根據ICS/SCADA專家Ralph Langner表示，關鍵基礎設施運營商采用了安全行業流行的風險管理理念，這樣做是錯誤的。這位德國安全專家破譯了Stuxnet如何瞄準在伊朗的納坦茲核設施的西門子PLC，他發布了一個網針對ICS(工業控制系統)的網絡安全框架，他稱這個框架比美國政府的網絡安全框架更適用，目前還是草案的形式。

這個被稱為強大的ICS規劃和評估(RIPE)框架采用了一種不同的方法來鎖定設施，與NIST的基于風險的網絡安全框架相比，這種方法更多地基于流程。

Langner表示：“大家都知道，ICS環境缺乏強制執行的安全政策，特別是針對承包商。在關鍵基礎設施中更大的資產所有者有針對工作人員的政策，但并不是針對承包商。在Stuxnet之后，這似乎被疏忽了。”

再有就是ICS / SCADA系統的修補難題：雖然大部分這些企業聲稱有一個修補方案，但通常修復周期為一年，并且，你會發現，根據政策需要修復的系統，通常只有一半真正得到了修復。

在私有ICS環境，網絡安全只有低優先級。Langner估計，95%的關鍵基礎設施運營商沒有專門的安全專業人士來負責其系統，并且，其ICS安全只占其IT預算的不到1%。

Langner表示：“如果有說明網絡安全能力的指標，那就是資源。如果電廠、煉油廠或者管道運營商沒有專門負責ICS安全的專職人員，關于ICS安全的任何進一步討論都是沒有意義的。”

Langner指出，基于風險的安全方法可以是捏造的，并非基于經驗數據或者關于ICS環境的現實。他指出，NIST網絡安全框架讓企業可以基于“部署層”來確定其部署框架的方向，從而確定其安全狀態的成熟度。 “幾乎沒有企業可以簡單地決定其目標部署層，這基本上意味著一個完全不成熟的網絡安全過程。”

風險管理基本上已經成為安全界的“宗教”，Mandiant公司首席安全官Richard Bejtlich表示，“風險管理已經深入每個人的心里，但在業務水平之下，我不認為大多數IT安全人員都專注于其中。”

RIPE明確了需要記錄和測量的工廠系統的8個領域來確定安全狀態：系統數量，或者軟件和硬件清單;網絡架構，包括網絡模型和圖表;組件交互或者工藝流程圖;員工角色和責任，身份、特權數據庫，以及針對所有工作人員和承包商的政策;員工技能和能力發展，或者培訓課程以及操作和維護記錄;指導，又稱政策和標準操作流程;設計和配置變更，或者工廠規劃和變更管理流程;以及系統收購，或采購指南。

部署每個步驟都有模板。“我要說的是，如果你使用我們的模板，或者通過其他工作來對上述8個領域進行測量，你將能夠提高你的網絡安全態勢。使用RIPE的人將會對可衡量網絡安全保證比合規性更感興趣。”

RIPE還包括這8個方面的度量基準和評分。Langner表示，RIPE是基于工廠車間操作員的見解，這是一個切實可行的辦法，能夠更好地保護這些環節。同時，Langner希望RIPE將影響NIST網絡安全框架的最后版本。