《11明瑞保险经纪-新能源行业的网络安全风险与应对策略.pdf》由会员分享,可在线阅读,更多相关《11明瑞保险经纪-新能源行业的网络安全风险与应对策略.pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、让网络安全保险变得更有价值新能源行业的网络安全风险与应对策略contents目 录目 录*201|行业市场02|案例&解决方案03|我们的作用*行业市场01背景引发的问题法律法规要求标准要求政策指引 中 华 人 民 共 和 国 网 络安 全 法 该法律规定了网络安全的基本要求和法律责任,包括网络基础设施的安全保护、网络运营者的安全义务、网络安全事件的处置等内容。中 华 人 民 共 和 国 能 源法 该法 律规定了 能源行 业的管理要 求,包括 能源企 业的安全保 障和信息 安全的 保护,以及 能源系统 的安全 运行等内容。中 华 人 民 共 和 国 国 家安 全 法 该法律旨在维护国家安全,包
2、括网络安全和信息安全的维护。能源企业作为关键基础设施的一部分,需要履行国家安全法规定的安全保护责任。关 键 信 息 基 础 设 施 安全 保 护 条 例 要求 包括确保 能源供 应设施 的安全 保护,建 立健全 的能源 信息系 统安全管 理制度,报告 和应急 处理安全 事件。能源企 业需采 取必要的 安全措 施,保 障能源 供应的连 续性、信息安 全和运 行稳定。这些要 求旨在 确保能 源企业作 为关键 信息基 础设施 的安全,防止安 全事件 对能源 供应和信息 系统造成损害,提高 能源企业 的网络 安全和 信息安 全水平。国务院2021年9月7/标准指引01三项基本原则:以关键业务为核心的整
3、体防控以风险管理为导向的动态防护以信息共享为基础的协同联防六大安全保护环节:从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置这六方面细化了关键信息基础设施的安全保护要求信息安全技术 关健信息基础设施安全保护要求(GB/T 39204-2022)要求:信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)要求:1.网络安全加强网络访问控制、实施数据加密传输、建立数据备份和恢复机制、加强网络设备防护等。对重要的网络信息系统要进行安全评估和测试。2.数据安全数据安全保障体系,包括数据备份和恢复、加密存储、数据传输加密等措施。3.信息系统安全信息系统安全体系,包括加强系统
4、访问控制、完善安全审计机制、加强系统漏洞管理、对系统进行风险评估和测试等措施。4.应用系统安全应用系统安全体系,包括加强应用系统访问控制、加强应用系统漏洞管理、加强应用系统数据安全等措施。对于重要的应用系统要进行安全评估和测试。5.人员安全人员安全保障体系,包括实施安全培训、加强人员管理、加强人员身份认证等措施,确保人员安全。6.物理安全物理安全保障体系,包括加强物理访问控制、加强设备安全防护、加强设备风险评估等措施。7.管理制度管理制度,包括制定信息安全管理制度、加强安全意识教育、制定安全事件应急预案、加强安全审计等措施,确保信息安全。 防止电力自动化系统事故19.2 防止电力监控系统网络安
5、全事故19.3 防止电力通信网事故19.4 防止信息系统事故2023年3月国家能源局发布防止电力生产事故的二十五项重点要求(2023版)第19章 防止电力自动化系统、电力监控系统网络安全、电力通信网及信息系统事故的重点要求 国家金融监督管理总局 联合发布了关于促进网络安全保险规范健康发展的意见。其中提到,面向电信和互联网、能源、金融、医疗卫生等重点行业,围绕网络安全与信息技术产品服务供给侧和需求侧两类主体,充分发挥网络安全产业、网络安全保险相关联盟协会等作用,开展网络安全保险可推广的网络安全保险服务模式,促进网络安全保险推广应用。*案例&解决方案02责任划分案例&解决方案 Windtechni
6、k AG、Nordex SE、Enercon GmbH)遭网络攻击后,部分运营业务被迫中断,数千台风力涡轮机的远程控制系统直接瘫痪,其中一家还不得不关闭了IT系统。4月中旬,专门从事风力涡轮机维护的Deutsche Windtechnik AG公司遭遇网络攻击,该公司表示,攻击事件发生之后,德国约2000台风力涡轮机的远程控制系统瘫痪一天左右。涡轮机制造商Nordex SE表示,他们在3月31日遭受的网络攻击事件导致IT系统被迫关闭。曾宣布支持俄罗斯的Conti勒索软件团伙在事后放话称,对此次攻击事件负责。另一家涡轮机制造商Enercon GmbH提到,他们在今年2月也同样遭受到了网络攻击,攻
7、击破坏公司共5800台风力涡轮机的远程控制系统。网络攻击不仅仅是网上的新闻或其他人的故事,随着世界局势的不断变化,任何企业都有可能会面临这些问题,若不及时防范于未然,我们都可能成为网络攻击和勒索软件的牺牲品。关键词:系统瘫痪、营业中断据多家美国媒体报道,今年5月美国新能源汽车制造商特斯拉曾发生一起大规模数据泄露事件。包括员工个人信息在内的大量保密信息以及客户投诉记录在这次事件中被流出。德国商报当时仍披露了这次信息泄露中的部分情况。该报称,被泄露的信息数据量多达100G,里面不仅有大量在职员工和前员工的个人信息(含姓名、住址、电话、电邮、薪资)包括特斯拉老板马斯克自己的社保号码也在其中,也有客户
8、的银行信息等个人信息,还有2400条对特斯拉车辆突然加速问题的客户投诉,以及1500条对刹车问题的投诉等等。关键词:网络安全、隐私泄漏 络 安 全 保 险解 决 方 案事故可能造成的后果信息安全数据泄露网络欺诈业务中断监管调查舆情危机建议保障范围网络安全和隐私责任数据损失恢复事故响应费用网络勒索损失营业中断损失网络欺诈损失社会工程学犯罪损失调查&减损费用法律诉讼 SolarWinds 事件。攻击者使用恶意软件修改了供应商软件的签名版本,然后他们利用这些恶意软件感染了 18,000 家私营企业和政府机构。一旦将其安装在目标环境中,病毒就会通过更大的攻击媒介传播。软件供应链攻击日益普遍,Gartn
9、er 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45%的组织将遭受一次或多次软件供应链攻击。新能源企业有两个明显特点:特点一,办公业务软件的安装量占比很高,高达39.8%,和政府机构的情况基本一样,远超其他行业;特点二,行业软件的使用比例相对较高,高达18.1%,仅次于金融行业,但比其他行业的占比要高得多。所以,能源行业应相对更加重点关注供应链安全。关键词:供应链攻击、网络安全、供应链攻击链路须提供安全可靠的网络设备和系统,确保其符合企业的网络安全要求和标准。供应商应确保其使用的网络设备(包括但不限于系统、软件及设备)没有漏洞、后门或不安全的配置,并及时安
10、装必要的安全补丁和更新,确保涉及企业的数据及信息存储的安全性。提高网络安全风险的防范意识及能力。企业供应商责任/企业供应链网络安全责任&风险02供应链网络安全风险1.供应商发生网络安全事件,导致其投保的且用于服务主体企业的自身计算机系统服务中断,致使主体企业服务中断或数据泄露。2.供应商发生网络安全事件后,通过计算机系统传导至主体企业,致使主体企业发生网络安全事件并导致服务中断或数据泄露。 的应急相应及追溯取证等安全技术服务投保企业购买网络安全保险可根据需要订阅安全服务购买专业安全服务提供保前评估,保中服务,协助理赔、定损等技术支撑服务保险公司赛保保 后保 中保 前包括实时监测,通过安全监控和检测技术,对投保企业网络进行持续监测,及时发现并应对安全事件,减少损失和影响。意识教育,帮助员工提升网络安全意识和网络安全风险防范能力等包括事件调查和恢复,可以协助企业进行安全事件的调查和溯源工作,协助恢复被破坏的系统和数据,舆情控制以及提供相关的法律和技术支持。包括风险评估、识别潜在威胁和漏洞,并提供相应的建议和解决方案。通过服务可以帮助建立全面的网络安全保护体系,降低网络安全风险,并在安全事件发生时提供及时的支持和应对措施。 企业直观了解企业的网络安全状态 You欢迎随时交流沟通:陈正明上海明瑞保险经纪有限公司