来源：埃森哲

　　96、三分之一、倒数第二。

　　以上三个数据分别对应的是，每年油气行业遭受针对性网络攻击事件的平均数量、攻击的成功率，以及“埃森哲安全指数”网络安全能力评估中油气公司的排名。

　　随着数字化技术在油气行业的应用和推广、设备和数据的联通，油气公司也逐渐成为黑客和其他网络罪犯的首选攻击目标之一。在5月12日至13日间，在一场全球范围内的“勒索病毒”攻击事件中，能源等核心机构首当其冲。中国多地加油站也未能幸免，北京、上海、杭州、重庆、成都和南京等地的加油站突然断网，加油卡、银行卡、第三方支付等网络支付功能无法使用，加油站运行受到影响。

　　在系统升级和弥补漏洞之后，加油站运营随后恢复正常。但埃森哲研究发现，更令人担心的是，随着数字化运营技术和交易手段的推广，即使在全新数字化应用场景下，油气企业的监控网络安全能力依然不足。在针对油气行业的网络攻击日益高发、命中网络漏洞的几率较高的情形下，企业亟需调整网络安全战略、落实安全管理计划、并完成安全测试，使得安全问题与商业需要保持一致。

　　数字化运营放大安全漏洞

　　越来越多的油气公司采用新的运营技术（“OT”），网络安全风险将随之加剧。在信息技术（“IT”）和OT网络中引入数字自动化解决方案，有助于提高生产力，延长正常运营时间，加强安全，提高质量，但也扩大了公司的受攻击面，使能源公司面临真正的网络安全难题，即如何在数字化运营带来的益处和保障公司安全之间实现平衡？

　　例如，对实时数据和远程获取数据的需求促使公司将各种设备连接起来，这些系统存储着大量客户数据、知识产权和企业关键信息，尤其会成为虎视眈眈的黑客们的攻击目标。埃森哲的调研显示，许多安全漏洞长期未被企业察觉，51% 的公司数月之后才发现漏洞，而仅有62% 的有效网络攻击被企业安全团队识别（通常需要数月乃至数年才能识别）。

　　有的放矢提升网络安全能力

　　能源公司可能需要采用全新的方法，才能找到出色的网络安全战略。埃森哲认为，这需要强大的数据分析，完善的事件反应计划，以及检测战略计划和流程能否不断识别差距并进行处理的方法。

　　首先，定义安全的网络。在新的安全网络条件下，企业能够回答诸如，是否肯定已明确了所有优先级别业务数据资产及其位置？面对针对性攻击，我们是否拥有应对的工具和手段？以及公司多久一次需要实施应急演练等问题。第二，从内而外，加强网络安全防护。比如，加强对工业控制系统和公司网络的数据分析，有助于公司发现可能遗漏的问题，并帮助识别风险高的资产和流程。第三，针对OT和IT网络的网络事件管理计划。帮助企业第一时间应对网络攻击，尽快恢复生产和运营，并保护其最具价值的数字资产。并为IT和OT等人员提供教育和培训，使得IT人员掌握OT语言，同时OT人员也需要掌握IT语言。第四，测试安全性能。为了评估应对高危风险的能力，油气公司应对本公司的安全防护措施进行“压力测试”，帮助高管了解公司是否真的能抵御针对性攻击。

　　七大创新领域进行创新投入

　　埃森哲认为，在以下七大领域的投入对于改善防御措施、提高修复能力至关重要：一、业务一致性。强调对业务影响的研判能力，评估安全事件对业务的重大影响，及时发现网络修复和业务恢复的障碍因素和驱动因素；二、威胁情境下的战略化评估能力，对来自竞争对手、市场和地域政治的风险要有前瞻性的预判；三、拓展危机管理和网络安全管理方面的生态系统合作伙伴；四、监管和领导力。从上到下培养企业内部的网络安全文化，强化各级安全责任制；五、加强网络的弹性设计，尤其是针对关键资产的安全保护设计；六、强化网络安全的响应和沟通机制，涵盖所有安全责任人和相关人员；七、提高投资效率，将企业投资与行业标准、商业目标和网络安全趋势相互比较来考量效率。

　　在全球互联的大环境中，没有哪一家企业能独善其身，制定有效的安全战略和进行前瞻性的安全投资将是最好的免疫。

*本文刊发在财新promotion频道，不代表财新网编辑部观点