In der Vergangenheit haben Energieunternehmen in der Regel die Betriebssysteme, in denen Pipelines oder Kraftwerke betrieben werden, vom breiteren Internet getrennt oder „luftspaltend“ gehalten, was dazu führte, dass Hacker nicht einfach auf die kritischste Infrastruktur zugreifen konnten. Dies ist jedoch zunehmend nicht mehr der Fall, da Unternehmen eine ausgefeiltere Überwachungs- und Diagnosesoftware installieren, mit deren Hilfe sie diese Systeme effizienter betreiben können. Dies führt möglicherweise zu neuen Cybersicherheitsrisiken.
“Jetzt sind diese Systeme alle auf eine Weise miteinander verbunden, die die Unternehmen selbst nicht immer vollständig verstehen”, sagte Marty Edwards, Vice President für Betriebstechnologie bei Tenable, einem Cybersicherheitsunternehmen. “Das bietet die Möglichkeit, dass sich Angriffe in einem Gebiet anderswo ausbreiten.”
Viele industrielle Steuerungssysteme wurden vor Jahrzehnten installiert und laufen auf veralteter Software. Daher kann es eine Herausforderung sein, Programmierer für die Aktualisierung der Systeme zu finden. Und die Betreiber lebenswichtiger Energieinfrastrukturen – wie Pipelines, Raffinerien oder Kraftwerke – zögern häufig, den Kraftstoff- oder Stromfluss für längere Zeit zu unterbrechen, um häufige Sicherheitspatches zu installieren.
Laut Analysten haben viele Unternehmen nicht immer ein gutes Gespür dafür, wann und wo es sich lohnt, Geld für kostspielige neue Schutzmaßnahmen gegen Cybersicherheit auszugeben, was zum Teil darauf zurückzuführen ist, dass keine leicht verfügbaren Daten darüber vorliegen, um welche Arten von Risiken es sich handelt am wahrscheinlichsten zu Gesicht.
“Unternehmen veröffentlichen nicht immer viele Informationen öffentlich” über die Bedrohungen, die sie sehen, sagte Padraic O’Reilly, Mitbegründer von CyberSaint Security, der mit Pipelines und kritischer Infrastruktur im Bereich Cybersicherheit arbeitet. “Das kann es für eine Branche schwierig machen, zu wissen, wo investiert werden muss.”
Analysten sagten, dass die Elektrizitätsversorger und Netzbetreiber des Landes bei der Vorbereitung auf Cyberangriffe in der Regel weiter voraus waren als die Öl- und Gasindustrie, auch weil die Bundesregulierungsbehörden seit langem Cybersicherheitsstandards für das Rückgrat des nationalen Stromnetzes fordern.
Dennoch bleiben Schwachstellen bestehen. “Ein Teil davon ist die schiere Komplexität des Netzes”, sagte Reid Sawyer, Geschäftsführer der US-amerikanischen Cyberkonsultationspraxis bei Marsh, einer Versicherungsgesellschaft. Beispielsweise unterliegen nicht alle Netzebenen verbindlichen Standards, und es gibt mehr als 3.000 Versorgungsunternehmen im Land mit unterschiedlichen Cybersicherheitspraktiken.