調研 | ICS和OT網絡安全事件致一些美國企業損失上億美元
11月10日,波耐蒙研究所和工業網絡安全公司Dragos發布研究報告,揭示影響工業控制系統(ICS)或其他運營技術(OT)系統的安全事件可造成平均約300萬美元的損失,某些公司報告的損失甚至超過1億美元。
該報告基于美國波耐蒙研究所對600名信息技術(IT)、IT安全和OT安全從業人員進行的調查數據。
29%的受訪者承認,其所在公司在過去兩年間曾遭遇過勒索軟件攻擊;超過半數的受訪者稱,平均支付了50多萬美元的贖金。一些公司報告的贖金支付金額超過200萬美元。
近三分之二的受訪者在過去兩年間經歷過ICS/OT網絡安全事件。內部人員疏忽、維護問題,或者因為IT和OT分隔不善而導致IT安全事件“漫溢”到OT網絡,是遭遇ICS/OT網絡安全事件最常見的幾個原因。
平均而言,企業檢測事件需要170天,調查事件需要66天,修復事件則需要80天。根據6人團隊檢測、調查和修復事件所需的總小時數,我們可以計算得出,總人工成本接近100萬美元。加上大約價值200萬美元的停機時間、法務費用、監管罰款和設備更換,平均總約為300萬美元。
在確認發生網絡安全事件的公司中,1%的公司表示ICS/OT網絡安全事件的總成本超過1億美元,2%的公司稱成本在1000萬至1億美元之間。總體而言,13%的受訪者表示,網絡安全事件造成的損失超過100萬美元。
Dragos和波耐蒙研究所發布的報告重點關注IT和OT團隊之間的“文化鴻溝”及其對IT和OT環境安全的影響。
半數受訪者將安全、IT和工程師之間的文化差異視為IT和OT團隊協作的主要障礙。超過40%的受訪者還提到了技術差別和明晰的工業網絡風險所有權。
調查發現的其他問題還包括:
- 首席級高管和董事會未定期了解公司ICS/OT網絡安全計劃的效率、有效性和安全;
- 很多高級經理缺乏對OT環境風險與威脅的認知,導致資源分配不足;
- OT安全的報告關系和問責結構不合理,阻礙了對OT和ICS網絡安全的投入;
- 很多企業的ICS/OT網絡安全成熟度不足。
報告原文:
https://hub.dragos.com/hubfs/Reports/2021-Ponemon-Institute-State-of-Industrial-Cybersecurity-Report.pdf?hsLang=en
