忽视网络风险对社会和你的底线是危险的

对于任何从事网络安全工作的人来说，几乎每个关键的基础设施行业在走向网络安全成熟的道路上都明显落后，这并不是什么新闻。在对网络风险的估计和对当前季度预算决策的短期思考之间，仍然存在着根本性的摩擦。安全专业人士一直预计，每一起新的网络事件，从Stuxnet到SolarWinds，都将为董事会和决策者敲响警钟，最终制定出与当前风险状况相称的适当网络预算。

尽管业界开始缓慢而不情愿地开始关注似乎每天都在发生的新一轮网络攻击，但长久以来，这些事件仅仅被视为背景噪音，而不是对支撑社会运行的基础设施的系统性威胁。网络安全投资不足带来的成本节约带来的即时满足比适当的网络监控和保护所需的投资更有吸引力，企业正越来越多地为这种短期想法付出代价。

在考虑信息技术(IT)网络安全时，敏感信息数据泄露的财务和社会后果很难量化，因此很难向董事会证明强有力的投资是合理的。然而，在操作技术(OT)中，攻击的财务成本更容易量化，包括生产停机时间、事件响应服务和资产替换。随着对OT基础设施的攻击在过去十年变得频繁，高管和董事会对网络风险的这种放松态度，在电力、食品、水处于危险之中，并且明显违反了保护组织底线的受托责任。

目前有多少高管考虑过网络风险，以及它为什么会失败

无论您是销售电力，汽车还是咖啡，行政承诺的每个业务决策都应最终完成三件事之一：

• 增加保证金/收入
• 减少成本
• 降低风险。

虽然这是对业务目标的一个过于简化的观点，但它是一个有用的构建，列出了创造或交付涉众价值的三个主要目标。如果你能增加收入或降低成本，你就能增加企业的现金流，使你能够投资于增长、员工或社区，或为投资者带来回报。如果你能降低风险，你就能提高未来现金流的稳定性，这在业务计划和连续性方面带来了明确的价值。

在决定和承诺实施一个强大的网络安全计划所需的投资时，高管们通常会默认第二项——降低成本。这个短期压力降低成本(特别是上市公司)导致组织对资本和文化支出应对这一威胁似乎并不足以他们“明显而现实的”,踢沿路和采用遵从性驱动的安全态势,直到为时已晚。

每次发生新的OT网络事件时，组织展示对其运营风险的心理体操真的令人印象深刻。当Industroyer将灯光关闭到基辅以上超过20万人时，组织声称它不适用，因为当我们的电网基础设施类似地脆弱时，“这不是美国”。When an unsophisticated actor attempted to poison the drinking water in Oldsmar, Fla., with dangerously elevated levels of Sodium Hydroxide, organizations claimed it was not applicable because “we’re more secure than Oldsmar”—as if upgrading past Microsoft Windows 7 and avoiding shared TeamViewer credentials was the gold standard for cybersecurity.

总是有另一个借口，而且在每一个新定制的借口后面都有另一个成功的妥协和攻击，直到我们达到了“足以遵守”的集体理解并不近。

数字转型和坏贸易管理人员正在制造

无论你选择的是数字转型、工业4.0还是工业物联网(IIoT)，让工业基础设施“智能化”以追求运营效率的过程已经进行了几十年。在2019冠状病毒病(COVID-19)期间，这一速度大幅加快，因为各组织由于在任何可能的地方进行远程工作的需求，要求对其基础设施进行更多的数字访问和可见性。虽然这些变化通过授权组织对生产和维护等流程进行数据驱动的改进，潜在地提高了运营效率，但它显著地扩大了网络攻击面和随之而来的风险。

随着时间的推移，数字化转型可以通过运营效率帮助降低成本，但高管们忽视了他们的第三个决策目标:降低业务和运营风险。对基础设施运营商来说，实现工业4.0的商品化和安全不足的工业物联网设备是一把双刃剑，通常可以为进入组织网络提供一个微不足道的网关。这些和其他工业物联网设备导致了IT和OT系统的进一步融合，这使得关键基础设施越来越容易渗透网络。

简而言之，高管正在为长期网络风险提供短期成本节约的默契，因为运营效率可以更容易地量化和直接追踪到底线。此外，董事会在控制业务风险和reining中的犯错者中失败的董事会失败。然而，在这个越来越多的关键基础设施事件和国家攻击时，这是一个不负责任的交易，将始终赶上，损害社会和该过程中的底线。

网络风险管理轨道不足以到底线

网络事件有很多方法可以追根溯源，包括容易量化的“硬”成本和较难确定的“软”成本。在备受关注的IT网络攻击领域，事件响应团队和公关顾问的成本相当明显，但事实证明，从损失未来收入和品牌信誉的角度来看，很难确定损害客户敏感信息的“成本”到底有多大。然而，OT方面的网络事件包括额外的硬成本，任何运营经理都可以告诉你，如资产更换成本、员工或公共安全损害的法律责任，或几分钟到几小时甚至几天的生产停机时间。

完全清楚地说:

• OT Cyber​​事件是常见的 - 在公用事业，制造，能源和医疗保健中的10个组织中有9个，从2019年开始患有OT入侵的ot入侵（Fortinet, 2020)
• OT网络事件的成本很高——在制造业、石油天然气、公用事业和政府部门(卡巴斯基, 2017)

关键的基础设施行业需要认清现实情况——OT威胁是真实存在的，它正在迅速增长，对业务运营和底线造成巨大成本。

最容易被忽视的区域-普渡模型级别0/1

随着ICS网络安全意识的增强，人们的注意力主要集中在最接近控制系统入口点的各个层上——业务IT网络。由于网络分割总是不完美的，人们倾向于关注控制系统的最高层次，并在对手从IT跳到OT以及之后不久就进行检测。

然而，民族国家行为者已经通过Stuxnet、industryer、Triton/Trisis等无数场景证明，他们能够在不被发现的情况下穿越控制系统网络，到达较低层次，实现自己的意愿。这些层直接控制创建和传递能源、生产产品和运输饮用水的网络物理过程。这些最深层的风险是真实存在的——2020年下半年报告的ICS漏洞中有25%受到0级或1级漏洞的影响(Claroty，2020）。

一个持续引起关注的原因是，0级和1级主要由通过串行通信通信的遗留设备组成——目前很少监控未经身份验证和未加密的通信。此外，“遗留”设备这一术语实际上是用词不当的，因为在今天安装了大量的串行连接系统(例如．西屋AP1000核反应堆，baeckel，2021）。

虽然这种丰富和不安全的技术在这里留下来，但前景不是徒劳的。监控串行通信允许基础设施运营商对其运营健康数据的完整性有信心，并且当对手在0/1等级测试其网络物理能力时检测网络入侵，而不是一次为时已晚。

将关键的基础设施带到现代网络安全姿势

虽然关键基础设施的运营商能够为我们的家带来越来越知道他们必须完全唤醒他们周围的威胁，将它们相信是什么？We can only hope that it doesn’t take the proverbial “Cyber Pearl Harbor” scenarios such as the electric grid being taken down in a major American city before all critical infrastructure stakeholders begin to act like our lives depend on it – because for some of us it might.

高管和董事会需要了解并积极对抗他们用节省成本来换取网络风险的倾向，因为这是不负责任的商业管理，对他们的底线、他们的组织和我们的社会带来了系统性风险。如果我们能提前在我们国家的关键基础设施中建立网络弹性，而不是在混乱发生后立即清理，我们就能保持我们的底线和保持社会运转的关键服务。

本文最初发布在Cynalytica．Cynalytica是CFE Media的内容合作伙伴。