提高制造业OT、ICS网络安全意识的五个步骤

制造业网络安全不太为人所知，但可能比IT安全带来更大的财务、运营和安全风险。影响可能是灾难性的——从生产线中断到停电，到水质影响，到关键医疗用品可能受到污染。再加上人为安全因素，这些因素可能由制造过程的恶意更改引起，这可能使制造工厂的员工或邻居处于危险之中。

然而，在大大小小的公司中，有许多人了解这种威胁，并试图做出改变。他们试图向管理团队解释风险和潜在的解决方案。以下是提高组织运营技术(OT)或工业控制系统(ICS)网络安全意识的五种方法:

1. 提供易于理解的阅读，解释工业环境中网络威胁的可能风险和影响。Andy Greenberg的文章中提出了两个建议《连线》杂志petya对马士基的影响罗伯·史密斯和丽贝卡·贝瑞在《华尔街日报》关于进入美国电网的安全“后门”．如果想读得更久，可以试试Kim Zetter关于Stuxnet的《倒计时至零日》(Countdown to Zero Day)。
2. 将网络安全引入当前的规划工作。在几乎所有的工业或关键基础设施组织中，都有一系列的流程试图量化和优先考虑风险——从业务连续性计划到hazops计划。与其从一开始就试图创建一个完全独立的努力，不如让人们同意将网络作为这些演习的关键组成部分。这并不一定会让你得到一个完整的评估，但它可以提高你的意识，让你开始更深入的研究。
3. 将OT/ICS代表纳入网络安全领导团队。在许多组织中，首席信息安全官(ciso)和安全领导意识到了风险，但他们会受到流程控制或运营领导的阻碍。一个好的解决方案是将经验丰富、备受尊敬的控制系统领导者引入网络安全领导团队，让他们了解信息技术(IT)的安全风险，以便他们帮助将这些风险转化为OT环境。
4. 参与评估。显然，这需要预算和时间。好消息是，即使是一个非常小的、不昂贵的评估也能起到重要的作用。这是一种快速、廉价的方法，可以用硬数据来展示ICS/OT风险与组织中整体网络安全风险的对比。如果有更多的预算，你可以进行更全面的评估，但如果一开始预算很少，你也不需要受到阻碍。
5. 解释潜在的收入收益;不仅仅是成本。在许多情况下，新的法规更加强调网络安全。走在这些需求的前面将使组织能够潜在地节省成本，并在潜在的合同中领先于竞争对手。也许最明显的领域是国防工业基地，网络安全成熟度模型认证(CMMC)标准将很快生效。拥有适当流程和遵从性的公司将获得显著的收益。

正如他们所说，“承认自己有问题是康复的第一步。”以上的建议可以作为这一旅程的第一步。

-这篇文章最初出现在Verve工业的网站．神韵工业是CFE Media内容合作伙伴。加里·科恩编辑，CFE媒体与技术公司产品经理/高级编辑，gcohen@cfemedia.com．

原创内容可在verveindustrial.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。