ICS网络不安全:不是如果，而是什么时候

黑客每天都在敲工业控制系统设施的门，不管你选择承认与否。当有人让他们进来时，你和你的组织、客户、合作伙伴和供应链将如何回应?

一些专家将今天的网络安全成熟度水平等同于OSHA之前的工厂车间安全水平。忽视风险并不会让风险消失。获得网络安全帮助，深入制定多层次的防御计划和政策，投资技术以促进设计防御，与员工讨论，并鼓励他们内部讨论。2015年2月在佛罗里达州奥兰多举行的ARC论坛上，网络安全建议源源不断。在多次会议和问答环节。

无知不是答案

通用电气首席制造科学家Stephen Biller博士在谈到物联网和网络安全时表示:“公司别无选择。他们必须投资物联网;否则，他们就会破产。什么都不做的风险要高得多。网络安全必须达到最高水平。”

许多网络安全技术是可用的。举几个ARC论坛上讨论的例子:

• 思科、壳牌和横河宣布合作为壳牌约50个设施提供网络安全解决方案。
• 基岩自动化公司通过设计自动化系统来进行防御，该系统采用了加固的背板、I/O模块、电源和可编程逻辑控制器(PLC)。
• Skkynet推出了其安全云服务，以实现与多个用户的双向监控、集成和数据共享，以及在web浏览器中实时访问选定的数据集。该服务可以安全地处理每个客户端每秒超过50,000次的数据更改。

但是，如果你认为技术投资足够的话，再想一想。

人们信任

计算机犯罪和欺诈通常通过社会工程进入;FBI网络部门特工大卫·e·尼尔森表示，最薄弱的环节往往是电脑背后的人。他的部分工作是亲自、通过电话和通过计算机帮助公司进行入侵检测测试;85%的情况下他是成功的。还不如《犯罪现场调查:网络犯罪》精彩

在这样的测试中，纳尔逊经常从接待员开始，比如:“我是IT部门的乔。我上周刚来，一直和拉里·史密斯一起工作。昨晚我们给电脑打了补丁，你的电脑不知道为什么没修好。我会给你发一个补丁链接，你可以输入你的用户名和密码，这样我们就可以马上解决这个问题。”尼尔森说，虽然这听起来很简单，但通常都很有效。

另一个有用的策略是:“作为威瑞森的员工，我可以去公司的任何地方，永远不会被质疑。”如果他是，伪造的身份证和可信的故事就很容易编出来。

漏洞评估:从来没有?!

尽管进行了所有的讨论和教育，但我们似乎还没有准备好应对网络安全威胁。最近在www.globalelove.com上进行的一项民意调查问道:“您所在的组织最近一次进行网络安全漏洞评估是什么时候?”大约一半的人(截至2月21日)说，“在过去6个月内”，但有三分之一的人说，“从来没有”，10%的人说，“在过去2年内”，6%的人说，“在过去一年内”。

您组织中的人员是否在讨论网络安全?麻省理工学院斯隆管理学院(MIT Sloan School of Management)首席研究科学家迈克尔•西格尔(Michael Siegel)建议，企业跟踪并承认网络安全漏洞，以提高人们的意识，就像工业安全一样。

当网络安全漏洞发生在您身上时，您的响应计划准备好了吗?

——Mark T. Hoske, CFE Media的内容经理控制工程，mhoske@cfemedia.com．

在线额外

了解更多信息，请访问控制工程网络安全研究www.globalelove.com/ce-research．

这篇在线文章包含更多来自2015年ARC论坛的网络安全建议、技巧和讨论，链接如下。

控制工程网络安全通道

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。