工业控制系统(ICS)的网络安全弹性, 楼宇管理系统(BMS)和其他操作技术(OT)系统正在落后, 考虑到网络攻击对ICS和OT的潜在影响,这是一个严峻的挑战,可能导致人员伤亡和/或重大环境破坏. 这些严重的威胁, 当然, 是除了财务吗, 影响所有行业的网络事件对声誉和合规的影响. 考虑到高风险, 现在是首席信息安全官站出来的时候了, 了解ICS和OT的独特特点, 并与工业控制工程师合作, 以便对ICS和OT网络安全承担适当的责任.
我通过为以色列国家网络理事会(INCD)主持的一个项目获得了这方面的经验。, 其中,我们致力于为以色列ICS部门提供实用工具,使澳门赌场官方下载能够对其ICS网络进行网络风险评估. 在开发工具的过程中, 我们会见了一系列OT工程师和网络安全专业人士,以借鉴他们的专业知识和见解. 通过这些互动, 发现了一个令人担忧的痛点——两组之间无效的工作关系和流程, 导致ICS网络的网络弹性较差.
显然,这是一个需要填补的领导真空. 在许多业内人士中, 关于谁应该承担ICS安全的最终责任——CISO还是OT工程师,存在一场争论. 我认为首席信息安全官最适合做这件事, 鉴于首席信息安全官在风险管理实践和网络风险缓解控制方面的基础. 但要妥善监管这一地区, ciso必须解决他们对OT环境中风险的盲点. 由于ciso通常不具备太多的OT流程和系统知识,以及他们对变化的敏感性, 如果出了问题,他们往往会忽视潜在的后果. 相反, 业务主管可能熟悉OT流程, 但他们往往对网络风险了解较少, 将重点放在生产率和流程可靠性上.
ICS和OT系统, 例如楼宇管理系统(BMS)和监控摄像头, 能在大多数现代组织中找到吗. ICS是一个集合术语,用于描述不同类型的控制系统和相关仪表, 包括设备, 系统, 网络, 以及用于操作和/或自动化工业过程的控制. ICS用于关键的基础设施领域,如制造业, 运输, 能源, 水处理行业, 哪些对健康至关重要, 安全, 政府和整个社会的安全和经济福祉. 不系统, 与此同时, 包括监控和控制现场物理设备的硬件和软件系统, 例如在工业环境中监测温度的设备.
的 IT和OT的融合 为澳门赌场官方下载提供更大的供应链集成和可见性, 包括关键资产, 物流, 计划, 以及操作流程. 对供应链有一个全面的了解可以帮助组织改进战略计划并保持竞争力. 另一方面, 然而, IT和OT的融合扩大了网络罪犯的攻击途径, 允许他们利用保护不力的OT基础设施.
这是ciso面临的挑战之一, 在弥补这一常见盲点方面,谁有几个地方可以寻求指导. ciso和其他有兴趣了解更多关于降低ICS安全风险的信息的人将会得到很好的帮助 NIST的网络安全框架制造概况. 此外, ISA/IEC 62443系列标准 提供了一个灵活的框架,以解决和减轻工业自动化和控制系统中当前和未来的安全漏洞. 在认证方面,ISACA的 CISM凭据现如今已成为 能否帮助ciso开发一种基于风险的方法来管理ICS和OT领域可能出现的安全挑战.
编者按: Weisberg将在ISACA北美信息安全博览会和会议上就“照亮CISO的ICS盲点”发表更多见解, 将于2019年11月20日至21日在纽约市举行, 美国.
