當地時間11月10日，Ponemon研究所和工業網絡安全公司Dragos發布的一份報告顯示，一次影響工業控制系統（ICS）或其他運營技術（OT）系統的安全事故的平均成本約為300萬美元，一些公司報告的成本超過1億美元。該報告基于美國波耐蒙研究所對600名IT、IT安全和OT安全從業人員進行的調查數據。29%的受訪者承認，他們的組織在過去兩年受到勒索軟件的攻擊，超過一半的人表示，他們平均支付的贖金超過50萬美元。一些組織報告支付了超過200萬美元。

　　ICS/OT勒索軟件贖金

　　近三分之二的受訪者表示，他們在過去兩年中經歷過ICS/OT網絡安全事件。最常見的原因是內部人員疏忽，維護相關的問題，或者IT和OT之間隔離不佳導致的IT安全事件后果“溢出”到OT網絡。

　　平均來說，組織需要170天來發現一個事件，花66天來調查它，用80天來補救安全事件。根據一個六人小組檢測、調查和補救事故所需的總小時數計算，總人工成本接近100萬美元。再加上約200萬美元的停機時間、法律成本、監管罰款和設備更換成本，平均總成本約為300萬美元。

　　在確認發生事故的公司中，1%的公司表示ICS/OT事故的總成本超過1億美元，2%的公司報告成本在1000萬美元至1億美元之間。總體而言，13%的受訪者表示，這起事件讓他們損失了100多萬美元。

　　由Dragos和Ponemon發布的這份報告聚焦于IT和OT團隊之間的“文化鴻溝”，以及它對他們確保IT和OT環境安全能力的影響。

　　一半的受訪者認為安全、IT和工程師之間的文化差異是IT和OT團隊協作的主要挑戰。超過40%的受訪者還提到了技術差異和對工業網絡風險的認識差異。

　　最大的安全風險和發生事件的原因

　　組織中最大的安全風險排名中，最大的仍然是業務連續性的擔憂，其次是合規性風險，第三是存在有漏洞的OT設備。

　　發生網絡安全事件的主要原因方面：內部人員的疏忽是排名第一的原因。

　　調查還確定了其他幾個問題：

　　C級高管（CEO、CTO、CSO等）和董事會不定期被告知其ICS/OT網絡安全計劃的效率、有效性和安全性；

　　許多高管對OT環境的風險和威脅缺乏認識，導致資源配置不足；

　　OT安全的報告關系和問責制結構不合理，阻礙了OT和ICS網絡安全的投資；

　　在許多組織中，ICS/OT的網絡安全成熟度水平是不夠的。

　　結論和建議

　　基于這項研究，組織可以通過彌合IT和OT文化鴻溝來加強其ICS和OT環境的網絡安全態勢。

　　創建IT和OT的跨職能團隊，以彌合文化鴻溝。雖然需要不同的控制和優先級，但是組織應該有一個統一的安全策略來保護IT和OT環境。

　　這些跨職能團隊的首要任務應該是向C級高管和董事會通報ICS/OT網絡安全計劃的效率、有效性和安全性。

　　根據研究，大多數組織沒有與董事會定期舉行會議來討論諸如保護ICS和OT環境的安全保障措施、網絡安全事件對底線的影響等重要話題，以及采取什么樣的最佳實踐來保護組織的OT基礎設施、高價值資產和知識產權。

　　跨職能團隊還應制定應對網絡安全事件的事件響應計劃，并定期審查該計劃。

　　確保有足夠的預算和人員，能夠提高發現和維護OT網絡中任何地方的所有資產的能力。

　　由于OT網絡安全的獨特性質，復制和粘貼適用于IT的網絡安全計劃顯然是行不通的。一個工業網絡安全計劃必須考慮到不同行業組織面臨的不同任務、挑戰和威脅，針對具體的ICS環境規劃量身定制的網絡安全策略和工具。比如制定OT安全的路線圖、選擇合適的OT網絡安全工具、培養OT安全技能等等。