通过安全，实现业务安全

不久前，一个石油平台矗立在墨西哥湾的海浪中，钻井平台上的工人和离岸人员都不知道，船上的恶意软件将该设施变成了一个潜在的浮动定时炸弹。

恶意软件通过卫星和USB驱动器下载，使计算机网络瘫痪，使钻井平台失去活力，在一段时间内无法执行任何任务。

在工人们修复了被锁住的系统后，钻井平台最终恢复了生产，但后来发现一种蠕虫病毒正在淹没他们的网络。如果这次事件是有针对性的攻击，钻井平台可能会持续出现重大问题。

有了对石油平台、炼油厂或管道网络等设施的足够了解，使用分布式恶意软件的网络攻击可能会导致物理破坏和严重的收入损失。

目前还无法解释意外停机给石油公司造成了多少美元的损失。在当今紧张的经济形势下，无论大小公司，都不能因为任何安全事故而损失这么多钱。

正常运行时间仍然至关重要

意外停机的成本只是向管理层展示在采用可靠的安全和安全程序背后有一个可靠的业务主张的一个例子。在当今的行业中，安全和保障不仅仅是防止事故或坏人的保险政策，而是保持网络和系统正常运行、生产和盈利的业务推动者。

施耐德电气工业自动化安全行业经理Farshad Hendi表示:“保险理由并不总是有效。”“人们会说，我在这家工厂工作了15年，我们从未发生过事故。你在15年里确实没有发生过事故，但这并不意味着你明天不会发生事故。正常运行时间和运行稳定性很快就会引起人们的共鸣。如果你的工厂停产一个星期，你可以很快确定成本，你可以很快确定我需要投入多少投资，以及我将获得多少收益。”

实际上，在谈论安全或安保时，用户需要考虑诸如提高操作效率、减少检测事件的时间和预防回报等指标。

但是，“等一下，”一位高级经理可能会说，“我们以前从未受到过打击，所以我为什么要为不能产生收入的东西买单呢?”简单的答案是，安全和保障可以带来丰厚的回报。

“这是一场有趣的对话，”施耐德电气北美网络安全工业自动化经理约书亚·卡尔森(Joshua Carlson)表示。“我们面临的挑战是让用户明白，我们不仅仅是在研究风险模型，然后计算出概率。就网络安全而言，这不是会不会发生的问题，而是何时发生的问题。问题在于，你什么时候会发生事故，你会为此付出多少代价?”

成熟vs动态

多年来，安全已经发展到制造商认为安全第一。但安全是完全不同的东西。随着其不断变化的动态力量，它不再是关于强化系统以防止坏人进入，它现在是关于在任何给定时间了解系统内发生的情况。如果高级经理认为攻击没有发生，那就再想想。

看看2014财年(FY)的数据，工业控制系统网络应急响应小组(ICS-CERT)收到并响应了资产所有者和行业合作伙伴报告的245起事件。2014年，能源行业再次领先其他行业，报告的事故最多，为79起(32%)，其次是关键制造业，为65起(27%)。在报告给ICS-CERT的所有事件中，55%涉及高级持续性威胁(APT)或复杂的攻击者。

虽然报告给ICS-CERT的数字可能看起来很低，但实际上，绝大多数公司并不报告事件，而是将攻击的消息保留给自己。

当谈到安全问题时，美元和美分的数字会让人麻木，因为根据化学过程安全中心(CCPS)的一份报告，在美国，重大工业事故平均每起造成8000万美元的损失。

集中精力可以节省开支

根据CCPS的统计数据，为了解决这个问题，如果一家公司在安全方面真的很聪明，专注于他们必须做的事情，保持警惕，并且是一家顶级组织，他们可以实现5%的生产力增长。此外，采用可靠的安全计划的公司可以减少3%的生产成本，减少5%的维护成本，减少20%的保险费用，减少1%的资本预算。

波耐蒙研究所(Ponemon Institute)对11个国家350家公司进行的一项研究显示，在安全领域，成本持续上升，数据泄露的平均综合成本从去年的350万美元上升到380万美元，自2013年以来，数据泄露的总成本增加了23%。

此外，报告称，恶意攻击平均需要256天才能识别出来，而人为错误导致的数据泄露平均需要158天才能识别出来。

此外，波尼蒙研究所(Ponemon Institute)的另一项研究发现，每家美国大型公司每年因网络犯罪造成的损失平均为1,540万美元，比一年前的1,270万美元增加了19%。与六年前波耐蒙的第一次研究相比，这一数据也增长了82%。

确保你知道

卡尔森说:“回顾过去10年，不同行业发生的各种攻击，比如中东的Shamoon攻击(沙特阿美公司、RasGas公司和SAFCO公司遭受攻击，导致企业的35000多个硬盘被摧毁)，以及伊利诺伊州的水和废水攻击，影响到南部的石油和天然气炼油厂。”

“现在的情况是，很多组织都说网络安全非常昂贵。但是他们没有意识到的是，有人闯入一个组织，打开和关闭水泵的开关，直到水泵失效，现在突然之间你不能加工产品，你可能会造成环境问题，你可能会给周围地区的人带来健康问题，因为这些设备。”

“现在你正在关闭以更换硬件。那要花你多少钱?如果我早在泵故障之前就知道有未经授权的人访问系统，我所要做的就是投入这一小笔钱和一小段时间，我就可以防止这种情况发生。安全也是如此。30多年来，我们一直在安全方面做着这样的事情——这就是相似之处——我们如何知道压力过大，我们如何知道温度过高或过低，我们如何知道振动过高或过低?我们有这些机制来告诉我们目前的情况，如果情况太不正常，这就是反应，这是我从安全角度能做的，这可以防止爆炸，防止人们受伤，防止环境受到污染，最终是一个业务的推动因素，继续让你的业务比什么都没有的情况下做得更长，更安全。”

安全问题也要经过同样的讨论。

施耐德电气(Schneider Electric)工业自动化高级营销总监史蒂夫•埃利奥特(Steve Elliott)表示:“安全不仅仅是合规，它还是为企业提供一些回报的一种方式。”“这是关于正常运行时间、连续性、运营时间的问题，它仍然是一个威胁，所以它不仅仅是合规问题，也不仅仅是保险费问题，我们如何将其作为一种创收手段?”

有效的工具

你如何证明安全保障带来了积极的、有利可图的回报?

施耐德电气工业自动化EMEA网络安全经理Jay Abdallah表示:“我们现在将安全视为运营生命周期的一部分，尤其是在我们谈论关键基础设施时。“我们看到了诸如性能监控功能之类的东西，可以根据可用的统计数据主动查看公司何时会出现停机。”从安全的角度来看，关注现场安全功能的状态监测和管理可以提供帮助。

施耐德电气工业自动化TMC业务发展部Sven Grone表示:“我开发了一个小型投资回报率(ROI)计算器，它有一个问卷，我们会向用户询问一些有关指标的基本问题。”“我们询问你们的流程和实践，完成某个项目需要多长时间。然后我们向他们展示解决方案，我们可以在0.01倍的x中完成，我们在一系列与功能安全管理相关的活动中做到这一点。最后，我们计算了一些数字，说如果你的工厂每天有500万美元的收入流，一个工程师每小时的成本是150美元，而这个系统的投入是20万美元，我们可以在三个月内向你展示投资回报。然后，用户可以使用具有自己指标的工具，并将其展示给管理层，以证明成本的合理性。”

无论是投资回报率计算器还是占卜板，用户都可以查看他们想要的技术，但他们也需要查看与网络安全事件风险相关的因素。网络安全事件的影响可能会对组织产生重大的负面影响，影响声誉，并可能对公司或设施造成财务影响。问问塔吉特(Target)、家得宝(Home Depot)或索尼(Sony)就知道了。甚至是“夜龙”的受害者，在两年多的时间里，攻击者潜入石油公司的系统，窃取信息，包括与油气田勘探和投标谈判相关的财务文件，以及油气田生产监控和数据采集(SCADA)系统的操作细节。它值多少钱?

如果公司或设施出现财务信息、环境或安全损失的风险，公司或设施可能会受到罚款、处罚或诉讼的经济打击。

威胁级别和成本

无论是重大的网络攻击、安全事故还是下载到海湾石油钻井平台上的恶意软件，都有商业理由表明，拥有正确的安全和安保计划将使企业更高效、更高效地运行。

施耐德电气(Schneider Electric)工业自动化全球现代化主管纳西尔•蒙德(Nasir Mundh)表示:“威胁级别正在变化，每关闭一次，成本就会增加。”“因为工厂变得越来越复杂，生产过程也越来越复杂，以前人们只能从原料中得到一种或两种产品，现在他们可以从原料中得到多种衍生物。”

随着复杂性的增加，关停每一天的风险都在增加。每关闭一个小时，成本就变得越来越高。

Mundh说:“用户为确保系统安全或使其更安全而投入的投资与他们可能遇到的任何关闭相比是微不足道的，这可能不会导致灾难，但仍然会造成经济损失。”“通过安装这些防护措施，如果你能防止一次关闭，那将是巨大的节省。”

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。Chris Vavra编辑，CFE Media制作编辑，控制工程，cvavra@cfemedia.com。

在线额外

请参阅下面ISSSource关于网络安全的其他故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。