公司需要重新评估他们的网络物理安全风险
首席财务官(cfo)和审计委员会需要彻底重新考虑网络物理安全风险对他们的组织意味着什么。
由于勒索软件即服务的创新商业模式,通过物理过程控制和不断发展的网络保险市场,对脆弱信息技术(IT)系统的依赖从根本上增加,这意味着每个行业组织都需要重新评估其风险矩阵,以考虑这些网络物理安全系统“黑天鹅”事件,它可能更多的是灰色,而不是真正的黑色。
大约18个月前,Gartner分析师开始将运营技术(OT)或工业控制系统(ICS)网络安全称为“网络物理”安全。对于很多人来说OT和ICS系统然而,网络物理听起来像是营销人员为了让它们听起来很酷而创造的流行词。没有一个运营工厂、运输系统或输电网的人会把他们的工作称为“网络物理工程”。但现实是殖民地的管道,Molson Coors过去一年里发生的另外30或40起工业勒索软件事件清楚地表明,这个术语恰当地描述了风险。
无论攻击者是否破坏了OT系统,其影响都是关闭制造流程。在某些情况下,这是出于对恶意软件可能传播并造成更大破坏的充分谨慎的自我强加。在其他情况下,这是由于运营依赖许多传统定义为it的系统来有效生产——供应链连接、定价和收入收集、工资等。事实上,即使没有技术意义上的it - ot融合,从业务意义上来说它已经存在了。工业企业中的IT威胁可能会产生操作上的影响。因此,使用“网络物理”一词比“OT”更合适。
现实情况是,网络实体安全风险的增长速度比董事会或首席财务官(cfo)意识到的要快得多,他们可能已经重置了大多数行业组织的风险矩阵,或许他们还没有意识到这一点。审计和风险委员会和首席财务官定期审查公司当前的风险和新出现的威胁。气候变化带来的新风险、世界各地不断演变的恐怖主义威胁和核心网络安全在过去十年变得更加普遍。然而,在过去12个月里,网络威胁业务模式创新、网络保险成熟度和IT-OT融合等不断变化的结构性风险板块,已经从根本上改变了大多数行业组织的风险状况,并将在未来两到三年继续这样做。
网络物理威胁商业模式创新
9/11委员会的调查结果之一是,导致美国防备不足的一个因素是缺乏想象力攻击者的创新能力。这在网络物理系统的世界中是绝对正确的。与工业组织面临的大多数其他威胁不同,网络物理安全威胁不断创新,试图找到伤害人们的新方法。气候变化不会让事情变得更糟。飓风不会发明新的“商业模式”来让风刮得更厉害。然而,威胁行动者专门为了造成伤害而创新。
这种创新正在快速加速。在2021年5月1日之前,大多数行业首席财务官和审计委员会主席可能都不知道Darkside或“勒索软件即服务”这个词。现在这是每个董事会的议程。但这只是一种新的商业模式。现实情况是,网络犯罪行业正在形成和不断改革,寻找新的赚钱方式,并可能造成社会影响时,由正确的群体支付。
鉴于现有的个人信息供应,随着个人信息价格的下降,新的价值创造形式出现了,如勒索软件、数据泄露勒索、知识产权盗窃等。这些都是利用攻击工具赚钱的方法。诸如Darkside、REvil等平台的出现,使第三方能够进入组织,或有角度分享利润。
在过去10年左右的时间里,工业组织(除了电力公司和一些关键设施)一直处于监视之下,因为他们的利润集中在个人信息盗窃上。然而,随着赎金、勒索和其他收入模式的出现,情况已经发生了变化。产业组织现在是首要目标。生产产品或必须使用生产系统提供服务的公司恢复数据的紧迫性要大得多。因为他们历史上没有站在前线,他们的防御能力比类似规模和位置的金融或零售公司要低,所以网络物理安全必须成为行业组织风险委员会更关注的焦点。
IT-OT收敛
的快速加速IT-OT收敛这意味着,随着新的商业模式在更大程度上针对它们,行业组织可能会增加它们的风险。IT-OT融合不是一种选择。它已经存在于几乎所有的产业组织中。如上所述,网络物理系统与从账单到供应链到人力资源的IT系统交织在一起。然而,工业4.0和类似的倡议正在增加这些连接,所有这些都是为了高效和创新,因此对网络物理系统本身的风险。
在大多数组织中,气隙的概念从未在实践中真正出现过。但在许多工业过程中,关键过程在工厂或生产线中是自给自足的。先进的制造、云分析等增加了连接和入侵的风险。
最近的几个客户案例突出了这一增长趋势:
- 风电场连接到供应商的云基础设施,以实现对涡轮机性能的高级分析,然后通过入站连接进行更改,以调整涡轮机的最佳性能。
- 原始设备制造商(OEM)供应商包括控制器背板或独立的LTE或5G调制解调器,以使流程数据直接流到云,不受来自云的入站路径的限制。
- 远程的、以前串行连接的设备和线路的连接性,以提高正常运行时间和流程可见性,以增加预测信息,减少停机。
所有这些以及成千上万的其他用例都可以获得巨大的投资回报(ROI),但同时也在创建或扩展网络物理系统威胁。
网络保险重置
三年前,Verve团队成员会见了一位保险高管,这位高管抱怨市场效率低下,因为新进入者对网络风险的定价低于他认为的真实风险率,原因是缺乏可靠的历史索赔数据。三年后,随着申领人数数据开始回升,市场已大幅走强。这使得一些客户增加了50%,在未来两到三年内可能还会增加。
对于行业首席财务官以及审计和风险委员会来说,现实情况是,保险公司现在将对其承保的网络实体系统风险提出更多问题。殖民管道这只是其中一个(尽管非常著名)事件。网络保险公司从索赔数据库中还了解到数百起,包括已支付的赎金,以及发生的恢复和事件响应费用。他们会开始期望同样的水平OT系统中的安全管理与IT系统中的安全管理一样.他们还希望了解这些系统如何相互作用,以便即使威胁没有跨越IT系统攻击的操作影响的边界。
此外,安盛在欧洲已经宣布,他们将不再覆盖支付勒索软件的费用,以降低勒索软件对攻击者的吸引力。其结果可能意味着赎金保险的匮乏。这种转变可能会导致行业组织需要对自己的风险进行更深入的评估,以了解保险的规模和内容。
这三个因素正在从根本上改变行业组织的风险矩阵。这不是像气候变化或劳动力老龄化那样的不断演变的威胁。这是一场风险革命,可能会对财务表现以及供应链合作伙伴的信任产生巨大影响。想象一下,一家“准时制”工厂遭到勒索软件攻击,连续六周瘫痪,对公司声誉造成的影响。网络物理系统的弹性甚至可能成为一种战略优势。
工业公司的董事会和首席财务官需要将此作为优先事项,重新评估当前的网络物理安全威胁风险,并完善战略,从战略上降低该风险。
