【調(diào)研】ICS和OT網(wǎng)絡(luò)安全事件致一些美國企業(yè)損失上億美元

11月10日，波耐蒙研究所和工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布研究報告，揭示影響工業(yè)控制系統(tǒng)(ICS)或其他運營技術(shù)(OT)系統(tǒng)的安全事件可造成平均約300萬美元的損失，某些公司報告的損失甚至超過1億美元。

該報告基于美國波耐蒙研究所對600名信息技術(shù)(IT)、IT安全和OT安全從業(yè)人員進行的調(diào)查數(shù)據(jù)。

29%的受訪者承認，其所在公司在過去兩年間曾遭遇過勒索軟件攻擊;超過半數(shù)的受訪者稱，平均支付了50多萬美元的贖金。一些公司報告的贖金支付金額超過200萬美元。

近三分之二的受訪者在過去兩年間經(jīng)歷過ICS/OT網(wǎng)絡(luò)安全事件。內(nèi)部人員疏忽、維護問題，或者因為IT和OT分隔不善而導致IT安全事件“漫溢”到OT網(wǎng)絡(luò)，是遭遇ICS/OT網(wǎng)絡(luò)安全事件最常見的幾個原因。

平均而言，企業(yè)檢測事件需要170天，調(diào)查事件需要66天，修復事件則需要80天。根據(jù)6人團隊檢測、調(diào)查和修復事件所需的總小時數(shù)，我們可以計算得出，總?cè)斯こ杀窘咏?00萬美元。加上大約價值200萬美元的停機時間、法務(wù)費用、監(jiān)管罰款和設(shè)備更換，平均總約為300萬美元。

在確認發(fā)生網(wǎng)絡(luò)安全事件的公司中，1%的公司表示ICS/OT網(wǎng)絡(luò)安全事件的總成本超過1億美元，2%的公司稱成本在1000萬至1億美元之間。總體而言，13%的受訪者表示，網(wǎng)絡(luò)安全事件造成的損失超過100萬美元。

Dragos和波耐蒙研究所發(fā)布的報告重點關(guān)注IT和OT團隊之間的“文化鴻溝”及其對IT和OT環(huán)境安全的影響。

半數(shù)受訪者將安全、IT和工程師之間的文化差異視為IT和OT團隊協(xié)作的主要障礙。超過40%的受訪者還提到了技術(shù)差別和明晰的工業(yè)網(wǎng)絡(luò)風險所有權(quán)。

調(diào)查發(fā)現(xiàn)的其他問題還包括：

? 首席級高管和董事會未定期了解公司ICS/OT網(wǎng)絡(luò)安全計劃的效率、有效性和安全；

? 很多高級經(jīng)理缺乏對OT環(huán)境風險與威脅的認知，導致資源分配不足；

? OT安全的報告關(guān)系和問責結(jié)構(gòu)不合理，阻礙了對OT和ICS網(wǎng)絡(luò)安全的投入；

? 很多企業(yè)的ICS/OT網(wǎng)絡(luò)安全成熟度不足。

報告原文：

https://hub.dragos.com/hubfs/Reports/2021-Ponemon-Institute-State-of-Industrial-Cybersecurity-Report.pdf?hsLang=en

來源：數(shù)世咨詢