工控企業每年花費的無效網路安全成本高達337萬元

E安全7月17日訊 雖然大多數工業組織機構認為已做好準備應對網路安全事件，但這種信心毫無根據。卡巴斯基實驗室發布的調查報告顯示，去年，工業控制系統（ICS）公司每秒就會經歷1至5起安全事件。工業組織機構平均每年花費的無效網路安全成本高達49.7萬美元（約合337萬元）。

新興工業4.0趨勢正讓全球工業組織機構將網路安全視為頭等大事，同時工業4.0也為ICS增加了新挑戰：包括IT和運營技術（OT）的融合，以及向外部提供商提供工業控制網路。為了更深入了解ICS組織機構如今面臨的問題和挑戰，卡巴斯基實驗室和Business Advantage組織今年2月至4月對359位工業網路安全從業人員進行了調查。

調查發現，ICS事件的現實與感知存在差距。83%的調查對象認為已做好準備應對OT/ICS事件，接受調查的一半公司過去十二個月經歷了1至5起安全事件，4%的公司經歷的安全事件超過6起。既然問題如此嚴峻，那麼這些組織機構的IT安全策略和保護措施應當作何改變，以便更有效保護關鍵業務數據和技術流程。

事件經驗：網路威脅就在身邊

ICS公司很清楚它們面臨的風險：74%的調查對象認為，基礎設施可能會遭遇網路安全攻擊。儘管調查對象對新威脅（例如針對性攻擊和勒索軟體）有很高的意識，但大多數ICS組織機構的最大痛點仍然是傳統惡意軟體，這是56%的調查對象最擔心的攻擊媒介，在這方面感知與現實相符，去年，受訪對象每秒都必須緩解傳統惡意軟體帶來的影響。

然而，員工的失誤和無意行為對ICS組織機構構成的威脅遠遠大於供應鏈、合作夥伴的失誤以及外部攻擊者帶來的破壞和物理破壞。但是，ICS組織機構最擔心的前三大威脅也包括外部攻擊者。

前三大事件經驗後果包括：

• 產品和服務質量受到影響；

• 專利或保密信息丟失；

• 以及生產減少或損失。

安全策略：從物理隔離到網路異常檢測

86%的調查組織機構已經制定並通過了ICS網路安全政策，旨在保護自身免受潛在完全事件影響。但事件經驗證明，網路安全政策還不夠。由於缺乏內部和外部IT安全專業知識，工業組織機構承認，缺乏ICS安全技能讓它們最頭疼。其原因在於，這說明工業組織機構並非一如既往地做好了打擊攻擊的準備，它們時常處於被攻擊的邊緣。有時，工業組織機構會被內部員工出賣。一名德國產品製造廠的ICS從業人員承認，內部威脅更危險。公司在全力防禦外部威脅，但威脅卻從內部產生。內部威脅源於內部員工，這通常毫無察覺。

令人寬慰的是，ICS從業人員採用的安全策略看起來十分有力。大多數公司已經放棄將物理隔離作為安全手段，而是採取綜合的網路安全解決方案。接下來12個月，一些調查對象計劃採用工業異常檢測工具並培訓員工的安全意識。但必須承認的是訪問組織機構工業控制網路的外部提供商加大了威脅面。

卡巴斯基實驗關鍵基礎設施保護負責人安德烈·蘇沃洛夫表示，IT和OT系統的互聯性引發了更多安全挑戰，需要董事會成員、工程師和IT安全團隊做好應對準備。他們需要深入了解威脅形勢，採取深思熟慮的保護措施，並提高員工意識。網路威脅就在身邊，最好做好萬全準備。

E安全註：本文系E安全獨家約稿，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！