制定信息物理系统安全策略
2月初,一名身份不明的黑客远程入侵了佛罗里达州一家水处理厂的计算机系统并试图将供水中的氢氧化钠含量提高到可能造成危险的水平。
幸好当时一名操作人员发现了这次入侵。但此次事件表明,网络世界和现实世界的相交可能会带来危险。这些信息物理系统带来了许多新的风险,而考虑到这些风险的安全和风险领导人凤毛麟角。
尽管企业IT安全的重要性已众所周知并已得到了良好的管理,但信息物理系统(cyber-physicalsystem)对传统安全策略提出了挑战。这是因为这些系统处理的不仅仅是信息,而且还负责管理和优化从各个流程到整个生态系统的实际结果。
在Gartner最近的一项调查中,安全和风险领导人将物联网(IoT)和信息物理系统列为他们未来三至五年的首要关注点。
Gartner研究副总裁Katell Thielemann表示:“由于其本身的性质,信息物理系统所面临的安全威胁不同于影响企业IT系统的安全威胁。这些系统一般被用于为企业机构创造价值的业务或关键任务环境,因此越来越多的攻击者正在把它们作为目标。”
将您的风险策略扩展至信息物理系统
信息物理系统一词包含了物联网、智慧城市以及操作技术(OT)和IT融合而成的系统等概念。Gartner通过这个定义广泛的术语,鼓励安全和风险领导人不要将目光局限于IT安全,而是应制定涵盖整个信息物理风险的安全计划。
Gartner预测到2025年,50%的公用事业、资源和制造企业等资产密集型企业机构将把他们的网络、物理和供应链安全团队整合到一个直接向首席执行官报告的首席安全官角色下。
真实存在的风险
信息物理系统所面对的一些威胁在很久以前便已出现,比如内部威胁。2000年,一家心怀不满的承包商操纵澳大利亚昆士兰州马鲁奇郡政府的污水处理设备(该设备由SCADA无线系统控制)向当地公园倾倒了80万升未经处理的污水。
最近的勒索软件攻击导致了天然气管道瘫痪、物流业务停止以及钢铁生产中断等严重后果。GPS欺骗则能够影响船舶导航,而黑客通过水族馆入侵了赌场的高赌注赌客数据库。
此外,还有一些新出现的威胁也需要引起重视。例如5G确实带给我们许多好处,包括更快的通信速度等。但5G的安全标准很复杂,并且针对5G的攻击可能会增加。其他新的威胁载体包括无人机、智能电网和自动驾驶汽车所具有的特定风险。
信息物理系统安全计划
您可以先记录您所在企业机构的业务战略,确定企业特有的技术驱动因素和环境趋势并将它们纳入到信息物理风险的综合考量中。
从业务的角度阐述远景,将企业信息物理系统的安全和风险状况与业务成果直接关联。
例如一家公共事业企业对信息物理安全的远景可以是:
“从加工设施和信息传输基础架构一直到客户,我们将保证整个运营的物理安全、韧性、合规性和信息安全,为客户提供可靠、经济、优质的电力服务。”
然后可以采取传统的战略规划流程,将远景正式转化为行动。
Thielemann表示:“不同于大多数IT网络安全威胁,信息物理威胁由于能够造成从单纯的骚扰到人员丧生等各种程度的影响而日益受到关注。”