我们可以在新闻中听到安全漏洞的消息,比如广为人知的针对塔吉特(Target)数据的攻击。我们知道黑客试图控制像震网这样的系统,这只是一连串攻击的开始。我们都知道,有些人的电子邮件没有明显的原因就被泄露了,只是想看看你能进入什么很有趣。
然而,我们中的许多人仍然相信这不会发生在我们身上。
我不知道你是怎么想的,但我有一定程度的信心,我们关键的电力和水利基础设施不会持同样的态度。然而,JSUK(就像你知道的)……
在最近对负责全球电力、水和其他关键职能的公司进行的一项调查中,约三分之二的公司报告称,在过去12个月里,至少发生过一次安全漏洞,导致机密信息丢失或运营中断。当然,我要保持一定程度的怀疑因为这项调查是由优利系统它提供IT服务、软件和技术,所以毫无疑问,他们可能会想卖给你一些东西来解决这些问题。然而,这项调查是由波耐蒙研究所是一个独立的研究和教育机构。
事实上,我认为这些信息本身就很能说明问题,尽管人们普遍认为整个行业面临着相当大的网络安全问题,但人们仍然缺乏关注。在对公用事业、石油和天然气、能源和制造公司的599名安全主管进行的调查中,64%的受访者预计未来一年将发生一次或多次严重攻击。尽管存在这种风险,但只有28%的人将安全列为其组织的五大战略优先事项之一。
波耐蒙研究所(Ponemon Institute)主席兼创始人拉里•波耐蒙(Larry Ponemon)表示:“鉴于这些行业构成了全球经济的支柱,它们承受不起中断的后果,调查结果令人吃惊。”“虽然这些公司显然有安全保护的愿望,但在保护我们的关键基础设施免受攻击方面,实际上做得还远远不够。”
只有六分之一的受访者认为其组织的IT安全计划或活动是成熟的。在过去一年中遭受数据泄露的受访者通常将这些泄露归因于内部事故或错误,而疏忽的内部人员是对公司安全的最大威胁。
事实上,我经常从读者那里听到的观点是,为什么这个网络安全话题只不过是那些想向你推销网络安全产品的公司的大量炒作,他们的公司或他们所从事的行业并不重要,不足以保证黑客的关注。他们似乎无视来自内部的威胁——无论是有意的还是偶然的。只有6%的受访者表示,他们为所有员工提供网络安全培训。
“无论是恶意的还是偶然的,来自内部的威胁与来自外部的威胁一样真实和具有破坏性,”Unisys首席信息安全官戴夫·弗莱米尔(Dave Frymier)说。“我们希望调查结果能够唤醒关键基础设施提供商,采取更积极、更全面的方法来保护其IT系统免受攻击。应该在事件发生之前采取行动,而不是在违规之后才采取行动。”
调查还强调了许多高管对工业控制系统(ICS)和SCADA系统安全性的担忧。当被问及其组织的ICS或SCADA系统受到攻击的可能性时,78%的高级安全官员回答说,在未来24个月内,至少有可能成功的攻击。只有21%的受访者认为,由于法规和基于行业的安全标准,ICS和SCADA的风险水平已经大大降低,这意味着需要更严格的控制和更好地采用标准。
大多数受访者表示,他们还没有完全部署他们的IT安全程序。只有17%的受访者表示他们的大部分IT安全程序已经完全部署。
欲了解更多信息,请阅读完整的报告.
