工业企业通常以其安全文化为荣,但很少有企业将网络安全活动提升到类似的知名度和声望水平。首个已知的网络武器Stuxnet在2010年代攻击了工业控制系统,在此后的十几年里,信息技术(it)专业人员和工业自动化与控制系统(IACS)专家一直致力于保护操作技术(OT)和商业系统免受类似威胁。不幸的是,网络威胁不断演变,IT和OT工作往往不一致,许多工业公司难以达到所谓的网络安全成熟度。
帮助可从国际自动化学会以多种形式。本文重点介绍了ISA和ISA全球网络安全联盟包括国际海底管理局/ IEC 624443系列标准和在线网络安全培训,以及国际海底管理局新闻和出版物子公司Automation.com的一些研究报告。它还揭示了马来西亚国家石油和天然气公司马来西亚国家石油公司如何在OT网络安全方面建立“制度化能力”,以成为世界上最成熟的网络组织之一。
像美国Colonial Pipeline事件这样越来越频繁且通常引人注目的攻击,以及世界各地的新政府法规,都刺激了工业公司提高网络安全。但麦肯锡公司(McKinsey & Co .)、高德纳公司(Gartner)和其他公司的研究显示,在网络安全准备和保护方面,公司处于一系列成熟水平。
近年来,能源行业的公司——包括石油和天然气、发电、煤炭、可再生能源以及相关系统和服务——一直是OT网络攻击最常见的目标,因此在这些公司中发现大量网络安全兴趣和意识并不奇怪。Automation.com在2023年5月进行了一项由Fortinet赞助的调查,调查对象是石油、天然气和石化公司的生产运营技术专业人员,询问他们对生产运营技术网络安全的行动和看法。
略多于一半的受访者认为他们的公司在保障OT系统安全方面与行业同行持平或高于平均水平。这些公司在网络安全方面似乎更加成熟,已经完成了所有或大多数建议的任务。另一半受访者明显不够成熟,他们制定了计划,但到目前为止几乎没有实施。
调查显示,过程控制工程师和其他自动化专业人员关心的一些问题是:
- 包括监控和数据采集(SCADA)、工业控制和管道控制在内的OT系统遭受网络攻击的风险日益增加。最近备受瞩目的攻击凸显了漏洞。
- 快速演变的网络威胁,要求公司持续保持警惕和适应,以检测和缓解新的攻击媒介。
- 安全风险,包括环境事故或对人类健康/安全的伤害,由成功的网络攻击造成,破坏了工业流程和工厂运营。
- 缺乏能够正确保护系统、检测威胁和响应事件的熟练工人。
- 组织内IT和OT团队之间的协作不足,无法确保集成的安全策略、技术、监控和响应。
该报告建议将作战行动网络安全作为全组织的优先事项,通过强有力的领导、治理、培训和技术保护来创造稳健、安全的作战环境。