据网络安全应急技术国家工程实验室发布的消息,丹麦风力涡轮机巨头维斯塔斯日前遭遇网络攻击,导致其内部部分IT基础设施被破坏,并引发数据泄露问题。另据彭博社报道,网络攻击事件曝光后,维斯塔斯的股价跌至两周低点。
三六零(股票代码:601360.SH,以下简称360)安全专家表示,此事件也充分说明,当前实现“碳中和”、“碳达峰”目标的大背景下,计算机安全、网络安全已升级为数字化安全,安全风险遍布包括能源产业链上下游在内的所有场景。“尤其是对于风电为代表的新型能源行业,若不对安全问题加以重视,上游环节的安全问题会传递到下游环节并放大,对各行业、机构造成重大安全隐患。”
前不久发布的《2020能源工业互联网安全态势感知(发电领域)白皮书》显示,目前全国累计已有3600个规模以上电力场站接入能源工控网络安全态势感知系统,约占全国装机容量74%以上,有效提升了国有发电场站的安全防护能力。据行业分析测算,到2023年能源行业网络安全投资有望超过250亿元。
勒索软件攻击数量激增288% 能源基础设施成主流攻击目标
在最新的更新声明中,维斯塔斯公司称发生了数据泄露,部分IT设施正在恢复中,但没有迹象表明其客户运营的涡轮机受到影响。花旗集团分析师马丁·威尔基指出,现在评估该安全事件的影响“还为时过早”。值得关注的是,我国是维斯塔斯最为重要的新兴市场之一,该事件对我国风电行业带来的潜在影响还无法直接评估。
该网络攻击发生后,维斯塔斯公司未说明该事件是否由勒索软件攻击引起。但也有安全专家认为此次事件为勒索软件攻击的可能性很大——2020年该公司收入接近150亿欧元,巨额的收入极有可能让该公司成为勒索软件组织的攻击目标。
360安全专家对此认为,在数字文明时代,安全挑战会更加复杂。在5G、NB-IoT等网络通信技术的支持下,数以亿计的物联网设备、新终端设备接入互联网,在源源不断产生多维度海量大数据的同时,也带来数据滥用、数据污染、数据泄漏、勒索攻击等新的大数据安全挑战。
《2021年上半年全球勒索软件趋势报告》显示,据不完全统计,2021年上半年至少发生了1200起勒索软件攻击事件,而2020年已知公布的数量大约为1420起。同时,平均赎金从去年的400000美元提高到今年的800000美元。根据NCC Group的最新数据,2021年第一季度至第二季度,勒索软件攻击数量激增288%。
维斯塔斯公司的遭遇并不是个例。今年5月,黑客组织“黑暗面”对美国最大燃油管道运营商Colonial(科洛尼尔管道运输公司)发起了勒索软件攻击,导致Colonial的管道系统被迫关停,美国大部分地区的汽油、柴油等燃料供应受到影响,甚至美国一度进入了国家紧急状态。
风电增长势头旺盛 新型能源行业发展拉响安全警报
不少业内人士指出,维斯塔斯遭遇网络攻击的事件,也给我国新型能源行业的未来发展敲响了一个警钟。
公开资料显示,中国是维斯塔斯最重要的新兴市场之一,并在天津建立了该公司全球最大的风电设备一体化生产基地。目前,来自天津基地的发电机占据了维斯塔斯全球发电机供货量的75%。截至2021年6月30日,维斯塔斯在中国的装机总量超过 8.8 吉瓦(1吉瓦=1百万千瓦)。
据悉,维斯塔斯还先后与北京能源国际控股有限公司、国华能源投资有限公司、中国能源建设股份有限公司和中国电建集团国际工程有限公司达成一系列合作协议,以及包括远东股份、神力股份等公司也与其有业务合作。
业内安全专家对此评论称,如果维斯塔斯遭遇网络攻击事件的后续影响持续扩大,一旦出现中断制造、安装和维修过程等情况,可能会对中国风电行业造成较大影响,尤其是可能会对依赖风力涡轮机作为动力源的地区产生重大影响,甚至影响我国碳达峰、碳中和目标的推进。
与此同时,随着中国、欧洲以及海上风电的需求增长,风电装机有望保持增长势头。根据上半风电招标数据显示,2021年上半年风电招标量为31.4吉瓦,同比增加185%。根据GWEC预测,2025年海外风电需求超过67吉瓦,国内装机有望达到80吉瓦,全球新增装机合计有望接近150吉瓦。
安全风险加剧 机构预测能源行业网络安全投资占比将大幅提升
业内安全专家指出,在风电需求日益增长的背景下,越来越多的政府及企业也看到了背后潜在的安全风险,不断加大安全投入,以能源安全为代表的工业互联网安全产业长期向好趋势不会改变。
2019年,由国务院国资委等5部委,组织22家能源央企、26个省(区、市)国资委和46家能源国有企业共同打造了能源工业互联网平台。《2020能源工业互联网安全态势感知(发电领域)白皮书》指出,经过3年建设,能源工业互联网平台初步实现能源领域部分工业设备上云、行业数据上云、智能应用上云,初步解决了能源企业的工控网络安全和数据孤岛问题。
据华经产业研究院整理的数据,“十三五”期间,我国能源网络安全收入规模占整个网络安全收入的7%。随着《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》的相继出台,华经产业研究院预测,在合规趋严的大背景下,能源等行业网络安全投资占比将大幅提升至10%左右。按照《网络安全产业高质量发展三年行动计划(2021-2023年)》提到“2023年网络安全产业规模将超过2500亿元,年复合增长率超过15%”目标计算,能源行业网络安全投资有望超过250亿元。
另据《2021-2026年中国数据安全行业发展前景及投资风险预测分析报告》预测,未来政府、金融、医疗卫生以及能源行业在数据安全领域的投入有望进一步打开1至3倍的成长空间,整体数据安全领域仍有近1倍的弹性增长潜力空间。
360安全专家对此认为,未来数字化安全技术与风电等能源行业结合将更密切,应用场景将更多,市场也将迎来更大的机遇。
作为数字化安全的引领者,360形成了面向数字化的新战法、新框架、新技术、新能力,打造了面向数字化的安全新体系,以应对能源行业产业数字化进程中带来的复杂安全挑战。
基于这套数字化安全能力新体系,360提出以“三化六防”为指导,安全体系和数字体系相融合,攻防能力和管控能力相融合的新战法,并打造以安全大脑为核心的新一代安全能力框架,包括攻击面防御、资源面管控、数据运营、专家运营等4大类共20个基础设施,可支撑大数据安全、云安全、物联网安全等七大安全框架的体系化安全解决方案。
届时,能源行业可以通过打造行业级的安全能力框架,应对大数据安全、云安全、物联网安全等复杂安全挑战,在云端安全服务的赋能下,依托集中建设的网络安全基础设施,通过安全专家持续细致运营,安全能力不断积累成长,最后为能源行业的关键基础设施持续输出水、电、气一样的安全基础服务,实现数字化安全的全面赋能。