本周三,美國霍尼韋爾國際公司對當前工業(yè)安全狀況進行新的調(diào)查研究后發(fā)表了題為《將工業(yè)網(wǎng)絡(luò)安全納入CEO議事日程》的報告,報告顯示盡管數(shù)據(jù)泄露、安全違規(guī)以及由此引發(fā)的昂貴損害控制事態(tài)不斷出現(xiàn),但大多數(shù)工業(yè)企業(yè)仍然未能引以為戒并對自身加以保護,只有不到一半的工業(yè)企業(yè)能夠?qū)梢傻南到y(tǒng)接入活動進行監(jiān)控。
霍尼韋爾國際公司對130家工業(yè)企業(yè)進行了深入調(diào)查,結(jié)果顯示幾乎三分之二的被調(diào)查方(63%)承認其并沒有對可疑行為進行有效監(jiān)控;45%的受調(diào)查企業(yè)甚至沒有設(shè)置網(wǎng)絡(luò)安全專家或管理員職位;盡管受訪企業(yè)中有一半以上(53%)表示其已經(jīng)至少受到一起網(wǎng)絡(luò)安全違規(guī)事件的侵害,但仍有20%的企業(yè)不具備定期風險評估制度。
除此之外,25%的受訪企業(yè)表示,其從未進行過滲透測試; 而13%的受訪者表示,其每十二個月進行一次滲透測試。
工業(yè)物聯(lián)網(wǎng)(簡稱IIoT)依托于傳感器、物聯(lián)網(wǎng)(簡稱IoT)設(shè)備、控制組件內(nèi)的嵌入式連接以及數(shù)據(jù)分析等要素,能夠顯著提升工業(yè)流程的執(zhí)行效率。然而,網(wǎng)絡(luò)連接程度越高,網(wǎng)絡(luò)攻擊者滲透此類系統(tǒng)的難度就越低。再加上工業(yè)領(lǐng)域普遍存在的設(shè)備升級周期過長問題,企業(yè)目前可能正在自掘一座“網(wǎng)絡(luò)安全的墳?zāi)?rdquo;。
今年6月,本田公司因內(nèi)部系統(tǒng)遭受WannaCry勒索軟件攻擊而不得不停止一家制造廠的生產(chǎn)活動。而就在一個星期之后,受制于Petya勒索攻擊,又出現(xiàn)了員工無法正常訪問切爾諾貝利輻射監(jiān)控系統(tǒng)的問題。
其它工業(yè)企業(yè)應(yīng)當從這些實例中吸取經(jīng)驗,同時加強自身控制,從而防止未來淪為網(wǎng)絡(luò)犯罪分子視野中的新目標。
霍尼韋爾關(guān)鍵基礎(chǔ)設(shè)施與IIoT工業(yè)網(wǎng)絡(luò)安全總經(jīng)理兼副總裁杰夫·辛德爾指出,“決策者們已經(jīng)進一步意識到威脅的存在,并且取得了一定的進展。然而,這份報告強調(diào)網(wǎng)絡(luò)安全層面的基本原則尚未被廣大工業(yè)企業(yè)所采用。為了充分利用工業(yè)數(shù)字化轉(zhuǎn)型與物聯(lián)網(wǎng)技術(shù)所帶來的巨大優(yōu)勢,企業(yè)必須提升其網(wǎng)絡(luò)安全防御能力,從而適應(yīng)當前的威脅形勢。”
根據(jù)霍尼韋爾方面的說法,要想降低網(wǎng)絡(luò)攻擊活動的成功比例,工業(yè)企業(yè)需要以更嚴肅的態(tài)度對待安全問題。作為這方面工作的重要組成部分,企業(yè)應(yīng)督促實施人員及系統(tǒng)最佳實踐; 將工業(yè)網(wǎng)絡(luò)安全作為業(yè)務(wù)轉(zhuǎn)型討論的一部分,在產(chǎn)品周期的每一個環(huán)節(jié)內(nèi)引入安全保障機制,最終著力構(gòu)建一套將安全解決方案與工業(yè)運營結(jié)合在一起的強大架構(gòu)。