运营保障 全球能源行业顾问

网络安全

海上钻井行业的挑战、威胁和机遇

在数字化转型时代,网络安全已成为油气行业越来越热门的话题。 不断上升的网络威胁迫使行业领导者通过适当的行动快速识别和缓解网络风险。 不安全的计算机系统和网络可能导致灾难性的中断,包括敏感数据的泄露、关键资产的损坏和欺诈,网络系统中的漏洞会导致用户通过非法访问进行利用。

ADC Energy Ltd. 网络安全审计

海上钻井是一个精心设计的过程,它涉及复杂的设备,使过程安全、高效和多产。 现代钻机上的机械主要由PLC(可编程逻辑控制器)、HMI(人机界面)和SCADA(监督控制和数据采集)控制,分为工业控制系统(ICS)或工业自动化和控制系统( IACS) 由 ISA/IEC 62443 定义。

在DP 3级规范的现代钻井船上,有两个独立的网络,集成了推进器控制、动态定位、配电和其他操作系统。

钻井控制系统将 Cyber​​base 与控制各种钻井设备、泥浆控制系统、传感器、执行器和钻井数据记录的 PLC 集成在一起。 钻井控制系统还与 SCADA 集成,用于钻井数据分析。

根据资产的复杂程度,可能会有 OEM 远程访问钻井网络以进行诊断和修复。

现代防喷器 (BOP) 和各种设备的基于状态的监控也可能拥有自己的基于网络的控制系统,与全球钻井平台网络分离,但同样容易受到攻击。 最近的技术进步,包括远程钻孔,增加了工业自动化和控制系统的复杂性。

基于云的数据存储和基于人工智能的分析支持的大数据要求也需要访问工业控制系统。

这种集成控制系统的设计实现了高效的钻井过程,但也会带来风险,如果不实施适当的安全政策、程序和风险缓解,可能会暴露可能导致网络攻击的漏洞。 钻井公司正在采用基于原始设备制造商、客户和标准机构制定的网络安全标准的网络安全政策。


来自恶意软件、网络钓鱼、鱼叉式网络钓鱼、勒索软件、特洛伊木马、DNS(域名服务器)劫持、分布式拒绝服务攻击 (DDOS)、数据泄露和最近已知的高级持久性威胁 (APT) 的网络攻击。

这些恶意软件造成了严重的财务和声誉损失。 保持良好的网络卫生非常重要,尤其是对于工业控制系统 (ICS)。 这些系统通常没有反恶意软件或其他形式的保护。

https://www.blackfog.com/the-state-of-ransomware-in-2021/

这方面的一个例子是最近对美国东海岸天然气管道的勒索软件攻击,导致一条 8,900 公里长的管道关闭了六天。 该公司被迫支付赎金以恢复对其 IT 系统的访问,否则该公司将花费数百万美元和数月来恢复其 IT 基础设施。

网络攻击会对基本的钻机设备产生重大影响,例如动态定位、电源管理系统和防喷器控制。 在最近的审计中,ADC 专家已经 已识别的漏洞 在基本操作系统和网络/防火墙设备上。 最常见的威胁之一是钻井工人缺乏网络安全意识。  不了解网络安全的人员很容易成为网络钓鱼和恶意软件等攻击的牺牲品. 船上人员在关键系统上使用未经授权的 USB 设备、终端上未使用的开放 USB 端口、过时的软件和过时/过时的硬件。 是常见的漏洞之一。

网络安全政策和程序的缺陷导致系统漏洞的增加。 高级管理层负责识别关键风险并在整个公司实施相关缓解措施,确保有效的控制措施到位。

概述的常见漏洞 国际海事组织指南 2021 包括:


海上钻井公司和主要石油公司意识到他们的宝贵资产是越来越多的网络攻击的目标,OEMS 现在正专注于设计“网络安全”系统,以降低这种风险。

主要的海上钻井公司已经根据包括 NIST 网络安全框架、ASTM、IMO 指南、API、ABS、DNV 和其他国际标准和指南的推荐做法在内的框架制定了系统的风险缓解策略。

重要的是,海上钻井公司制定有效的战略并有效地实施它们,以提高工作场所的安全性,同时保护其宝贵资产免受攻击者的侵害。 随着技术的进步以及漏洞和威胁的增加,做好充分准备是减轻和最小化网络攻击影响的关键。

全球客户名单

埃尼 总能量 中海油 康菲菲利普斯 新要塞能源 国油卡里加利 PCSB Tullow Oil
海滩 伊萨卡能源 港湾能源 Seadrill公司 探索 温特斯 海上钻石
斯特纳钻孔 超过 高贵 瓦尔科 伍德赛德 OSRL 蔚蓝能源

联系我们

DNV GL 质量体系认证 - ISO 9001:2015 序列