當(dāng)?shù)貢r(shí)間11月10日，Ponemon研究所和工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布的一份報(bào)告顯示，一次影響工業(yè)控制系統(tǒng)（ICS）或其他運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)的安全事故的平均成本約為300萬(wàn)美元，一些公司報(bào)告的成本超過(guò)1億美元。該報(bào)告基于美國(guó)波耐蒙研究所對(duì)600名IT、IT安全和OT安全從業(yè)人員進(jìn)行的調(diào)查數(shù)據(jù)。29%的受訪者承認(rèn)，他們的組織在過(guò)去兩年受到勒索軟件的攻擊，超過(guò)一半的人表示，他們平均支付的贖金超過(guò)50萬(wàn)美元。一些組織報(bào)告支付了超過(guò)200萬(wàn)美元。

　　ICS/OT勒索軟件贖金

　　近三分之二的受訪者表示，他們?cè)谶^(guò)去兩年中經(jīng)歷過(guò)ICS/OT網(wǎng)絡(luò)安全事件。最常見(jiàn)的原因是內(nèi)部人員疏忽，維護(hù)相關(guān)的問(wèn)題，或者IT和OT之間隔離不佳導(dǎo)致的IT安全事件后果“溢出”到OT網(wǎng)絡(luò)。

　　平均來(lái)說(shuō)，組織需要170天來(lái)發(fā)現(xiàn)一個(gè)事件，花66天來(lái)調(diào)查它，用80天來(lái)補(bǔ)救安全事件。根據(jù)一個(gè)六人小組檢測(cè)、調(diào)查和補(bǔ)救事故所需的總小時(shí)數(shù)計(jì)算，總?cè)斯こ杀窘咏?00萬(wàn)美元。再加上約200萬(wàn)美元的停機(jī)時(shí)間、法律成本、監(jiān)管罰款和設(shè)備更換成本，平均總成本約為300萬(wàn)美元。

　　在確認(rèn)發(fā)生事故的公司中，1%的公司表示ICS/OT事故的總成本超過(guò)1億美元，2%的公司報(bào)告成本在1000萬(wàn)美元至1億美元之間?？傮w而言，13%的受訪者表示，這起事件讓他們損失了100多萬(wàn)美元。

　　由Dragos和Ponemon發(fā)布的這份報(bào)告聚焦于IT和OT團(tuán)隊(duì)之間的“文化鴻溝”，以及它對(duì)他們確保IT和OT環(huán)境安全能力的影響。

　　一半的受訪者認(rèn)為安全、IT和工程師之間的文化差異是IT和OT團(tuán)隊(duì)協(xié)作的主要挑戰(zhàn)。超過(guò)40%的受訪者還提到了技術(shù)差異和對(duì)工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí)差異。

　　最大的安全風(fēng)險(xiǎn)和發(fā)生事件的原因

　　組織中最大的安全風(fēng)險(xiǎn)排名中，最大的仍然是業(yè)務(wù)連續(xù)性的擔(dān)憂，其次是合規(guī)性風(fēng)險(xiǎn)，第三是存在有漏洞的OT設(shè)備。

　　發(fā)生網(wǎng)絡(luò)安全事件的主要原因方面：內(nèi)部人員的疏忽是排名第一的原因。

　　調(diào)查還確定了其他幾個(gè)問(wèn)題：

　　C級(jí)高管（CEO、CTO、CSO等）和董事會(huì)不定期被告知其ICS/OT網(wǎng)絡(luò)安全計(jì)劃的效率、有效性和安全性；

　　許多高管對(duì)OT環(huán)境的風(fēng)險(xiǎn)和威脅缺乏認(rèn)識(shí)，導(dǎo)致資源配置不足；

　　OT安全的報(bào)告關(guān)系和問(wèn)責(zé)制結(jié)構(gòu)不合理，阻礙了OT和ICS網(wǎng)絡(luò)安全的投資；

　　在許多組織中，ICS/OT的網(wǎng)絡(luò)安全成熟度水平是不夠的。

　　結(jié)論和建議

　　基于這項(xiàng)研究，組織可以通過(guò)彌合IT和OT文化鴻溝來(lái)加強(qiáng)其ICS和OT環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)。

　　創(chuàng)建IT和OT的跨職能團(tuán)隊(duì)，以彌合文化鴻溝。雖然需要不同的控制和優(yōu)先級(jí)，但是組織應(yīng)該有一個(gè)統(tǒng)一的安全策略來(lái)保護(hù)IT和OT環(huán)境。

　　這些跨職能團(tuán)隊(duì)的首要任務(wù)應(yīng)該是向C級(jí)高管和董事會(huì)通報(bào)ICS/OT網(wǎng)絡(luò)安全計(jì)劃的效率、有效性和安全性。

　　根據(jù)研究，大多數(shù)組織沒(méi)有與董事會(huì)定期舉行會(huì)議來(lái)討論諸如保護(hù)ICS和OT環(huán)境的安全保障措施、網(wǎng)絡(luò)安全事件對(duì)底線的影響等重要話題，以及采取什么樣的最佳實(shí)踐來(lái)保護(hù)組織的OT基礎(chǔ)設(shè)施、高價(jià)值資產(chǎn)和知識(shí)產(chǎn)權(quán)。

　　跨職能團(tuán)隊(duì)還應(yīng)制定應(yīng)對(duì)網(wǎng)絡(luò)安全事件的事件響應(yīng)計(jì)劃，并定期審查該計(jì)劃。

　　確保有足夠的預(yù)算和人員，能夠提高發(fā)現(xiàn)和維護(hù)OT網(wǎng)絡(luò)中任何地方的所有資產(chǎn)的能力。

　　由于OT網(wǎng)絡(luò)安全的獨(dú)特性質(zhì)，復(fù)制和粘貼適用于IT的網(wǎng)絡(luò)安全計(jì)劃顯然是行不通的。一個(gè)工業(yè)網(wǎng)絡(luò)安全計(jì)劃必須考慮到不同行業(yè)組織面臨的不同任務(wù)、挑戰(zhàn)和威脅，針對(duì)具體的ICS環(huán)境規(guī)劃量身定制的網(wǎng)絡(luò)安全策略和工具。比如制定OT安全的路線圖、選擇合適的OT網(wǎng)絡(luò)安全工具、培養(yǎng)OT安全技能等等。