調查｜工控系統亟需安全評估

?????? 位于美國馬里蘭州貝塞斯達市的信息安全與網絡安全培訓公司SANS研究所，新近發布了一份調查報告，指出：今年，認為工控系統(ICS)受威脅程度是中度到重度的受訪者占比67%，比去年的43%有了大幅上升。ICS的安全經理正越來越關注安全問題，擔心業內信息共享不足。

　　該報告作者之一，SANS研究所ICS全球項目負責人德雷克·哈普稱，不斷惡化的問題催生了這種趨勢，越來越多的事件被報道，公司高層越來越關注自身暴露面。

　　事實上，根據博思艾倫咨詢公司上周發布的一份報告，2014到2015年，報告給美國官方的安全事件數量上漲了20%。尤其是魚叉式釣魚攻擊，飆升160%。該攻擊形式是大型攻擊行動的初始攻擊方法，2015年最大攻擊行動之一“秘狼行動”( Operation Clandestine Wolf )，以及針對德國鋼鐵廠和烏克蘭電力分銷商的攻擊行動都是以魚叉式網絡釣魚為起點的。

　　SANS報告稱，27%的受訪者承認曾遭受過安全事件，52%覺得自己沒有意識到有數據泄露，只有13%確信自己沒有被滲透。

　　知情是個大問題。很多問題實際存在卻未被發現。普遍認為，大多數系統都被這樣那樣地探測過，但真的很難弄清到底有沒有被人侵入。

　　這些公司吸引了各種各樣的攻擊者，有被經濟利益驅使的網絡罪犯，有對公司不滿的內部人士和前雇員，還有搜尋專利信息的民族國家。

　　同時，稱從工業信息共享合作伙伴關系收到情報信息的受訪者人數從45%降到了41%；而從政府機構收到此類信息的人數更是降得厲害，從44%降到了34%。

　　這或許只是感知問題，未必意味著信息共享真的減少了。

　　人們極度渴望獲得更多信息。他們知道這是了解現狀向前邁進的途徑，但又得不到想要的信息。

　　增加公共事業和私營產業間信息共享的工作已經展開。但是，通向更加開放的道路上依然充滿阻礙，有些勢力在抵制公開。

　　比如說，對公司聲譽或股價可能會受影響的擔憂，對自己可能會被解雇的擔憂等。

　　但，調查結果中最令人失望的數據是，過去12個月中，有31%的企業連一次安全評估都沒做，16%的受訪者表示自家企業從未對控制系統做過安全評估。

　　人們需要行動起來，安全評估是最基礎的國，不管想做什么樣的安全策略，都必須在有個基準的前提下。?