當(dāng)?shù)貢r間11月10日，Ponemon研究所和工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布的一份報告顯示，一次影響工業(yè)控制系統(tǒng)（ICS）或其他運營技術(shù)（OT）系統(tǒng)的安全事故的平均成本約為300萬美元，一些公司報告的成本超過1億美元。該報告基于美國波耐蒙研究所對600名IT、IT安全和OT安全從業(yè)人員進(jìn)行的調(diào)查數(shù)據(jù)。29%的受訪者承認(rèn)，他們的組織在過去兩年受到勒索軟件的攻擊，超過一半的人表示，他們平均支付的贖金超過50萬美元。一些組織報告支付了超過200萬美元。

　　ICS/OT勒索軟件贖金

　　近三分之二的受訪者表示，他們在過去兩年中經(jīng)歷過ICS/OT網(wǎng)絡(luò)安全事件。最常見的原因是內(nèi)部人員疏忽，維護(hù)相關(guān)的問題，或者IT和OT之間隔離不佳導(dǎo)致的IT安全事件后果“溢出”到OT網(wǎng)絡(luò)。

　　平均來說，組織需要170天來發(fā)現(xiàn)一個事件，花66天來調(diào)查它，用80天來補救安全事件。根據(jù)一個六人小組檢測、調(diào)查和補救事故所需的總小時數(shù)計算，總?cè)斯こ杀窘咏?00萬美元。再加上約200萬美元的停機時間、法律成本、監(jiān)管罰款和設(shè)備更換成本，平均總成本約為300萬美元。

　　在確認(rèn)發(fā)生事故的公司中，1%的公司表示ICS/OT事故的總成本超過1億美元，2%的公司報告成本在1000萬美元至1億美元之間。總體而言，13%的受訪者表示，這起事件讓他們損失了100多萬美元。

　　由Dragos和Ponemon發(fā)布的這份報告聚焦于IT和OT團(tuán)隊之間的“文化鴻溝”，以及它對他們確保IT和OT環(huán)境安全能力的影響。

　　一半的受訪者認(rèn)為安全、IT和工程師之間的文化差異是IT和OT團(tuán)隊協(xié)作的主要挑戰(zhàn)。超過40%的受訪者還提到了技術(shù)差異和對工業(yè)網(wǎng)絡(luò)風(fēng)險的認(rèn)識差異。

　　最大的安全風(fēng)險和發(fā)生事件的原因

　　組織中最大的安全風(fēng)險排名中，最大的仍然是業(yè)務(wù)連續(xù)性的擔(dān)憂，其次是合規(guī)性風(fēng)險，第三是存在有漏洞的OT設(shè)備。

　　發(fā)生網(wǎng)絡(luò)安全事件的主要原因方面：內(nèi)部人員的疏忽是排名第一的原因。

　　調(diào)查還確定了其他幾個問題：

　　C級高管（CEO、CTO、CSO等）和董事會不定期被告知其ICS/OT網(wǎng)絡(luò)安全計劃的效率、有效性和安全性；

　　許多高管對OT環(huán)境的風(fēng)險和威脅缺乏認(rèn)識，導(dǎo)致資源配置不足；

　　OT安全的報告關(guān)系和問責(zé)制結(jié)構(gòu)不合理，阻礙了OT和ICS網(wǎng)絡(luò)安全的投資；

　　在許多組織中，ICS/OT的網(wǎng)絡(luò)安全成熟度水平是不夠的。

　　結(jié)論和建議

　　基于這項研究，組織可以通過彌合IT和OT文化鴻溝來加強其ICS和OT環(huán)境的網(wǎng)絡(luò)安全態(tài)勢。

　　創(chuàng)建IT和OT的跨職能團(tuán)隊，以彌合文化鴻溝。雖然需要不同的控制和優(yōu)先級，但是組織應(yīng)該有一個統(tǒng)一的安全策略來保護(hù)IT和OT環(huán)境。

　　這些跨職能團(tuán)隊的首要任務(wù)應(yīng)該是向C級高管和董事會通報ICS/OT網(wǎng)絡(luò)安全計劃的效率、有效性和安全性。

　　根據(jù)研究，大多數(shù)組織沒有與董事會定期舉行會議來討論諸如保護(hù)ICS和OT環(huán)境的安全保障措施、網(wǎng)絡(luò)安全事件對底線的影響等重要話題，以及采取什么樣的最佳實踐來保護(hù)組織的OT基礎(chǔ)設(shè)施、高價值資產(chǎn)和知識產(chǎn)權(quán)。

　　跨職能團(tuán)隊還應(yīng)制定應(yīng)對網(wǎng)絡(luò)安全事件的事件響應(yīng)計劃，并定期審查該計劃。

　　確保有足夠的預(yù)算和人員，能夠提高發(fā)現(xiàn)和維護(hù)OT網(wǎng)絡(luò)中任何地方的所有資產(chǎn)的能力。

　　由于OT網(wǎng)絡(luò)安全的獨特性質(zhì)，復(fù)制和粘貼適用于IT的網(wǎng)絡(luò)安全計劃顯然是行不通的。一個工業(yè)網(wǎng)絡(luò)安全計劃必須考慮到不同行業(yè)組織面臨的不同任務(wù)、挑戰(zhàn)和威脅，針對具體的ICS環(huán)境規(guī)劃量身定制的網(wǎng)絡(luò)安全策略和工具。比如制定OT安全的路線圖、選擇合適的OT網(wǎng)絡(luò)安全工具、培養(yǎng)OT安全技能等等。