该行业如何在寻求效率、安全和可持续性的过程中平衡数字化带来的风险和收益

石油和天然气行业一直致力于创新和采用新技术，以提高安全性和效率。VDC Research最近的一项研究显示，近三分之二的工业组织预计在未来两年内将达到“完全数字化”阶段——其特点是主动且持续地增强数字能力。然而，尽管数字化无疑提升了运营效率，但它也带来了不幸的副作用，即开辟了威胁途径，使工厂自身安全面临风险。正如卡巴斯基亚太区董事总经理 Adrian Hia 所言：“在石油天然气行业， 互连程度的提升与网络威胁暴露面的扩大密不可分 —— 数字化发展绝不能以基础设施安全为代价。简而言之，要提高互联程度，就不可避免地会增大网络威胁的潜在风险。

卡巴斯基通过内部研究及对石油天然气行业顶尖专家的系列访谈，以确定正在塑造该行业未来发展的关键数字趋势。这些讨论揭示了在日益数字化的环境中，改变行业运营模式的关键需求与创新策略。从IT/OT融合到机器人技术及5G应用，这些核心趋势凸显了当前推动石油天然气行业增长、韧性与创新的动态格局。那么，这些关键的数字趋势具体是什么呢？

工业物联网和云计算

工业物联网（IIoT）正通过实现对钻井设备、管道及环境条件的实时远程监控，彻底改变石油天然气行业的运营模式。这些传感器借助数据驱动的洞察，有效提升安全系数、预测设备故障并优化生产性能。云计算通过为炼油厂监控、物流和需求预测提供可扩展的分析功能来补充这些能力。然而，对云平台的依赖也增加了遭受网络攻击的风险。根据穆迪公司的预测，该行业将有14%的企业采用公有云服务，这使网络攻击面显著扩大。网络攻击者可以利用云基础设施中的漏洞，导致潜在的数据泄露、运营中断，甚至实际设施损坏。

人工智能、机器学习和超级自动化

人工智能 (AI) 和机器学习 (ML) 是超级自动化计划的基础，这些计划优化了维护、能源消耗和运营工作流程。这些技术能够实现预测分析，从而减少停机时间并提高成本效率。然而，对人工智能驱动系统的日益依赖，使行业面临复杂网络威胁的风险，例如数据投毒、模型操纵或针对自主决策流程的恶意软件攻击。一旦攻击者成功入侵AI模型，可能引发从维护计划错乱到灾难性运营故障等一系列严重后果。

IT/OT 融合

信息技术（IT）与运营技术（OT）系统的整合实现了远程操作、数据共享和决策优化。虽然这种融合提高了效率，但也造成了严重的安全漏洞。传统的 OT 系统通常缺乏现代安全功能，并且并非设计用于外部连接，因此极易成为网络攻击的首选目标。这些系统的互联特性意味着单一环节的漏洞可能引发整个运营网络的连锁反应，危及安全与生产连续性。对不安全或过时的基础设施的依赖加剧了这种风险。

机器人技术与5G技术

配备人工智能的机器人、无人机及无人水下航行器的部署，能够在高危环境中执行检测诊断与勘探任务。5G 连接技术的出现增强了实时数据传输，从而实现了快速决策。然而，这些自主设备易受恶意软件和黑客攻击，可能导致设备破坏或关键操作被操控。随着机器人越来越多地取代人工检查，该行业面临着如何在应对针对远程控制资产的网络威胁时保持运营韧性的困境。

数字孪生

数字孪生——即物理资产的虚拟复制品——使工程师能够在不中断实际运营的情况下模拟场景、优化流程并排查故障。尽管对提升效率和保障安全具有不可估量的价值，数字孪生却存在重大网络安全风险。被篡改的数字孪生体可能被用于误导运营决策或泄露敏感数据。NIST 建议实施零信任架构以减轻此类威胁，但挑战仍然在于保护复杂互联的模型，而这些模型是网络犯罪分子觊觎的目标。

增强现实（AR） 和虚拟现实（VR）技术

增强现实（AR）与虚拟现实（VR）等先进可视化技术为远程培训和设备维修提供了便利，使全球专家能够以虚拟方式“漫步”工厂设施。但是，集成这些沉浸式环境引入了新的攻击途径，特别是通过未加保护的远程访问点。恶意攻击者可能操控AR/VR系统引发操作失误或窃取敏感数据，在涉及传统工控系统时风险尤为突出。老旧技术的拼凑和过时的安全措施加剧了网络入侵的风险。

尽管这些技术正在帮助构建一个更智能、更安全、更具韧性的未来，数据驱动的洞察力与自动化正重塑整个价值链的可能性，但它们也为网络攻击创造了大量机会。每一个联网的技术设备都代表着潜在的攻击焦点区域，即所谓的攻击面扩张。当某台计算机或终端被入侵时，整个互联系统便会暴露在更广阔的基础设施攻击面中，从而面临网络攻击风险。而一次成功的网络攻击所能带来的收益将是天文数字。

高度互联的环境带来了重大安全隐患，尤其体现在传统基础设施的整合以及IT/OT融合带来的挑战方面。许多运营场所依赖不安全的旧系统，这些系统使用过时的技术，从未设计用于外部连接，因此它们天生存在安全漏洞。

此外，为员工和第三方供应商开通输油管道及炼油厂的外部访问权限虽是运营所需，却会形成新的入侵通道。必须对这些入口实施严格防护，避免单一系统的安全漏洞危及整个运营网络。加剧这些技术挑战的，是关键岗位的人员短缺问题。随着数字化转型的推进，该行业长期面临的招聘和留住技术人才的困境正日益加剧，对兼具工程技术与网络安全双重专长的复合型人才需求激增却难以满足。这种技能缺口将削弱企业管理复杂数字生态系统和有效应对安全事件的能力。

为应对这些不断演变的威胁，全球正实施严格的关键基础设施保护（CIP）法规，为该领域建立安全基准。这些法规通常要求进行强大的风险管理评估、全面的安全策略、事件响应规划和员工培训，从而为保护 OT 系统免受日益复杂的攻击创建必要的框架。

为了充分发挥数字化的潜力，同时保护资产和人员安全，行业利益相关者必须优先考虑强大的安全框架，投资于熟练的网络安全人才，并采用管理复杂互联系统的最佳实践。为此，卡巴斯基提供了一个独特的生态系统，无缝整合了专业级运营技术（OT）解决方案、专家知识和宝贵经验。该生态系统的核心是卡巴斯基工业网络安全 (KICS)——一个专为关键基础设施保护而设计的原生扩展检测和响应平台。它能够集中检测和响应整个工业网络中的复杂攻击。

要了解更多与数字趋势相关的网络风险以及减轻这些风险的策略，请访问互动落地页面。