随着黑客变得更快、更有创造力,网络安全正迅速上升到工业部门董事会议程的重要位置。根据2021年IBM X-Force威胁情报指数,对操作技术(OT)——监测和控制关键工业资产的系统——的攻击在2018年至2019年间增加了2000%以上。随着OT与IT系统和工业物联网的联系越来越紧密,这种情况正在发生。
即使董事会和高管们曾经认为,他们可以选择实施足够的网络安全措施来遵守监管规定,但最近备受瞩目的勒索软件攻击正在促使他们改变心态[表1]。
即使是许多公司最强硬的董事会成员也意识到,网络攻击可能会造成数百万或数十亿美元的后果,并可能使基础设施瘫痪。”
挪威邮轮控股公司(NCL)企业技术运营副总裁兼首席信息安全官(CISO) Georgios Mortakis表示:“我在网络安全行业工作了20年,在过去5年里,人们的网络安全意识呈指数级增长。“2020/2021年的事件消除了人们对勒索软件和其他威胁非常严重的任何怀疑,如果它们仍然存在的话。即使是许多公司最强硬的董事会成员也意识到,网络攻击可能会造成数百万或数十亿美元的后果,并可能导致基础设施瘫痪。如果没有网络安全的基本基础,你可能会在一夜之间成为受害者。”
许多董事现在会问他们所在组织的实际安全状况,而不是问董事会的法定职责是否仅仅是在遵守法定法规方面履行。
Mortakis观察到:“各个行业的默认立场往往是确保每个人都在合规方面感到满意,然后继续下一年。然而,公司可能只是因为网络安全审计样本遗漏了一些东西。更不愿承担风险的高层管理人员开始问,‘合规是什么意思,如果发生了什么事,它能给我一张出狱卡吗?’,答案是‘不’。”
这种思维方式的转变是非常必要的,Gartner的研究表明,60%运营关键基础设施的公司在为OT和网络物理系统集成和优化网络安全方面仅处于成熟的最初阶段。1
不难看出,影响邮轮、管道或风电场等关键基础设施的网络攻击可能导致一场灾难。”
2017年至2020年期间,仅海运业对OT的网络攻击就增加了900%以上。2Gartner警告说,到2025年,网络攻击者将“武器化OT环境,成功地伤害或杀死人类”。3.挪威电力公司的Trond Solberg表示:“对OT的攻击已经产生了深远的影响,目前从网络攻击中恢复的平均成本约为420万美元。4众所周知,加班攻击不太频繁,但严重得多,最近的重大安全漏洞,如2021年5月美国殖民管道攻击,导致工业部门的公司领导者停下来,并质疑他们在保护、防御和从攻击中恢复方面的装备是否精良。”
“在Colonial Pipeline案例中,勒索软件仅限于公司的IT系统,但他们仍然关闭了管道6天,以防攻击可能到达OT并让犯罪分子获得管道控制。随着当今越来越多的工业运营基于网络物理系统,威胁和漏洞是双向的,不难看出影响邮轮、管道或风电场等关键基础设施的网络攻击可能导致灾难。”索尔伯格补充道。
随着董事会意识的提高,ciso和/或其他负责OT/IT的员工在建立、优先考虑和实现网络安全目标方面面临着越来越大的压力,而时间和预算总是受到限制。招聘对特定行业及其网络安全挑战有深刻理解和经验的外部领域专家可能具有挑战性,因为某些行业的此类专家数量有限。乐动官网网址对于邮轮公司这样的企业来说,压力还来自于船舶在港口的时间有限,无法进行任何网络安全审计,以及需要在船舶本身进行的OT/IT/通信更改。
在我看来,在网络安全方面使用模板方法是行不通的。你需要一个适合你工作的公司、环境和组织的量身定制的方法。”
莫塔基斯表示,公司内部团队的压力取决于首席信息安全官(CISO)或类似职位向高层管理人员和董事会传达的有关公司网络安全状况的信息:“这完全取决于你如何传达信息,你如何提出风险、影响、后果,以及你是否能表明这种情况不会发生在你的公司。我总是试图提供安全的风险,以及一个现实的、对环境和范围公平的补救计划。”
尽管每家公司都不一样,但在莫塔基斯看来,许多公司对网络安全采取了一种“不幸的”做法:“他们会问,‘我的邻居或同行在做什么?然后试着做同样的事情。在我看来,在网络安全方面使用模板方法是行不通的。您需要一种适合您所工作的公司、环境和组织的定制方法。我一直认为,量身定制的解决方案与决策者产生了积极的共鸣。”
面临这些挑战的公司通常会与外部顾问合作,以更快地建立所需的网络安全,或利用更大的安全社区的专业知识,这些社区更能保持更新,并获得跨公司和行业的经验。乐动官网网址通常情况下,这不是一个非此即彼的决定,莫塔基斯说:“我既在公司内部工作,也担任过外部顾问,我认为两者的结合是必要的。”
例如,一家公司的CISO需要内部技术诀窍,例如如何绘制OT/IT网络,例如,对于船舶来说,这在不同船舶级别之间有何不同?Mortakis建议,其他需要内部处理的问题包括漏洞评估、补救计划,以及公司的运营和网络安全团队如何协作。
“但有一个外部专家来补充和补充内部活动总是好的,”他补充说。“他们可以带来非常重要的制衡,以及对整体风险分类的新视角——与外部审计师看到和做的相比,内部的风险评估是如何进行的?”实现这一目标的关键是领导能力,以确保联合安全努力朝着商定的目标协调一致。你不能在内部完成所有事情,但要确保每个人都朝着同一个方向努力。”
一些ciso在定制和现货网络安全解决方案(OTS)之间还有另一种潜在选择。
根据Mortakis的说法,OTS可能适用于较小的环境或具有简单架构和操作的OT/IT网络:“这就像保险。您需要基本的覆盖范围,单个或组合OTS解决方案有时可以提供每个人都应该拥有的基本网络安全控制。但是,OT/IT环境变得越复杂、越定制、越庞大,OTS解决方案的局限性就越大。需要遵守监管增加了复杂性,如果发生企业收购,被收购公司将有自己的环境。”
Solberg说:“电力和公用事业公司在OT的网络安全方面处于领先地位,定制化的观点很合适。在Gartner的分析中,他们是最成熟的,这与我们的客户经验相匹配。有些公司甚至自己对OT的网络安全进行研究,我认为这是‘同类中最好的’,其中包括根据自己的环境和需求定制解决方案。”
在这个快速变化的网络安全环境中,DNV正在应对更多客户的询问,他们要求该公司在电力和公用事业、造船厂、石油和天然气、电信基础设施和海事方面的全面OT-IT网络安全专业知识和特定领域的支持。索尔伯格表示:“我们同时关注OT和IT,这意味着我们可以帮助客户看到全貌。显然,如果他们在OT或IT部门遭受网络攻击,并担心攻击可能会扩展到两者,这也很有用。”
Mortakis总结道:“现在有很多理论,但我寻找的是有经验的专业供应商,他们能说到做到。我选择DNV在运营方面与我合作的一个原因是,他们在OT网络安全评估方面非常专业。”
阅读更多挪威船级社网络安全服务
参考文献
DNV将您的行业专业知识与深厚的工程专业知识和安全最佳实践相结合,确保您的项目和运营的网络安全。
阅读DNV关于网络安全的更多信息 我们的网络安全服务 我们服务的行业 DNV的网络LDsports幸运28洞察