公私合作是最好的管道网络防御

约翰。d .西西里岛舞蹈
2021年5月20日

甚至在殖民输油管道在一次网络犯罪袭击后重新开放之前，包括联邦能源监管委员会(FERC)主席在内的一些人就要求采取行动理查德·格里克的呼吁强制性的网络安全标准。

对殖民地的袭击造成了重大的破坏——强调了正确应对的重要性。不幸的是，华盛顿的一些人在事实清楚之前，在冷静之前，理性的分析可以指导最佳的反应之前，情不自禁地对一个问题做出反应。

事实上，天然气和石油行业与联邦政府合作，保护国家庞大的管道网络和其他关键能源基础设施免受网络攻击的历史悠久。

关键是与联邦合作伙伴就特定威胁建立积极、强有力的信息共享关系——以及定期更新网络评估和保护行业标准——而不是规范性的、官僚主义的规则，这些规则实际上会阻碍行业识别和适应威胁的能力。API总裁兼首席执行官迈克·索莫斯在接受CNN采访时表示，该行业正在积极与政府官员合作，努力保护自己，而且从经济角度保护自己免受网络攻击是至关重要的:

“我们所有的首席执行官成员都专注于确保他们的网络防御到位，我们希望与联邦政府合作，确保我们的能源供应不存在漏洞。这是一个涉及整个经济的问题。这并不仅仅存在于石油和天然气行业。每一家美国公司都遭受过这类网络攻击，我们需要确保我们有一个强大的系统，可以反击这些流氓行为。”

我们的行业有超过700种标准，其中包括一些专注于网络风险评估的标准，这些标准更有可能有效地应对威胁，而不是一种静态的、适用于所有人的方法，努力跟上快速变化的网络威胁格局。三个API标准是业界应对网络威胁的持续工作的组成部分:

• API推荐操作规程1164-管道监控和数据采集(SCADA)注重整体安全实践，认识到网络安全是持续的，而不是一次性事件。通过识别和分析潜在的漏洞，开发一系列综合实践以强化核心体系结构，并提供行业最佳实践示例，管道安全性得到了提高。RP 1164目前正在进行修订和更新，预计在接下来的几个月内会有一个新的版本。
• API 780-提供工具进行有效的安全风险评估，用以识别设施面临的威胁，以及应对这些威胁的对策。去年10月，API 780是被认证为反恐技术美国国土安全部(DHS)根据2002年《促进有效技术支持反恐法》(Support terrorism by foster Effective Technologies Act)提出的。如果API成员和使用API 780的其他成员的某个设施遭到恐怖袭击，这将提供责任保护。
• API 1173-管道安全管理系统为管道运营商提供了安全管理系统的要求，当应用该系统时，提供了一个框架来揭示和管理风险，促进学习环境，并不断提高管道的安全性和完整性。

共同制定行业标准和操作程序是推动整个行业进步的最佳途径。通过API等行业协会的合作，可以调动评估，进一步推动改进。这些方法可以让行业成员适应和应对威胁，正如我们前面所说的，威胁是不断演变的。

与此同时，我们的行业正在继续深化与国土安全部、美国交通部、美国商务部和其他部门在网络安全方面的合作。包括该委员会前主席、FERC委员尼尔•查特吉(Neil Chatterjee)在内的一些人认识到，应对网络威胁需要灵活性。Chatterjee CNN：

“我认为我们的对手很老练。我认为他们会不断适应。这就是为什么我一直没有呼吁强制性标准的原因，(因为)我认为标准是底线。我们必须远远超出标准。我们必须像我们的对手一样老练，像联邦政府、州政府和行业的对手一样协调，以领先于这些不断演变的威胁。”

美国国土安全部部长亚历杭德罗梅奥卡斯他说，提高国家的“网络卫生”主要是一项自愿努力，强调合作和公私伙伴关系:

“我们在公共和私营部门之间共享信息。我们分享最佳实践。我们有网络安全主管到公司现场进行评估，提出建议，并主动指导公司提高网络卫生水平。”

继续并加强这种公私合作是保护美国关键能源基础设施的最佳途径。索莫斯:

“我们希望与联邦政府合作，建立强有力的防御体系，并采取措施确保其他国家瞄准能源基础设施和其他基础设施的人受到追究。”