IT和OT团队之间的合作不足会导致两个团队关于网络安全的假设、程序和动机不一致。每个小组使用的硬件和软件技术可能相似,但它们的使用方式往往大不相同。IT和OT安全的融合最终会像系统本身的集成一样具有挑战性。
由于看到了针对OT的网络安全行动和宣传的必要性,ISA于2020年创建了ISA全球网络安全联盟(ISAGCA)。当时,ISA全球财团和合规评估董事总经理安德烈·里斯塔诺(Andre Ristaino)表示,“使关键基础设施自动化的操作技术和控制系统正在经历恶意网络安全攻击的迅速增加,其中包括数据泄露和勒索软件。这种影响是严重的,影响到各个部门的生命、安全、环境保护和经济可行性。ISAGCA正在推动公共和私营部门的一致性和清晰度。”
ISAGCA工作的基础是ISA/IEC 62443,这是一系列由ISA开发的基于共识的自动化和控制系统应用安全标准。国际海底管理局/IEC 62443标准系列适用于保护运行设施的所有实体(图一)。包括工业产品设计师、系统集成商、服务提供商和资产所有者在内的各种利益相关者利用ISA/IEC 62443系列标准来创建安全的产品和系统、进行风险评估等等。
“该系列以整体的方式应对网络安全挑战,弥合了运营和信息技术之间的差距,以及流程安全和网络安全之间的差距,”里斯塔诺说。
根据ISAGCA白皮书,“许多组织(尤其是非常大的组织)已经建立了管理其办公环境中IT安全的政策和程序;其中许多都基于ISO/IEC 27001/2【27001】【27002】。一些公司试图在同一管理系统下解决其运营技术(OT)基础设施问题,并利用了许多IT/OT共性。
“尽管总是为it和OT选择共同的控制和实施是理想的选择,但组织在这样做时一直面临着挑战:OT操作员屏幕的锁定造成了不安全的情况,防病毒产品与OT设备不兼容,修补做法中断了生产计划,或者日常备份的网络流量阻塞了安全控制消息。ISA/IEC 62443系列标准明确解决了这些问题;这有助于组织在可行的情况下通过通用方法保持与ISO/IEC 27001的一致性,同时在需要时强调IT与OT方法的差异。”
该白皮书为熟悉ISO/IEC 27001并对保护其基于ISA/ IEC 62443系列的运营设施的生产运营技术基础设施感兴趣的组织提供了指导。它描述了ISA/IEC 62443系列和ISO/ IEC 27001/2之间的关系,以及如何在一个组织内有效地使用这两个标准来保护It和OT。