当地时间11月10日，Ponemon研究所和工业网络安全公司Dragos发布的一份报告显示，一次影响工业控制系统（ICS）或其他运营技术（OT）系统的安全事故的平均成本约为300万美元，一些公司报告的成本超过1亿美元。该报告基于美国波耐蒙研究所对600名IT、IT安全和OT安全从业人员进行的调查数据。29%的受访者承认，他们的组织在过去两年受到勒索软件的攻击，超过一半的人表示，他们平均支付的赎金超过50万美元。一些组织报告支付了超过200万美元。

　　ICS/OT勒索软件赎金

　　近三分之二的受访者表示，他们在过去两年中经历过ICS/OT网络安全事件。最常见的原因是内部人员疏忽，维护相关的问题，或者IT和OT之间隔离不佳导致的IT安全事件后果“溢出”到OT网络。

　　平均来说，组织需要170天来发现一个事件，花66天来调查它，用80天来补救安全事件。根据一个六人小组检测、调查和补救事故所需的总小时数计算，总人工成本接近100万美元。再加上约200万美元的停机时间、法律成本、监管罚款和设备更换成本，平均总成本约为300万美元。

　　在确认发生事故的公司中，1%的公司表示ICS/OT事故的总成本超过1亿美元，2%的公司报告成本在1000万美元至1亿美元之间。总体而言，13%的受访者表示，这起事件让他们损失了100多万美元。

　　由Dragos和Ponemon发布的这份报告聚焦于IT和OT团队之间的“文化鸿沟”，以及它对他们确保IT和OT环境安全能力的影响。

　　一半的受访者认为安全、IT和工程师之间的文化差异是IT和OT团队协作的主要挑战。超过40%的受访者还提到了技术差异和对工业网络风险的认识差异。

　　最大的安全风险和发生事件的原因

　　组织中最大的安全风险排名中，最大的仍然是业务连续性的担忧，其次是合规性风险，第三是存在有漏洞的OT设备。

　　发生网络安全事件的主要原因方面：内部人员的疏忽是排名第一的原因。

　　调查还确定了其他几个问题：

　　C级高管（CEO、CTO、CSO等）和董事会不定期被告知其ICS/OT网络安全计划的效率、有效性和安全性；

　　许多高管对OT环境的风险和威胁缺乏认识，导致资源配置不足；

　　OT安全的报告关系和问责制结构不合理，阻碍了OT和ICS网络安全的投资；

　　在许多组织中，ICS/OT的网络安全成熟度水平是不够的。

　　结论和建议

　　基于这项研究，组织可以通过弥合IT和OT文化鸿沟来加强其ICS和OT环境的网络安全态势。

　　创建IT和OT的跨职能团队，以弥合文化鸿沟。虽然需要不同的控制和优先级，但是组织应该有一个统一的安全策略来保护IT和OT环境。

　　这些跨职能团队的首要任务应该是向C级高管和董事会通报ICS/OT网络安全计划的效率、有效性和安全性。

　　根据研究，大多数组织没有与董事会定期举行会议来讨论诸如保护ICS和OT环境的安全保障措施、网络安全事件对底线的影响等重要话题，以及采取什么样的最佳实践来保护组织的OT基础设施、高价值资产和知识产权。

　　跨职能团队还应制定应对网络安全事件的事件响应计划，并定期审查该计划。

　　确保有足够的预算和人员，能够提高发现和维护OT网络中任何地方的所有资产的能力。

　　由于OT网络安全的独特性质，复制和粘贴适用于IT的网络安全计划显然是行不通的。一个工业网络安全计划必须考虑到不同行业组织面临的不同任务、挑战和威胁，针对具体的ICS环境规划量身定制的网络安全策略和工具。比如制定OT安全的路线图、选择合适的OT网络安全工具、培养OT安全技能等等。