傳統(tǒng)IT與關鍵基礎設施網絡風險評估
并非所有網絡安全風險都相同,而且由于威脅不斷發(fā)展,定期執(zhí)行和更新風險評估至關重要。對于關鍵基礎設施尤其如此,網絡攻擊可能會造成危及生命的后果。但是,關鍵基礎設施網絡風險評估與傳統(tǒng)IT網絡風險評估是否不同?答案是肯定的。
為了了解評估的不同之處,首先要確定風險的不同之處:
- 傳統(tǒng)IT網絡風險。攻擊者控制組織敏感信息的可能性和潛在財務后果。
- 關鍵基礎設施網絡風險。攻擊者控制社會最重要系統(tǒng)和資產的可能性以及潛在物理后果。
與關鍵基礎設施網絡風險相關的危險程度明顯高于傳統(tǒng)IT網絡風險。例如,如果有人竊取你的身份并以你的名義開立信用卡,這肯定會擾亂你的個人生活,但你不太可能對欺詐性收費負責。相反,如果不良行為者關閉電網、毒害當地供水系統(tǒng)或破壞水庫大壩,你的家人可能會面臨生命危險。足夠廣泛的關鍵基礎設施攻擊也可能對國家安全產生嚴重影響。
盡管強調關鍵基礎設施和傳統(tǒng)IT網絡風險之間的差異很重要,但同樣值得注意的是,現實世界的事件并不總是那么容易解析。例如,民族國家有時是為了偷錢而不是造成破壞;朝鮮和伊朗浮現在腦海。而且,盡管勒索軟件是尋求勒索私人公司的攻擊者的最愛,但勒索軟件攻擊也可能對國家安全產生影響,想想最近的Colonial Pipeline關閉。在另一個示例中,犯罪分子可能會對醫(yī)院發(fā)動勒索軟件攻擊以勒索金錢,但如果勒索軟件攻擊影響患者護理的提供,人們可能會遭受痛苦以及死亡。
關鍵基礎設施網絡風險評估與傳統(tǒng)IT網絡風險評估
IT的使用在工業(yè)環(huán)境中很普遍。因此,關鍵基礎設施網絡風險評估必須包括IT網絡風險評估所具備的所有信息風險要素。同時還必須解決很多額外的(坦率地說,更可怕的)物理風險因素。
傳統(tǒng)的IT網絡風險評估和關鍵基礎設施網絡風險評估都必須考慮以下風險情景后果:
- 收入損失
- 聲譽損失
- 股價損失
- IT事件響應成本
- IT事件恢復成本
- 客戶影響,例如在欺詐的情況下
關鍵基礎設施網絡風險評估必須權衡以下額外的風險情景后果:
- 員工受傷、疾病和死亡
- 社區(qū)傷害、疾病和死亡
- 火災和爆炸
- 設備損壞
- 破壞周邊社區(qū)的財產和基礎設施
- 對植物和野生動物的破壞
- 釋放毒素,危害空氣、土地和水質
- 環(huán)境響應和恢復成本
- 供應鏈效應
- 國家安全影響
風險評估員專業(yè)知識
關鍵基礎設施網絡風險評估的雙重范圍使得它們比傳統(tǒng)網絡風險評估更加復雜和具有挑戰(zhàn)性,主要是因為評估物理風險需要額外的知識、技能和方法。
傳統(tǒng)IT網絡風險評估員和關鍵基礎設施網絡風險評估員需要以下領域的專業(yè)知識:
- 操作和現場技術
- 工業(yè)網絡安全
- 運營監(jiān)督管理
- 工業(yè)工程
- 流程安全管理
- 健康和安全管理
- 環(huán)境風險與合規(guī)
- 環(huán)境整治
- 工業(yè)法規(guī)合規(guī)性
- 物理安全
風險評估方法
這兩種風險評估也使用不同的方法。傳統(tǒng)IT風險評估依賴于以下標準:
- 信息風險因素分析
- COBIT
- ISO 31000和ISO/IEC 27005
- NIST Special Publication 800-30
- Operationally Critical Threat, Asset and Vulnerability Evaluation Allegro
相比之下,關鍵基礎設施風險評估方法包括以下內容:
- IEC 62443和61511
- 工藝危害分析(PHA)/危害及可操作性分析
- 網絡PHA
風險評估方法
這些評估分別涵蓋的環(huán)境也不同。傳統(tǒng)的IT風險評估包括以下內容:
- 互聯(lián)網
- 云服務和應用程序
- 企業(yè)網絡
- 本地服務和應用程序
- 遠程訪問
- 信息和數據
- 賬戶、訪問權限和特權
關鍵基礎設施網絡風險評估還涵蓋以下環(huán)境:
- 操作現場區(qū)域
- 操作安全區(qū)域
- 操作控制區(qū)域
- 操作隔離/歷史區(qū)域
- 操作遠程訪問區(qū)域
- 操作信息和數據
- 操作賬戶、訪問和特權
對關鍵基礎設施網絡風險評估的建議
最重要的一點是,關鍵基礎設施網絡風險評估比傳統(tǒng)IT風險評估更復雜,因為它們既包含傳統(tǒng)IT風險,也包含物理風險。
在進行關鍵基礎設施網絡風險評估時,請考慮以下建議:
- 獲得正確的第三方幫助。內部員工可能缺乏必要的綜合專業(yè)知識來設計和進行全面的關鍵基礎設施網絡風險評估。這種情況下,你可以尋求外部組織的幫助-無論是公共還是專有組織,他們擁有豐富的關鍵基礎設施風險評估和保護準備方面的經驗。
- 讓正確的內部人員參與。雖然IT人員需要應對數字技術威脅,但了解網絡威脅潛在物理影響的人員來自組織的其他部門。請與來自運營、工藝工程、技術工程、環(huán)境健康與安全以及工藝安全的內部專家合作。
- 向執(zhí)行團隊傳達正確的信息。執(zhí)行團隊經常將網絡風險視為IT需要解決的技術問題。請幫助他們了解,當涉及到現代網絡威脅時,更多人需要負責。單靠IT無法解決關鍵基礎設施問題,這需要整個組織的參與,從工廠車間到董事會。
