、掘削の効率的なプロセスを実現しますが、適切なセキュリティポリシー、手順、およびリスク軽減が実装されていない場合、サイバー攻撃につながる可能性のある脆弱性を露呈する可能性のあるリスクももたらします。 掘削会社は、OEM、クライアント、および標準機関によって設定されたCyber​​Security標準に基づいたCyber​​Securityポリシーを採用しています。

---

脅威

マルウェア、フィッシング、スピアフィッシング、ランサムウェア、トロイの木馬、DNS（ドメインネームサーバー）ハイジャック、分散型サービス拒否攻撃（DDOS）、データ侵害、および最近知られている高度な永続性脅威（APT）からのサイバー攻撃。

これらのマルウェアは、深刻な経済的および評判の損害の原因となっています。 特に産業用制御システム（ICS）の場合、サイバー衛生を良好に維持することが重要です。 これらのシステムには通常、マルウェア対策やその他の形式の保護機能はありません。

この一例は、米国の東海岸ガスパイプラインに対する最近のランサムウェア攻撃であり、8,900キロメートルのパイプラインがXNUMX日間シャットダウンされました。 同社は、ITシステムへのアクセスを回復するために身代金を支払うことを余儀なくされました。そうしないと、ITインフラストラクチャを回復するために数百万ドルと数か月の費用がかかります。

サイバー攻撃は、自動船位保持装置、電力管理システム、噴出防止装置制御などの重要なリグ機器に重大な影響を与える可能性があります。 最近の監査では、ADCスペシャリストは 識別された脆弱性 ベースのオペレーティングシステムとネットワーク/ファイアウォールデバイス。 最も一般的な脅威のXNUMXつは、リグの従業員のサイバーセキュリティに対する認識の欠如です。  Cyber​​Securityを理解していない人は、フィッシングやマルウェアなどの攻撃の餌食になりがちです。。 重要なシステムで許可されていないUSBデバイス、端末で未使用の開いているUSBポート、古いソフトウェア、古い/古いハードウェアを使用している船内の人員。 一般的に観察される脆弱性のXNUMXつでした。

Cyber​​Securityのポリシーと手順が不足していると、システムの脆弱性が増大します。 上級管理職は、重大なリスクを特定し、会社全体で適切な緩和策を実施し、効果的な管理措置を確実に実施する責任があります。

によって概説された一般的な脆弱性 国際海事機関ガイドライン2021 次のとおりです。

• 廃止されサポートされていないオペレーティングシステム
• パッチが適用されていないシステムソフトウェア
• 古いまたは欠落しているウイルス対策ソフトウェアとマルウェアからの保護
• 境界保護対策とネットワークのセグメンテーションを欠いている船上コンピュータネットワーク
• 請負業者やサービスプロバイダーを含むサードパーティのサイバー資産、ネットワークなどへの不適切なアクセス制御
• 不足している、不十分な、またはテストされていない緊急時対応計画と手順

---

機会

海洋掘削会社と主要な石油会社は、貴重な資産がサイバー攻撃の増加の標的であることを認識しており、OEMSは現在、このリスクを軽減する「サイバーセキュア」システムの設計に注力しています。

主要な海洋掘削会社は、NIST Cyber​​Securityフレームワーク、ASTM、IMOガイドライン、API、ABS、DNVによる推奨プラクティス、およびその他の国際標準とガイドラインを含むフレームワークに基づいて、体系的なリスク軽減戦略を開発しました。

海洋掘削会社が効率的な戦略を策定し、それを効果的に実施して、攻撃者から貴重な資産を保護しながら、職場をより安全にすることが重要です。 テクノロジーの進歩と脆弱性と脅威の増加に伴い、サイバー攻撃の影響を軽減および最小化するには、十分な準備が必要です。