首先,好消息是:越来越多的制造商正在这样做意识到网络安全的威胁.考虑到就在几年前,关键行业之外的大多数制造商还没有意识到自己是网络安全攻击的潜在目标,这是一件相当大的事情。根据最近的一项研究由德勤和制造商生产力与创新联盟(MAPI)进行的研究在美国,三分之二的制造商对其工业控制系统(ICS)进行了网络风险评估。
现在,坏消息是:近三分之一的制造商没有对其ICS进行任何网络风险评估。可能更令人担忧的是,在德勤/MAPI调查中,近三分之二的制造商表示,他们通过使用内部资源进行了ICS网络风险评估。这使得他们的评估容易受到一系列内部偏见的影响。
德勤/MAPI的调查结果值得注意,因为调查结果是基于225名网络风险高管的回复,这些高管来自工业设备、计算机硬件和电子制造商,以及自动化技术和消费电器供应商等制造企业。此外,39%的受访者在过去12个月经历过网络事件,这意味着网络安全问题对他们中的许多人来说并不是一个抽象的威胁。
调查的其他结果表明,大多数制造商仍在进行高水平的网络安全保护工作,包括:
* 43%的制造业高管表示他们依赖空气不紧密接触将他们的设施与外部网络隔离。德勤/MAPI调查报告指出,“虽然气隙是ICS安全的常见方法,但当公司真正采取下一步来测试该策略时,他们通常会发现这是一个谬误。由于许多制造商没有对这一控制进行测试或监控,也没有对连接的资产进行彻底的检查,因此网络接入点,特别是易于安装的无线接入点,可以隐藏在人们的视线之外。”
*半数受访者对其ICS进行针对性漏洞或渗透测试的次数少于每月一次。
*超过四分之一的受访者指出,他们的事件响应计划中不包括操作技术(OT)。换句话说,他们的网络安全响应计划只针对前台IT系统,而不是工厂车间。
* 25%的受访公司没有制定、实施或记录特定于ics的政策和程序。
读者应该意识到,尽管在解决工业网络安全问题方面已经做了很多积极的工作,但还有很多工作要做——特别是涉及到工厂车间自动化和控制系统时。看到自动化的世界有关您的同行如何解决其网络安全问题的更多信息,请参阅下面的文章。