蘇格蘭,阿伯丁:沙特阿美非常清楚安全保障的重要性。繼9月14日公司煉油廠遭受襲擊後,CEO阿明•納賽爾(Amin Nasser)表示,安全保障措施的力度需要“比以往更大”。
無人機襲擊所造成的火勢影響巨大。納賽爾表示,“面對當前形勢,我司7萬員工將眾志成城,迅速採取應對措施,恢復生產。”
納賽爾補充道,此次襲擊事件“向全球證明了沙烏地阿拉伯及其石油工業的重要性”。
阿美面臨的新挑戰
沙特阿美需要警惕的不只是導彈或無人機。在安全保障方面,大規模公司的網路安全至關重要。
沙特阿美開設了一門線上網路安全課程,這是所有阿美員工的必修課。本月初,在蘇格蘭阿伯丁舉行的歐洲離岸石油展覽會上,EXPEC研究中心資訊保安部門主管Raed Al-Shaikh將此番規定界定為一種“人力投資”。
他表示,“員工是第一道防線。參加這一網課已納入所有員工的KPI體系,計劃每人每年至少參加一次。”
他還表示,在中東地區,當涉及到網路安全的問題時,“網路釣魚行為往往是我們遭受攻擊的主要原因。只需要對公司的任何一名員工進行網路攻擊,比如通過病毒或勒索軟體,就可以達到目的。”
應對攻擊決不放鬆
網路釣魚是黑客用來欺騙員工洩露私密或敏感資訊的一種網路詐騙方式。但Al-Shaikh指出,據公司近期開展的一項員工測試結果顯示,在打擊網路釣魚方面,情況比較樂觀。
Al-Shaikh在論壇上表示,“針對員工的調查結果出爐了。人們應對網路釣魚行為的辦法令人驚訝。他們以上下文為依據,通過檢查郵件地址或使用的語言,就可以識別出該郵件是否為釣魚郵件。”
沙特阿美通過模擬網路釣魚,來測試員工的網路安全技能。Al-Shaikh用“糟糕”一詞來形容此次測試結果。
Al-Shaikh表示,“這一測試結果簡直令人難以置信,員工對釣魚郵件有些掉以輕心,而這是十分危險的。”
這一演習行動至關重要,所以每月都要實施一次。Al-Shaikh表示: “如果員工不慎掉進我們設下的圈套,那這位員工就會收到一條資訊說,‘好吧,你被我們逮到了’。如果一年內被我們逮住三次,其績效評估就會受到影響。如果一年內被逮到五次,就很有可能被公司解僱。”
“模擬網路釣魚的測試活動至關重要,這表明我司對待網路釣魚的態度十分嚴肅。”
當然,並非只有強制措施。阿美在全國擁有6.5萬餘名員工,其實施的教育宣傳工作似乎有所成效。
Al-Shaikh表示:“如果員工發現並向上級報告了真正的網路釣魚行為,我們會立給其發放一張電子證書,此證書可在他們的個人簡介中起到錦上添花的作用。”
斯倫貝謝(Schlumberger) IT安全研究員馬里奧•喬克(Mario Chiock)在歐洲離岸石油展會上表示,他們也效仿阿美的做法,通過“模擬網路釣魚”來測驗自己的員工。他表示,“雖然我們並非每月施行一次,而是每季度施行一次,但從中得到的資訊讓我們大開眼界。”
“與阿美實行的規定類似,如果員工有五次未通過測驗,那他們就攤上大麻煩了。不過,我們也鼓勵員工們,每當察覺到網路釣魚時,都要進行報告,從而能夠發現諸多有針對性的攻擊行為。”
採取行動的強度
同樣位於休斯頓的BP專案經理艾米麗•哈德森(Emilie Hudson)則表示,BP“往往不會效仿沙特阿美或斯倫貝謝,採用那樣嚴厲的措施”。
她表示:“由於我司在尋找這些資訊,所以安全中心每天要評估大約40億起此類事件。我們發現,釣魚活動與教育活動結合起來非常有效。”
Al-Shaikh表示,對於有限合夥制公司或合資企業,合作在網路安全方面則顯得不可或缺。
他說道,“與那些實力衰弱的合作伙伴開展聯盟就會產生短板效應,如果他們攤上麻煩,必定會波及到我們頭上。有時,我們甚至共享威脅情報。我們有超過20或25個合作伙伴在此平臺上共享網路安全情報資訊。”
翻譯:姬夢珊
審校:徐夢瑤