OSHA可以教会我们什么是网络安全
1970年《职业安全与健康法》颁布后,许多应用于制造业的经验教训和变化可以应用于制造商在工业网络安全方面面临的日益严峻的挑战。本文强调了提高网络安全的三个关键。
学习目标
- OSHA法案和1970年OSHA的成立迫使制造商报告安全事件和事故。
- 工业网络安全需要类似程度的问责制,以显示事件如何影响整个制造业。
- 重点应该是在袭击发生之前而不是发生之后进行预防。
关于工业网络安全,OSHA教会了我们什么?显然,高网络安全风险可能会增加工业事故的风险,但OSHA的模型可以在其他方面提供帮助。在1970年之前,工业环境中的工人安全被认为是次要问题。高管们在例外的基础上管理安全。很少有组织跟踪员工受伤情况,更少有组织衡量或管理因安全事故造成的时间损失。商业游说团体辩称,制造环境是安全的,事故很少,不可能在不影响工业创新的情况下消除。公司管理“性能”指标,如周期时间、吞吐量、齿轮等,但高管们出于几个原因低估了安全性,这对参与工业控制系统(ICS)网络安全的人来说可能听起来很熟悉。
- 死亡被认为只影响了工人总数的一小部分。在大多数情况下,这是由于员工的错误,而不是环境因素。大多数公司都没有受到严重事故的影响。
- 工伤或疾病对经济的影响很小。很少有工厂因安全事故而关闭,医疗成本也没有落在公司身上。
- 没有办法以一致的方式衡量安全事故。当它们发生时,没有人真正知道该报告什么,甚至没有人想要报告。
- 没有办法追踪造成更大安全风险的捐款。唯一的衡量标准是基于“结果”的——也就是说,在事件发生后发现它。大多数组织不能跟踪或管理风险的主要指标。
OSHA改变了制造业,工人安全
20世纪60年代末,制造业开始发生变化。美国的分水岭时刻是《职业安全与健康法》的通过和职业安全与健康管理局在1970年。
50年后的今天,安全仅仅是一种预期,各组织从单个工厂和设施层面一直到公司指标,都在衡量和报告安全状况。美国国家安全委员会估计,由于工伤造成的死亡人数是20世纪60年代的三分之一。
那么发生了什么变化呢?为什么从美国到新兴市场的工业组织更密切地衡量和管理安全?
- 政府和私营部门的监管迫使地方、州和国家领导人对工会和员工要求保护工人的压力做出回应。OSHA允许联邦政府制定标准并惩罚安全措施不佳的公司,而不仅仅是那些发生事故的公司。保险公司陷入了工人索赔的困境,并进行了审计,以确保各组织遵循可能与保险索赔相关的伤害领先指标的最佳做法。
- 组织衡量所有事件,包括以前被忽略的较小事件。这些可报告事件的数据以匿名数据公开披露,使组织能够将隐藏的工作场所伤害或疾病的真实成本计算在内。
- 最后,公司找到了一种方法,不仅可以跟踪结果(即受伤的工人),还可以管理“投入”,以减少安全相关事件的数量。跟踪和管理这些领先指标可以让管理层发现是什么导致了风险。此外,OSHA和世界各地的其他政府机构资助了导致风险增加的研究。设施和工厂报告了他们遵守标准的情况,如工厂内的交通安全车道,安全帽的使用等。这开始了一种文化转变,将其纳入培训,并在小组会议之前实施定期的安全信息。
OSHA对制造业网络安全的三个教训
这就引出了一个问题:OSHA模式与网络安全相关吗?我们通过OSHA大幅提高工业安全的经验能否为如何解决工业网络安全提供启示?答案是肯定的。我们可以像50年前处理安全问题一样,应用许多相同的原则和方法来解决今天的网络安全问题。也就是说,制造商不应该期望立竿见影或快速解决问题。
要在网络安全方面取得与安全方面类似的改进,有三个关键:
1.改变需要认识到网络相关事件对安全、生产和潜在外部组织的影响。
如今,一种普遍的论调听起来像是,“嗯,黑客没有影响到我的运营”,或者“我太小了,太微不足道了,太重要了,不可能成为攻击的目标。”黑客已经成功地对几家工业公司造成了损害,但公开宣布的次数仍然很少。
这与50年前的安全状况非常相似。事故很少被报道,对实际发病率的研究也很少。今天,这就是ICS安全的问题。虽然有些人可能对ICS事件数量的报告不以为然,但如果没有透明的报告,我们就无法知道答案。这需要政府像OSHA那样采取行动吗?也许。
研究表明,企业根据成本效益模型做出网络安全投资决策(见Loeb等人)。增加私人公司的网络安全投资“2015)。企业根据对潜在风险和影响的分析进行投资。Loeb等人的研究也表明,基于“期权理论”和不包括负外部性(即对其他公司或个人的影响)的情况下,这个数量不是最优的。如果没有透明的事件报告,这些成本效益权衡就不可能成功,而报告的负面影响会产生负面影响。揭露威胁的真实程度及其对经济的影响,需要类似的政府干预,将信息从阴影中拉出来。
2.然而,事件网络安全报告是不够的。
就像在安全方面一样,真正的影响不仅仅来自于报告重大事件——例如,勒索软件或恶意软件渗透等。进展需要对投入进行衡量和报告。在网络安全方面,这包括关于漏洞状态、补丁状态、不安全端口和服务、错误配置的设备以及用户和帐户不安全的数据。这些都是增加攻击风险的“输入”。只有在根本原因开始得到衡量之后,制造业的安全才会得到改善。人们可以想到一个未修补的关键漏洞,类似于没有绘制黄线以确保安全操作或员工没有穿戴个人防护设备(PPE)等。他们是事件的制造者。就像在安全方面一样,组织很难衡量这些关键输入。
3.要实现有意义的网络安全改进,这些投入不仅要得到衡量,还要得到管理。
仅仅衡量网络风险的关键输入(如漏洞等)是不够的。为了取得效果,他们必须采取有针对性的补救措施来减少这些风险,并定期报告风险投入的变化。就像在安全领域,组织使用记分卡来跟踪伤害的“领先指标”一样,ICS组织必须跟踪从红色到绿色的网络措施。
如今,ICS网络安全中对事件或异常检测的关注太多了。这就像是在安全事件发生后进行测量。真正的进步是当公司使用工具提供360度网络风险的深度可见性,同时也有能力管理这些风险,以证明网络事件的“领先指标”有所改善。
成功阻止ICS安全事件是可行的,但需要专注于测量、管理和报告输入指标,而不是在为时已晚时私下承认网络安全事件。
约翰·利文斯顿首席执行官,神韵工业.由网页内容经理克里斯·瓦夫拉编辑,控制工程, CFE媒体与技术,cvavra@cfemedia.com.
更多的答案
关键词:工业网络安全,OSHA,网络安全最佳实践
考虑一下这个
D眼观社会工业控制系统(ICS)网络安全带来与工业安全一体化的挑战?
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。