當?shù)貢r間11月10日，Ponemon研究所和工業(yè)網(wǎng)絡安全公司Dragos發(fā)布的一份報告顯示，一次影響工業(yè)控制系統(tǒng)（ICS）或其他運營技術(shù)（OT）系統(tǒng)的安全事故的平均成本約為300萬美元，一些公司報告的成本超過1億美元。該報告基于美國波耐蒙研究所對600名IT、IT安全和OT安全從業(yè)人員進行的調(diào)查數(shù)據(jù)。29%的受訪者承認，他們的組織在過去兩年受到勒索軟件的攻擊，超過一半的人表示，他們平均支付的贖金超過50萬美元。一些組織報告支付了超過200萬美元。

　　ICS/OT勒索軟件贖金

　　近三分之二的受訪者表示，他們在過去兩年中經(jīng)歷過ICS/OT網(wǎng)絡安全事件。最常見的原因是內(nèi)部人員疏忽，維護相關(guān)的問題，或者IT和OT之間隔離不佳導致的IT安全事件后果“溢出”到OT網(wǎng)絡。

　　平均來說，組織需要170天來發(fā)現(xiàn)一個事件，花66天來調(diào)查它，用80天來補救安全事件。根據(jù)一個六人小組檢測、調(diào)查和補救事故所需的總小時數(shù)計算，總?cè)斯こ杀窘咏?00萬美元。再加上約200萬美元的停機時間、法律成本、監(jiān)管罰款和設備更換成本，平均總成本約為300萬美元。

　　在確認發(fā)生事故的公司中，1%的公司表示ICS/OT事故的總成本超過1億美元，2%的公司報告成本在1000萬美元至1億美元之間?？傮w而言，13%的受訪者表示，這起事件讓他們損失了100多萬美元。

　　由Dragos和Ponemon發(fā)布的這份報告聚焦于IT和OT團隊之間的“文化鴻溝”，以及它對他們確保IT和OT環(huán)境安全能力的影響。

　　一半的受訪者認為安全、IT和工程師之間的文化差異是IT和OT團隊協(xié)作的主要挑戰(zhàn)。超過40%的受訪者還提到了技術(shù)差異和對工業(yè)網(wǎng)絡風險的認識差異。

　　最大的安全風險和發(fā)生事件的原因

　　組織中最大的安全風險排名中，最大的仍然是業(yè)務連續(xù)性的擔憂，其次是合規(guī)性風險，第三是存在有漏洞的OT設備。

　　發(fā)生網(wǎng)絡安全事件的主要原因方面：內(nèi)部人員的疏忽是排名第一的原因。

　　調(diào)查還確定了其他幾個問題：

　　C級高管（CEO、CTO、CSO等）和董事會不定期被告知其ICS/OT網(wǎng)絡安全計劃的效率、有效性和安全性；

　　許多高管對OT環(huán)境的風險和威脅缺乏認識，導致資源配置不足；

　　OT安全的報告關(guān)系和問責制結(jié)構(gòu)不合理，阻礙了OT和ICS網(wǎng)絡安全的投資；

　　在許多組織中，ICS/OT的網(wǎng)絡安全成熟度水平是不夠的。

　　結(jié)論和建議

　　基于這項研究，組織可以通過彌合IT和OT文化鴻溝來加強其ICS和OT環(huán)境的網(wǎng)絡安全態(tài)勢。

　　創(chuàng)建IT和OT的跨職能團隊，以彌合文化鴻溝。雖然需要不同的控制和優(yōu)先級，但是組織應該有一個統(tǒng)一的安全策略來保護IT和OT環(huán)境。

　　這些跨職能團隊的首要任務應該是向C級高管和董事會通報ICS/OT網(wǎng)絡安全計劃的效率、有效性和安全性。

　　根據(jù)研究，大多數(shù)組織沒有與董事會定期舉行會議來討論諸如保護ICS和OT環(huán)境的安全保障措施、網(wǎng)絡安全事件對底線的影響等重要話題，以及采取什么樣的最佳實踐來保護組織的OT基礎(chǔ)設施、高價值資產(chǎn)和知識產(chǎn)權(quán)。

　　跨職能團隊還應制定應對網(wǎng)絡安全事件的事件響應計劃，并定期審查該計劃。

　　確保有足夠的預算和人員，能夠提高發(fā)現(xiàn)和維護OT網(wǎng)絡中任何地方的所有資產(chǎn)的能力。

　　由于OT網(wǎng)絡安全的獨特性質(zhì)，復制和粘貼適用于IT的網(wǎng)絡安全計劃顯然是行不通的。一個工業(yè)網(wǎng)絡安全計劃必須考慮到不同行業(yè)組織面臨的不同任務、挑戰(zhàn)和威脅，針對具體的ICS環(huán)境規(guī)劃量身定制的網(wǎng)絡安全策略和工具。比如制定OT安全的路線圖、選擇合適的OT網(wǎng)絡安全工具、培養(yǎng)OT安全技能等等。